СОИБ. Анализ. ГосСОПКА

Вчера на сайте ФСБ была опубликована выписка из документа “Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации” утвержденного Президентом РФ 12.12.2014 № К 1274.

http://www.fsb.ru/files/PDF/Vipiska_iz_koncepcii.pdf

Давайте посмотрим, какая есть ещё публичная информация по ГосСОПКе и представим её общую картину:

·        Презентация выступления Юдина Сергея Николаевича из ФСБ на 7 уральском форуме IB-Bank от 17.02.2015 

·        Указ Президента Российской Федерации от 15 января 2013 г. N 31с г. Москва "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"

На всякий случай взглянем на:

·        экспертное мнение Алексея Лукацкого по возможному составу федеральной системе обнаружения атак

·        замороженный проект ФЗ РФ “о безопасности критической информационной инфраструктуры Российской Федерации” в котором упоминается ГосСОПКА

В соответствии с указом №31с область защиты:

“информационные ресурсы Российской Федерации - информационные системы и информационно-телекоммуникационные сети, находящиеся на территории Российской Федерации и в дипломатических представительствах и консульских учреждениях Российской Федерации за рубежом”

В соответствии с концепцией территориальная структура ГосСОПКА имеет вид:

Область ответственности центров ГосСОПКА отображена на следующей схеме:

Сертифицированные последнее время в ФСБ средства обнаружения компьютерных атак должны иметь возможность интеграции с ГосСОПКА. В требованиях по созданию ГИС в последнее время также указывается необходимость применения СОВ с возможностью интеграции с ГосСОПКА.

Таким образом, можно предположить что в качестве так называемых “технические средства, предназначенные для поиска признаков компьютерных атак в сообщениях электросвязи” будет выступать любое сертифицированное в ФСБ  IPS, которое будет оправлять информацию об атаках и инцидентах по syslog в специальном формате, а ГосСОПКА представляет из себя в таком случае большой распределенный SOC.

С учетом этого, а так-же функций приведенных в Концепции, получается следующая схема взаимодействия ГосСОПКА

Если верить Концепции, должны быть разработаны ещё следующие нормативно-правовые акты:

·        порядок фиксации и обмена информацией между субъектами Системы о компьютерных атаках на информационные ресурсы РФ и вызванных ими компьютерных инцидентах;

·        порядок осуществления деятельности субъектов Системы в области обнаружения, предупреждения и ликвидации последствий компьютерных атак;

·        порядок и периодичность проведения мероприятий по оценке степени защищенности критической информационной инфраструктуры РФ от компьютерных атак;

·        порядок обмена информацией между органами государственной власти и международными организациями о компьютерных инцидентах.