Руководство по созданию Центров ГосСОПКА и Центров мониторинга инцидентов ИБ. Кому, зачем и почему это надо? Часть 1

Мы начинаем серию постов, посвященных созданию Центров ГосСОПКА и Центров мониторинга инцидентов информационной безопасности. В этой вводной части мы расскажем о том, кому зачем и почему необходимо заниматься созданием Центров мониторинга, ответим на наиболее часто задаваемые вопросы тех, кто только знакомится с данной тематикой.

Ссылки на другие части:

Руководство по созданию Центров ГосСОПКА и мониторинга инцидентов ИБ. Кому, зачем и почему это надо? Часть 1

Руководство по созданию Центров ГосСОПКА и мониторинга инцидентов ИБ. Стадии и этапы создания. Часть 2

Руководство по созданию Центров ГосСОПКА и мониторинга инцидентов ИБ. Стоимость создания и популярные ошибки. Часть 3

 

Что такое мониторинг инцидентов информационной безопасности (ИБ) и для чего он нужен?

Мониторингом инцидентов информационной безопасности (ИБ) принято считать систему (включающую в себя людей, технологии и процессы их взаимодействия), позволяющую обнаруживать, предупреждать и ликвидировать отклонения от нормы или нарушения ИБ от заданных политик и требований стандартов. Примерами отклонений и нарушений могут быть компьютерные атаки, несоблюдения работниками требований политик безопасности, несанкционированные действия пользователей, несоответствие организации принятым стандартам в области ИБ.

Поскольку такие системы могут включать в себя большое количество людей и подсистем их принято называть Центрами мониторинга ИБ (Центрами ГосСОПКА, если такой Центр подключен к Системе ГосСОПКА) (за рубежом – «SOC (Security Operations Center)»).

Задачи Центров или систем мониторинга инцидентов ИБ:

  • Своевременно обнаруживать и предупреждать возникновение инцидентов ИБ
  • Ликвидировать последствия инцидентов ИБ
  • Постоянно вырабатывать меры по исключению повторения инцидентов ИБ и улучшению защитных мер

Причины необходимости создания Центров мониторинга ИБ просты: чем насыщеннее и сложнее становится ИТ-инфраструктура организации, тем больше угроз, тем она уязвимее. Инструменты ее контроля позволяют сокращать время простоя, расследования инцидентов, устранения неполадок и несоответствий.

Простой пример:

  1. На предприятии N принято обмениваться файлами с внешними организациями через принадлежащий ей файлообменник, который доступен из Интернета.
  2. В 10:05 сотрудник отдела закупок не смог выложить на него файл (например, счет на закупку). Сотрудник решил, что это временный сбой и решил подождать. Через 2 часа в 12:32 он понимает, что сбой не временный и отправляет файл по почте.
  3. В 13:05 Администраторы файлообменника получают от него и еще от двух работников сообщения о проблемах. Администраторы идут на обед, и потом начинают разбираться – с виду все работает, сервер доступен, сервисы файлообменника работоспособны. Решать такие проблемы без наличия единой системы, где можно увидеть данные о статусе и работе всех защищаемых систем, Администраторы предприятия N уже привыкли.
  4. В результате совместной работы с подразделением ИБ через 3,5 часа в 16:45 в логах межсетевого экрана и системы обнаружения вторжений обнаруживается причина – внешняя DDoS-атака на этот файлообменник, которую в результате отсекли.
  5. В случае отлаженной работы Центра мониторинга инцидентов ИБ, Администраторы файлообменника и подразделение ИБ узнали бы о причине проблемы в 10:07. Время простоя файлообменника было бы сокращено до нескольких минут, а появившееся время можно использовать для установления источника компьютерной атаки, при желании, вплоть до заведения уголовного дела и abuse-письма провайдеру или хостингу по адресу источника.

Поэтому предприятия, которые стремятся избежать финансовых, репутационных и других видов потерь, вызванных сбоями и инцидентами ИБ в защищаемых системах, с готовностью принимают решение в пользу создания единого Центра или системы мониторинга информационной безопасности.

Приготовьтесь к тому, что проект по созданию такой системы будет не самым простым (зависит от сложности вашей ИТ-инфраструктуры), не самым дешевым (зависит от того создаете ли вы систему внутри компании или подключаетесь к внешнему провайдеру таких услуг) и не быстрым (среднее время таких проектов от 1 года до нескольких лет). Достаточно много переменных и условий, влияющих на достижение успешного результата в срок.

Важно осознавать, что данный проект внесет огромные изменения в методы и процессы работы сотрудников ИТ/ИБ подразделений. А как известно, изменения всегда встречают препятствия со стороны персонала (только если им не повышают зарплату), поэтому важно подобрать такую команду людей, которая будет понимать важность данного проекта и всячески способствовать его реализации в вашей компании. Отсутствие такой команды приведет к тому, что вы потеряете много денег и времени.

Однако, мы уверены, что тщательное и внимательное выполнение рекомендуемых стадий и этапов в следующем посте (Часть 2), позволит успешно завершить ваш проект по построению эффективной системы мониторинга ИБ. Это сильно трансформирует и преобразит работу подразделений ИБ и ИТ. Единый Центр мониторинга ИБ улучшит их взаимодействие и эффективность, переведет на более высокий уровень зрелости.

Что такое «Центр ГосСОПКА» и для чего он нужен?

В январе 2013 г. президент Владимир Путин поручил ФСБ России создать систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на ИТ-ресурсы, расположенные на территории России, а также в дипломатических представительствах и консульских учреждениях России за рубежом.

В результате ФСБ России была разработана концепция государственной Системы ГосСОПКА, которая представляет собой совокупность объединенных между собой Центров мониторинга инцидентов ИБ в пределах России. Цель создания данной государственной Системы – обеспечить сбор и обмен информацией о компьютерных атаках между сотрудниками Центров, включенными в данную Систему. Это должно позволить более оперативно реагировать на возникающие киберугрозы в государственном масштабе. Главным управляющим Центром ГосСОПКА является «Национальный координационный Центр по компьютерным инцидентам» (НКЦКИ) ФСБ России.

Существует два вида Центров – корпоративные и ведомственные.

Корпоративные Центры – создаются, как правило, в рамках коммерческих (и не только) предприятий по их собственной инициативе, они не обязаны подключаться к Системе ГосСОПКА, но могут подать заявку в ФСБ России на подключение в соответствии с «Временным порядком включения корпоративных центров в Систему ГосСОПКА». В таком случае корпоративный Центр будет принимать участие в общем обмене информации между Центрами.

Ведомственные Центры – создаются органами государственной власти, а также организациями, действующими в интересах органов государственной власти. Как правило, данные Центры создаются по инициативе, исходящей от ФСБ России и получают официальное приглашение о создании Центра и подключении его к Системе ГосСОПКА.

В том числе ФСБ России разработаны «Методические рекомендации по созданию Центров ГосСОПКА». Данный документ содержит подробное описание назначения, функций и принципов их создания.

В 2017 году компания ФГУП «НПП «Гамма» получила лицензию ФСТЭК России на предоставление услуг по мониторингу информационной безопасности средств и систем информатизации. Нашими специалистами был создан собственный корпоративный Центр и, по согласованию с ФСБ России, подключен к Системе ГосСОПКА.

Если в вашем предприятии планируется создание или уже функционирует Центр мониторинга, и у вас есть вопросы по необходимости его подключения к Системе ГосСОПКА, наши аналитики окажут вам консультацию, проинформируют о положительных возможностях и рисках данного решения, опишут этапы порядка подключения, расскажут, как выглядит обмен информацией между Центрами ГосСОПКА после подключения.

Где и в каких случаях создавать Центры мониторинга инцидентов ИБ?  

Во-первых, необходимость возникает там, где администраторы и подразделения ИБ не справляются с объемом работы и уже не могут контролировать все защищаемые активы. Инциденты ИБ возникают все чаще, а время их решения и обработки все возрастает (а иногда и не хватает квалификации специалистов для их решения), потери и простои защищаемых систем увеличиваются до недопустимых значений. Когда чувство потери контроля над вашей ИТ-инфраструктурой увеличивается с каждым днем.

В малых и средних предприятиях, как правило, смысла в построении таких Центров обычно нет (хотя применение систем по мониторингу имеет смысл, но сами процессы мониторинга отладить скорей всего не получится в силу отсутствия свободного персонала), а вот уже в компаниях среднего размера и крупных организациях – Центр мониторинга инцидентов ИБ либо обязательно должен быть, либо данную задачу должна выполнять подрядная организация, оказывающая данный вид услуг.

Большинство организаций, являющихся крупными заказчиками в области ИТ/ИБ-услуг в России уже либо построили у себя Центры мониторинга инцидентов ИБ, либо заключили контракты на оказание услуг мониторинга с внешними организациями.

Во-вторых, почти во всех обязательных и рекомендательных нормативных актах, стандартах России в области ИБ, есть пункты о необходимости и важности выполнения мониторинга событий и инцидентов ИБ:

Документ Требование, выдержка
Приказы ФСТЭК № 21 и 17 об организации мер безопасности персональных данных «8.14. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в системе, а также принятие мер по устранению и предупреждению инцидентов».
ФЗ № 187 «О безопасности критической информационной инфраструктуры Российской Федерации» «ст. 9, п. 2. 1) незамедлительно информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в установленном указанным федеральным органом исполнительной власти порядке…».
ГОСТ Р ИСО/МЭК 18044-2007. Менеджмент инцидентов информационной безопасности «4.1 В качестве основы общей стратегии ИБ организации необходимо использовать структурный подход к менеджменту инцидентов ИБ. Целями такого подхода является обеспечение следующих условий:

– события ИБ должны быть обнаружены и эффективно обработаны, в частности, определены как относящиеся или не относящиеся к инцидентам ИБ;

– идентифицированные инциденты ИБ должны быть оценены, и реагирование на них должно быть осуществлено наиболее целесообразным и результативным способом;…»

ФЗ №154 «Об информации, информационных технологиях и о защите информации» Статья 16, пункт 4: «Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

…2) своевременное обнаружение фактов несанкционированного доступа к информации;

…6) постоянный контроль за обеспечением уровня защищенности информации;…»

СТО БР ИББС-1.0-2014 «5.23 Для поддержания системы защиты на должном уровне в качестве оперативной меры

используется мониторинг событий и инцидентов в СИБ. Менеджмент событий и инцидентов

безо пасности, полученных в результате мониторинга ИБ, позволяет избежать деградации и

обеспечить требуемый уровень безопасности активов.»

Доктрина информационной безопасности Российской Федерации от 05.11.2016 «34. … г) достаточность сил и средств обеспечения информационной безопасности, определяемая в том числе посредством постоянного осуществления мониторинга информационных угроз;…»

Особенно подробно процесс создания и организации Центров мониторинга описан в документах:

Мы настоятельно рекомендуем изучить их содержание перед инициацией проекта по созданию Центров мониторинга ИБ на вашем предприятии, даже в том случае, если требование данных документов не является для вас обязательным.

Следует отметить, что большинство зарубежных и международных стандартов и законов в области ИБ так же указывают на необходимость выполнения мониторинга инцидентов ИБ.

Что должно измениться после создания Центра мониторинга инцидентов ИБ для предприятия?

При успешной реализации проекта на вашем предприятии должен появится выстроенный, контролируемый процесс мониторинга инцидентов ИБ. Задачи построения Центра:

  • Своевременно обнаруживать и предупреждать возникновение инцидентов ИБ
  • Ликвидировать последствия инцидентов ИБ
  • Постоянно вырабатывать меры по исключению повторения инцидентов ИБ и улучшению защитных мер

Будут выполняться непрерывно в рамках времени его функционирования. Операционная эффективность взаимодействия сотрудников, входящих в команду Центра, повысится и перейдет на следующий уровень зрелости.

Что изменится после создания Центра для руководства предприятия?

Процесс мониторинга инцидентов ИБ станет основным видом деятельности подразделения ИБ, который будет приносить наибольшую ценность для вашего предприятия. Среди этих ценностей:

  • Прозрачность работы подразделения ИБ для руководства предприятия
  • Оперативное получение статистики и отчетов по инцидентам ИБ
  • Понятная и простая визуализация сложных проблем и текущего состояния ваших систем
  • Руководство подразделения ИБ/ИТ получит инструмент для быстрого выявления причин инцидентов

Что это поменяет для ИТ/ИБ подразделений?

Сотрудники ИТ/ИБ подразделений смогут освободиться от рутинной работы и сконцентрироваться на более важных и интересных задачах. Они будут точно представлять, что происходит в системах предприятия на данный момент, т.е. инфраструктура будет более прозрачна. Стиля работы, когда они вынуждены тушить пожары и постоянно чинить неисправности, не будет, можно будет обходить грабли заранее. Решение рутинных проблем можно будет автоматизировать или ликвидировать их повторение. Конечно, непредвиденные инциденты, которые придется устранять и расследовать «вручную», все равно будут, но это будет легче, так как будет точная диагностика и статистика.

 

В следующем посте (Часть 2) мы расскажем об основных этапах и стадиях создания Центров ГосСОПКА и Центров мониторинга инцидентов информационной безопасности.