22 ноября 2017 года в Москве прошла конференция SOC-Forum 2017, посвященная практическим вопросам противодействия компьютерным атакам и построения центров мониторинга информационной безопасности (Security Operation Center, SOC).

Итоги конференции SOC-форум 2017

В рамках мероприятия с докладами выступили представители государственных регулирующих органов (ФСБ России, ФСТЭК России, Банка России), крупных корпораций, банков, образовательных учреждений, компаний−поставщиков решений, экспертного сообщества.

Тематика мероприятия:

  • Функционирование и взаимодействие центров ГосСОПКА. Вопросы регулирования деятельности SOC.

  • Сценарии применения SOC. Опыт эксплуатации центров мониторинга ИБ.

  • SOC: технологии.

  • SOC в финансовой сфере. Взаимодействие с ФинЦЕРТ.

  • Дискуссия Сбербанка «Лицом к лицу: заказчики и вендоры о развитии SOC».

  • Практика выявления и предотвращения инцидентов инструментарием SOC.

  • SOC: процессы, люди.

  • Свой SOC, шаг за шагом.

  • Дискуссия «FUTURE SOC в реалиях аналоговой экономики».

Дискуссия пленарного заседания развивалась вокруг следующих вопросов:

  • Оценка готовности коммерческих структур к защите от внешних компьютерных атак.

  • Государственное регулирование отрасли.

  • Что такое Государственная система обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

  • Порядок подключения к ГосСОПКА.

  • Ответственность владельцев объектов КИИ и регуляторов.

Представитель ФСБ России отметил, что новая нормативная база (вступающий в силу с 1 января 2018 года Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры» и разрабатываемые подзаконные акты) придаст динамику отрасли информационной безопасности и защиты критической информационной инфраструктур (КИИ).

По словам других участников дискуссии, в настоящее время существующие требования законодательства в целом выполняются, но для успешного противодействия угрозам необходимо сконцентрироваться на потенциально возможных атаках. т. е. применять проактивный подход к защите.

По мнению представителя Сбербанка России, случаи масштабных компьютерных атак (WannaCry, Petya) продемонстрировали, что для оперативного реагирования на подобные угрозы необходимо наличие единого руководящего органа, способного взять на себя координирующие функции и предложить меры защиты.

Представитель Банка России отметил, что взаимодействие с ГосСОПКА позволяет ускорить процесс реагирования. Как показывает практика, оперативное уведомление об угрозах позволяет подготовиться или минимизировать последствия компьютерных инцидентов. В настоящее время среднее время реагирования на компьютерные инциденты, подготовки и рассылки уведомлений о них в Банке России составляет 40-90 минут.

Регуляторы выступили с единым мнением о том, что необходима обратная связь от атакуемых компаний. Чем полнее будут сведения, получаемые из разных источников, тем быстрее будет осуществлен выпуск инструкций и мер по предупреждению угроз для всех участников информационного обмена.

В этой связи представитель ФСБ России отметил, что вопросы информационной безопасности должны стать общими вопросами всего ИТ-сообщества, отдельным компаниям недостаточно выстроить защиту только вокруг себя. Необходимо делиться информацией об инцидентах, чтобы научиться её анализировать, обобщать и вырабатывать меры защиты. Особо было отмечено, что ГосСОПКА представляет собой не средство, а процессы, которые необходимо выстроить в организации: анализ угроз, контроль защищенности, управление конфигурацией средств защиты, регистрация и анализ событий безопасности, обнаружение и реагирование на компьютерные инциденты, информирование персонала.

Говоря об ответственности субъектов КИИ, представитель ФСБ России подчеркнул, что они обязаны информировать о компьютерных инцидентах ФСБ России (в соответствии с Федеральным законом №187-ФЗ «О безопасности критической информационной инфраструктуры»). Вместе с тем регулятор выразил пожелание, что и другие компании, не являющиеся КИИ, осознают потребность в обмене информацией и пользу от подобного обмена. В любой момент различные компании могут стать мишенями компьютерных атак и векторами распространения угроз, в том числе в отношении КИИ.

При этом было отмечено, что речь идет не о передаче сведений о защищенности информационных ресурсов компании. Для ведомства важно получать сведения об атаках, индикаторы компрометации, чтобы оперативно выпускать оповещения. Предоставление из ГосСОПКА сведений, составляющих государственную либо иную охраняемую законом тайну, осуществляется в соответствии с законодательством Российской Федерации через Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

Отдельная сессия была посвящена функционированию и взаимодействию центров ГосСОПКА. Представители ФСБ России рассказали о нормативном регулировании деятельности, роли указанных центров в обеспечении безопасности КИИ.

До 1 января 2018 года планируется выпуск шести нормативных документов, в числе которых:

  1. Положение о Национальном координационном центре по компьютерным инцидентам.
  2. Перечень информации, предоставляемой в ГосСОПКА.
  3. Порядок обмена информацией о компьютерных инцидентах.
  4. Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер ликвидации последствий.
  5. Требования к средствам ГосСОПКА.
  6. Порядок, технические условия установки и эксплуатации средств ГосСОПКА.

В докладе о роли центров ГосСОПКА были выделены основные функции, которые данные центры должны реализовывать:

  • методическое сопровождение и внедрение успешного практического опыта («лучших практик»);

  • формирование и поддержание в актуальном состоянии сведений о зоне ответственности центра ГосСОПКА (перечни информационных ресурсов, используемых средств защиты, ресурсов в сети Интернет, доменных имен и др.), а также передача указанной информации в НКЦКИ;

  • сбор и анализ информации об актуальных угрозах, уязвимостях;

  • мониторинг событий информационной безопасности;

  • выявление уязвимостей информационных систем, их устранение;

  • моделирование и анализ угроз информационной безопасности;

  • прием, обработка, учет и хранение информации о компьютерных инцидентах;

  • реагирование на компьютерные инциденты, установление причин их возникновения и анализ последствий (установление масштаба причиненного ущерба);

  • ликвидация последствий компьютерного инцидента;

  • профилирование защищаемых систем и средств по результатам анализа инцидентов;

  • взаимодействие с НКЦКИ;

  • подготовка отчетных материалов;

  • повышение осведомленности и квалификации персонала и пользователей информационных систем.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Единое управление для всех NGFW: «Солар» упрощает защиту распределенных корпоративных сетей

Единое управление для всех NGFW: «Солар» упрощает защиту распределенных корпоративных сетей

Узнать больше
Метод «Солара»: готовим аналитиков SOC к реальным вызовам кибербезопасности

Метод «Солара»: готовим аналитиков SOC к реальным вызовам кибербезопасности

Узнать больше
Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Узнать больше
Новая линейка ПАК Solar NGFW: защита уровня enterprise для корпораций и МСБ в самых атакуемых отраслях

Новая линейка ПАК Solar NGFW: защита уровня enterprise для корпораций и МСБ в самых атакуемых отраслях

Узнать больше
ГК «Солар»: число уязвимостей в веб-приложениях во II квартале выросло почти на 60%

ГК «Солар»: число уязвимостей в веб-приложениях во II квартале выросло почти на 60%

Узнать больше
Во время ЕГЭ на 30% выросло число вредоносных ресурсов, нацеленных на школьников

Во время ЕГЭ на 30% выросло число вредоносных ресурсов, нацеленных на школьников

Узнать больше
От почты до мессенджеров: комплексная защита данных на базе обновлённой версии Solar Dozor 8.1

От почты до мессенджеров: комплексная защита данных на базе обновлённой версии Solar Dozor 8.1

Узнать больше
Как ИТ-специалисту перейти в кибербезопасность

Как ИТ-специалисту перейти в кибербезопасность

Узнать больше
Solar Dozor интегрируется с «МойОфис Документы Онлайн» для защиты данных

Solar Dozor интегрируется с «МойОфис Документы Онлайн» для защиты данных

Узнать больше
Идти навстречу бизнесу: «Солар» запустил промоакцию на облачный SOC для компаний с разными бюджетами

Идти навстречу бизнесу: «Солар» запустил промоакцию на облачный SOC для компаний с разными бюджетами

Узнать больше