22 ноября 2017 года в Москве прошла конференция SOC-Forum 2017, посвященная практическим вопросам противодействия компьютерным атакам и построения центров мониторинга информационной безопасности (Security Operation Center, SOC).
Итоги конференции SOC-форум 2017
В рамках мероприятия с докладами выступили представители государственных регулирующих органов (ФСБ России, ФСТЭК России, Банка России), крупных корпораций, банков, образовательных учреждений, компаний−поставщиков решений, экспертного сообщества.
Тематика мероприятия:
-
Функционирование и взаимодействие центров ГосСОПКА. Вопросы регулирования деятельности SOC.
-
Сценарии применения SOC. Опыт эксплуатации центров мониторинга ИБ.
-
SOC: технологии.
-
SOC в финансовой сфере. Взаимодействие с ФинЦЕРТ.
-
Дискуссия Сбербанка «Лицом к лицу: заказчики и вендоры о развитии SOC».
-
Практика выявления и предотвращения инцидентов инструментарием SOC.
-
SOC: процессы, люди.
-
Свой SOC, шаг за шагом.
-
Дискуссия «FUTURE SOC в реалиях аналоговой экономики».
Дискуссия пленарного заседания развивалась вокруг следующих вопросов:
-
Оценка готовности коммерческих структур к защите от внешних компьютерных атак.
-
Государственное регулирование отрасли.
-
Что такое Государственная система обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).
-
Порядок подключения к ГосСОПКА.
-
Ответственность владельцев объектов КИИ и регуляторов.
Представитель ФСБ России отметил, что новая нормативная база (вступающий в силу с 1 января 2018 года Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры» и разрабатываемые подзаконные акты) придаст динамику отрасли информационной безопасности и защиты критической информационной инфраструктур (КИИ).
По словам других участников дискуссии, в настоящее время существующие требования законодательства в целом выполняются, но для успешного противодействия угрозам необходимо сконцентрироваться на потенциально возможных атаках. т. е. применять проактивный подход к защите.
По мнению представителя Сбербанка России, случаи масштабных компьютерных атак (WannaCry, Petya) продемонстрировали, что для оперативного реагирования на подобные угрозы необходимо наличие единого руководящего органа, способного взять на себя координирующие функции и предложить меры защиты.
Представитель Банка России отметил, что взаимодействие с ГосСОПКА позволяет ускорить процесс реагирования. Как показывает практика, оперативное уведомление об угрозах позволяет подготовиться или минимизировать последствия компьютерных инцидентов. В настоящее время среднее время реагирования на компьютерные инциденты, подготовки и рассылки уведомлений о них в Банке России составляет 40-90 минут.
Регуляторы выступили с единым мнением о том, что необходима обратная связь от атакуемых компаний. Чем полнее будут сведения, получаемые из разных источников, тем быстрее будет осуществлен выпуск инструкций и мер по предупреждению угроз для всех участников информационного обмена.
В этой связи представитель ФСБ России отметил, что вопросы информационной безопасности должны стать общими вопросами всего ИТ-сообщества, отдельным компаниям недостаточно выстроить защиту только вокруг себя. Необходимо делиться информацией об инцидентах, чтобы научиться её анализировать, обобщать и вырабатывать меры защиты. Особо было отмечено, что ГосСОПКА представляет собой не средство, а процессы, которые необходимо выстроить в организации: анализ угроз, контроль защищенности, управление конфигурацией средств защиты, регистрация и анализ событий безопасности, обнаружение и реагирование на компьютерные инциденты, информирование персонала.
Говоря об ответственности субъектов КИИ, представитель ФСБ России подчеркнул, что они обязаны информировать о компьютерных инцидентах ФСБ России (в соответствии с Федеральным законом №187-ФЗ «О безопасности критической информационной инфраструктуры»). Вместе с тем регулятор выразил пожелание, что и другие компании, не являющиеся КИИ, осознают потребность в обмене информацией и пользу от подобного обмена. В любой момент различные компании могут стать мишенями компьютерных атак и векторами распространения угроз, в том числе в отношении КИИ.
При этом было отмечено, что речь идет не о передаче сведений о защищенности информационных ресурсов компании. Для ведомства важно получать сведения об атаках, индикаторы компрометации, чтобы оперативно выпускать оповещения. Предоставление из ГосСОПКА сведений, составляющих государственную либо иную охраняемую законом тайну, осуществляется в соответствии с законодательством Российской Федерации через Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Отдельная сессия была посвящена функционированию и взаимодействию центров ГосСОПКА. Представители ФСБ России рассказали о нормативном регулировании деятельности, роли указанных центров в обеспечении безопасности КИИ.
До 1 января 2018 года планируется выпуск шести нормативных документов, в числе которых:
- Положение о Национальном координационном центре по компьютерным инцидентам.
- Перечень информации, предоставляемой в ГосСОПКА.
- Порядок обмена информацией о компьютерных инцидентах.
- Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер ликвидации последствий.
- Требования к средствам ГосСОПКА.
- Порядок, технические условия установки и эксплуатации средств ГосСОПКА.
В докладе о роли центров ГосСОПКА были выделены основные функции, которые данные центры должны реализовывать:
-
методическое сопровождение и внедрение успешного практического опыта («лучших практик»);
-
формирование и поддержание в актуальном состоянии сведений о зоне ответственности центра ГосСОПКА (перечни информационных ресурсов, используемых средств защиты, ресурсов в сети Интернет, доменных имен и др.), а также передача указанной информации в НКЦКИ;
-
сбор и анализ информации об актуальных угрозах, уязвимостях;
-
мониторинг событий информационной безопасности;
-
выявление уязвимостей информационных систем, их устранение;
-
моделирование и анализ угроз информационной безопасности;
-
прием, обработка, учет и хранение информации о компьютерных инцидентах;
-
реагирование на компьютерные инциденты, установление причин их возникновения и анализ последствий (установление масштаба причиненного ущерба);
-
ликвидация последствий компьютерного инцидента;
-
профилирование защищаемых систем и средств по результатам анализа инцидентов;
-
взаимодействие с НКЦКИ;
-
подготовка отчетных материалов;
-
повышение осведомленности и квалификации персонала и пользователей информационных систем.