SOC-форум 2017

22 ноября 2017 года в Москве прошла конференция SOC-Forum 2017, посвященная практическим вопросам противодействия компьютерным атакам и построения центров мониторинга информационной безопасности (Security Operation Center, SOC).

Итоги конференции SOC-форум 2017

В рамках мероприятия с докладами выступили представители государственных регулирующих органов (ФСБ России, ФСТЭК России, Банка России), крупных корпораций, банков, образовательных учреждений, компаний−поставщиков решений, экспертного сообщества.

Тематика мероприятия:

• Функционирование и взаимодействие центров ГосСОПКА. Вопросы регулирования деятельности SOC.

• Сценарии применения SOC. Опыт эксплуатации центров мониторинга ИБ.

• SOC: технологии.

• SOC в финансовой сфере. Взаимодействие с ФинЦЕРТ.

• Дискуссия Сбербанка «Лицом к лицу: заказчики и вендоры о развитии SOC».

• Практика выявления и предотвращения инцидентов инструментарием SOC.

• SOC: процессы, люди.

• Свой SOC, шаг за шагом.

• Дискуссия «FUTURE SOC в реалиях аналоговой экономики».

Дискуссия пленарного заседания развивалась вокруг следующих вопросов:

• Оценка готовности коммерческих структур к защите от внешних компьютерных атак.

• Государственное регулирование отрасли.

• Что такое Государственная система обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

• Порядок подключения к ГосСОПКА.

• Ответственность владельцев объектов КИИ и регуляторов.

Представитель ФСБ России отметил, что новая нормативная база (вступающий в силу с 1 января 2018 года Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры» и разрабатываемые подзаконные акты) придаст динамику отрасли информационной безопасности и защиты критической информационной инфраструктур (КИИ).

По словам других участников дискуссии, в настоящее время существующие требования законодательства в целом выполняются, но для успешного противодействия угрозам необходимо сконцентрироваться на потенциально возможных атаках. т. е. применять проактивный подход к защите.

По мнению представителя Сбербанка России, случаи масштабных компьютерных атак (WannaCry, Petya) продемонстрировали, что для оперативного реагирования на подобные угрозы необходимо наличие единого руководящего органа, способного взять на себя координирующие функции и предложить меры защиты.

Представитель Банка России отметил, что взаимодействие с ГосСОПКА позволяет ускорить процесс реагирования. Как показывает практика, оперативное уведомление об угрозах позволяет подготовиться или минимизировать последствия компьютерных инцидентов. В настоящее время среднее время реагирования на компьютерные инциденты, подготовки и рассылки уведомлений о них в Банке России составляет 40-90 минут.

Регуляторы выступили с единым мнением о том, что необходима обратная связь от атакуемых компаний. Чем полнее будут сведения, получаемые из разных источников, тем быстрее будет осуществлен выпуск инструкций и мер по предупреждению угроз для всех участников информационного обмена.

В этой связи представитель ФСБ России отметил, что вопросы информационной безопасности должны стать общими вопросами всего ИТ-сообщества, отдельным компаниям недостаточно выстроить защиту только вокруг себя. Необходимо делиться информацией об инцидентах, чтобы научиться её анализировать, обобщать и вырабатывать меры защиты. Особо было отмечено, что ГосСОПКА представляет собой не средство, а процессы, которые необходимо выстроить в организации: анализ угроз, контроль защищенности, управление конфигурацией средств защиты, регистрация и анализ событий безопасности, обнаружение и реагирование на компьютерные инциденты, информирование персонала.

Говоря об ответственности субъектов КИИ, представитель ФСБ России подчеркнул, что они обязаны информировать о компьютерных инцидентах ФСБ России (в соответствии с Федеральным законом №187-ФЗ «О безопасности критической информационной инфраструктуры»). Вместе с тем регулятор выразил пожелание, что и другие компании, не являющиеся КИИ, осознают потребность в обмене информацией и пользу от подобного обмена. В любой момент различные компании могут стать мишенями компьютерных атак и векторами распространения угроз, в том числе в отношении КИИ.

При этом было отмечено, что речь идет не о передаче сведений о защищенности информационных ресурсов компании. Для ведомства важно получать сведения об атаках, индикаторы компрометации, чтобы оперативно выпускать оповещения. Предоставление из ГосСОПКА сведений, составляющих государственную либо иную охраняемую законом тайну, осуществляется в соответствии с законодательством Российской Федерации через Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

Отдельная сессия была посвящена функционированию и взаимодействию центров ГосСОПКА. Представители ФСБ России рассказали о нормативном регулировании деятельности, роли указанных центров в обеспечении безопасности КИИ.

До 1 января 2018 года планируется выпуск шести нормативных документов, в числе которых:

1. Положение о Национальном координационном центре по компьютерным инцидентам.
2. Перечень информации, предоставляемой в ГосСОПКА.
3. Порядок обмена информацией о компьютерных инцидентах.
4. Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер ликвидации последствий.
5. Требования к средствам ГосСОПКА.
6. Порядок, технические условия установки и эксплуатации средств ГосСОПКА.

В докладе о роли центров ГосСОПКА были выделены основные функции, которые данные центры должны реализовывать:

• методическое сопровождение и внедрение успешного практического опыта («лучших практик»);

• формирование и поддержание в актуальном состоянии сведений о зоне ответственности центра ГосСОПКА (перечни информационных ресурсов, используемых средств защиты, ресурсов в сети Интернет, доменных имен и др.), а также передача указанной информации в НКЦКИ;

• сбор и анализ информации об актуальных угрозах, уязвимостях;

• мониторинг событий информационной безопасности;

• выявление уязвимостей информационных систем, их устранение;

• моделирование и анализ угроз информационной безопасности;

• прием, обработка, учет и хранение информации о компьютерных инцидентах;

• реагирование на компьютерные инциденты, установление причин их возникновения и анализ последствий (установление масштаба причиненного ущерба);

• ликвидация последствий компьютерного инцидента;

• профилирование защищаемых систем и средств по результатам анализа инцидентов;

• взаимодействие с НКЦКИ;

• подготовка отчетных материалов;

• повышение осведомленности и квалификации персонала и пользователей информационных систем.