Что такое ГосСОПКА

ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) создаётся для обмена информацией о кибератаках на информационные системы, нарушение или прекращение работы которых крайне негативно скажется на экономике страны или безопасности граждан.

White Paper о мониторинге ИБ и подключении к ГосСОПКА (pdf, 1Mb).

Деятельность ГосСОПКА регулируют несколько документов:

Список постоянно пополняется, изменяются сами документы из этого списка, поэтому необходимо постоянно отслеживать изменения и приводить свои информационные системы в соответствие текущим требованиям.

Архитектура ГосСОПКА

Центр ГосСОПКА — совокупность сил и средств субъекта ГосСОПКА, предназначенная для решения задач ГосСОПКА в своей зоне ответственности.

Главный центр — наивысшая структура в иерархии, разрабатывает нормативные документы и методики. За работу этого центра отвечает ФСБ России.

Головной центр — наивысшая структура в иерархии центров, объединённых по ведомственному или организационному признакам.

Подчинённый центр — центр, который структурно подчиняется головному центру.

Сегмент ГосСОПКА — совокупность головного центра и иерархически подчинённых центров.

Ведомственные центры — органы государственной власти.

Корпоративные центры — коммерческие и некоммерческие организации. Могут оказывать услуги подключения к ГосСОПКА при наличии лицензии.

Кто должен подключиться

К ГосСОПКА должны подключиться владельцы объектов критической информационной инфраструктуры. К ним относятся организации здравоохранения, науки, транспорта, связи, энергетики, банковской сферы (системно значимые кредитные организации, операторы платёжных систем, системно значимые инфраструктурные организации финансового рынка), топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Что делает корпоративный центр «Перспективного мониторинга»

Компания «Перспективный мониторинг» заключила соглашение с ФСБ России о взаимодействии в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и стала корпоративным центром ГосСОПКА. Поэтому мы можем включать информационные ресурсы и объекты КИИ наших заказчиков в свою зону ответственности.

Обмен данными в ГосСОПКА

Что мы делаем для наших заказчиков:

  • Передаём данные между центрами по вертикали иерархической структуры ГосСОПКА в форматах, отвечающих всем актуальным требованиям регулятора.
  • Анализируем угрозы и предупреждаем компьютерные атаки.
  • Анализируем данные о событиях безопасности, принимаем и регистрируем сообщения о возможных инцидентах и обнаруживаем атаки.
  • Помогаем реагировать на инциденты и ликвидировать последствия атак, анализируем результаты устранения последствий инцидентов.
  • Оцениваем защищённость контролируемых информационных ресурсов.
  • Формируем и поддерживаем в актуальном состоянии информацию о контролируемых ресурсах.
  • Расследуем компьютерные инциденты.
  • Обучаем и информируем заинтересованных лиц по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак, повышаем осведомлённость пользователей.

Варианты взаимодействия с центрами ГосСОПКА

Варианты взаимодействия с ГосСОПКА

Если создаётся собственный корпоративный сегмент, то субъект КИИ должен:

  • Заключить соглашение с ФСБ России на создание корпоративного сегмента.
  • Выполнить организационные и технические требования в соответствии с методическими рекомендациями.
  • Развернуть специализированные системы взаимодействия сегмента ГосСОПКА с главным (или территориальным) центром ГосСОПКА.

В случае подключения через наш Центр мониторинга — заключить соглашение с «Перспективным мониторингом». Мы уведомляем Главный центр ГосСОПКА о включении информационных ресурсов заказчика в зону ответственности «ПМ» и начинаем передавать необходимые данные.

В уведомлении мы указываем:

  • перечень информационных систем, включаемых в нашу зону ответственности;
  • номер договора и срок действия;
  • инвентаризационную информацию (в течение трёх месяцев с момента включения ИС Объекта КИИ в зону ответственности).

Также существует и Гибридный вариант. Даже при создании собственного сегмента ГосСОПКА часть его функций можно передать в Центр мониторинга ПМ.

На постоянной основе   В случае неизвестных атак
Анализ защищённости
Пентесты
Сбор информации об уязвимостях
  Обнаружение неизвестных атак
Разработка правил выявления атак
Помощь в реагировании и ликвидации
Реверс-инжиниринг образцов вредоносного кода
Установление причин, расследование инцидентов

Технические решения

Пример взаимодействия компонентов

Пример взаимодействия компонентов

ViPNet IDS NS

Программно-аппаратный комплекс (ПАК) ViPNet IDS — система обнаружения компьютерных атак (вторжений) в корпоративные информационные системы. Работа системы строится на основе динамического анализа сетевого трафика, начиная с канального уровня и заканчивая прикладным уровнем модели взаимодействия открытых систем (OSI).

ViPNet IDS HS

ViPNet IDS HS — система обнаружения вторжений для хоста. ViPNet IDS HS использует сигнатурный и эвристический методы анализа атак на основе правил и сигнатур, разработанных «Перспективным мониторингом». За счёт централизованного управления агентами, настройкой и группами правил администраторы ИБ могут оперативно реагировать на события безопасности в сети.

ViPNet TIAS

ViPNet TIAS в автоматическом режиме анализирует весь поток входящих событий от сенсоров, находит взаимосвязи между ними и выявляет значимые угрозы, которые являются инцидентами.

Автоматическое выявление инцидентов информационной безопасности в ViPNet TIAS строится на основе комбинирования двух методов:

  • Сигнатурный метод анализа, основанный на использовании метаправил выявления инцидентов.
  • Математическая модель принятия решений, разработанная на основе статистического анализа угроз с использованием методов машинного обучения.

База метаправил и математическая модель разрабатываются и обновляются экспертами компании «Перспективный мониторинг» на основе знаний об угрозах, получаемых в результате анализа инструментов и техник выполнения атак — Threat Intelligence.

Log Collector

«Перспективный мониторинг» устанавливает и настраивает систему лог-менеджмента, которая нормализует, агрегирует, коррелирует логи от разнородных источников. 

Система анализа угроз и управления уязвимостями

Наша разработка контролирует появление информации об уязвимостях в операционных системах (Windows, Linux/Unix-based), офисном и прикладном программном обеспечении, ПО оборудования, средствах защиты информации. Собранная информация об установленном на узле ПО и компонентах передаётся в систему, где формируется отчёт об обнаруженных уязвимостях и периодические оповещения об изменении статусов. Информация о составе ПО обновляется с произвольным интервалом. Информация в базе уязвимостей обновляется каждые 5 минут.

Система управления и расследования инцидентов

В Систему управления инцидентами передаются карточки инцидентов для совместного разбора и реагирования. Сотрудник центра ГосСОПКА может прямо из интерфейса СУИ запросить необходимую информацию о связанных с инцидентом событиях, дополнить её вручную, оповестить конкретных сотрудников ИБ- и ИТ-служб объекта КИИ и передать рекомендации по реагированию на исполнение.

AM Rules NS

Собственная база правил анализа сетевого трафика.

AM Rules HS

Собственная база правил поведенческого анализа узла.

Ответственность

Компания «Перспективный мониторинг» несёт ответственность перед заказчиком в соответствии с заключёнными соглашениями и нормативно-правовыми актами РФ.


Реализованные проекты
Услуги Центра мониторинга для крупного оператора связи топливно-энергетического комплекса
Заказчик — крупный оператор, организующий связь для компаний топливно-энергетического сектора. Для защиты коммерческой информации и соответствия требованиям регулятора, компании требовалось организовать многоуровневую систему защиты корпоративной мобильной связи, одной из частей которой должна была быть система обнаружения событий информационной безопасности.
Обслуживание информационной инфраструктуры силового ведомства средствами Центра мониторинга
Заказчик — силовое ведомство с развитой информационной инфраструктурой, которая включает несколько Центров обработки данных и программно-аппаратных комплексов ViPNet IDS. За первый месяц эксплуатации мы донастроили 52 решающих правила и выявили и предупредили 7 инцидентов информационной безопасности. Теперь мы расширяем зону взаимодействия за счёт подключения дополнительных сегментов информационной инфраструктуры.
Расследование утечек трекинговой информации грузоперевозчика
Грузоперевозчик официально предлагает трекинговую информацию за плату. В ситуации, когда эта информация появляется на «левых» сторонних сайтах, не заключивших соглашение на предоставление треков, грузоперевозчик и его официальные представители теряют деньги. Нам была поставлена задача отыскать источник утечек и выявить причастных лиц.