Возможности Центра киберустойчивости ACRC по подключению объектов КИИ к ГосСОПКА

20.11.2020
Возможности Центра киберустойчивости ACRC по подключению объектов КИИ к ГосСОПКА

Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры

Российской Федерации» и сопутствующие ему акты, нормативы и другие методические документы требуют подключение к ГосСОПКА объектов критической информационной инфраструктуры.

Напомним, в ноябре 2019 года НКЦИКИ (ФСБ России) и сервис-провайдер тиражируемых услуг ИБ Angara Professional Assistance подписали соглашение о взаимодействии в области обнаружения, предупреждения и ликвидации компьютерных атак в рамках ГосСОПКА.

ГосСОПКА – это Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации – единый централизованный территориально-распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Концепция предполагает создание центров обнаружения, предупреждения и ликвидации последствий компьютерных атак нескольких уровней: от федерального до корпоративного.

Приобретая услугу оперативного мониторинга и подключения к ГосСОПКА через Центр киберустойчивости Angara Cyber Resilience Center (ACRC), клиент делегирует решение следующих задач:

  • сбор и хранение журналов событий программно-аппаратных и программных средств заказчика, поиск по журналам событий,

  • выявление, классификацию и расследование инцидентов ИБ и компьютерных атак на объекты КИИ, анализ и ранжирование событий ИБ и компьютерных атак,

  • оповещение ответственных лиц о выявлении инцидентов ИБ в соответствии с классификацией,

  • предоставление возможностей визуализации, а именно визуальных панелей, содержащих статистические сведения о событиях подключенных источников, обеспечение регулярной отчетности,

  • предоставление рекомендаций по улучшению системы обеспечения ИБ и восстановлению безопасного состояния СЗИ.

Кроме того подключение через Центр киберустойчивости ACRC обеспечит выполнение полного цикла взаимодействия с НКЦКИ в области обнаружения, предупреждения и ликвидации последствий кибератак на объекты КИИ:

  • подготовка информации для предоставления,

  • контроль сроков передачи в соответствии с требованиями ФЗ,

  • сбор требуемой дополнительной информации,

  • информирование НКЦКИ о проведенных мероприятиях по реагированию на инциденты и мерах по ликвидации последствий компьютерных атак, результатах этих мероприятий,

  • регистрация принимаемой для заказчика информации о методах и способах проведения кибератак и новых угрозах информационной безопасности.

Согласование с клиентом и отправка подтвержденных инцидентов происходит в специализированном интерфейсе в несколько кликов. Интерфейс согласования также содержит перечни подтвержденных инцидентов, ожидающих согласования, и ранее согласованных и направленных в НКЦКИ.

На стороне Центра киберустойчивости ACRC используется система «АЦРЦ Платформ» (Свидетельство о государственной регистрации программы для ЭВМ №2018660748 от 28 августа 2018 г.) – собственная разработка с применением свободно распространяемых (Open Source) компонентов, что защищает от возможных ограничений на использование от иностранных правительств.

«АЦРЦ Платформ» включает в себя средства мониторинга и управления событиями ИБ, управления индикаторами компрометации – систему MISP и средства защищенной отправки данных в НКЦКИ с использованием API ЛК ГосСОПКА.

Кроме сбора событий с использованием сетевых транспортных протоколов и распространенных в SIEM системах стандартов, таких как Syslog, CEF, JSON, JDBC, система поддерживает опрос событий приложений с использованием REST API.

На основании анализа инцидентов и всех имеющихся данных эксперты Angara Professional Assistance производят расследование подтвержденных инцидентов ИБ и оказывают консультации по выполнению оперативных действий и устранению отрицательного влияния инцидента для персонала клиента. А также прорабатывают рекомендации по недопущения подобных инцидентов в будущем.