Вопросами, связанными с созданием и функционированием Центром противодействия киберугрозам (кибератакам) (далее - ЦПК)сейчас активно интересуются практически все организации, попавшие под действие Федерального закона «О безопасности критической информационной инфраструктуры». В данной статье автор рассказывает о роли ЦПК в выполнении требований данного федерального закона, уделяя внимание наиболее часто встречающимся в его практике вопросам.
Обязателен ли ЦПК для выполнения требований по КИИ?
Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ (далее по тексту – закон о безопасности КИИ) возложил на субъектов критической информационной инфраструктуры (далее по тексту – КИИ) обязанности, связанные с реагированием на компьютерные атаки на принадлежащие им объекты КИИ и информированием уполномоченного органа (ФСБ России) о компьютерных инцидентах.
В рамках исполнения перечисленных выше обязанностей резкий толчок в развитии получило направление центров мониторинга и реагирования на инциденты информационной безопасности, часто также называемых SOC(Security Operations Center), CERT(Computer Emergency Response Team), в последнее время, все более часто стали использовать аббревиатуру ЦПК для обозначения данного центра.
Для правильного понимания сущности ЦПК автору хотелось бы обратить внимание на два момента:
- Центры мониторинга и реагирования – это не новация, про них известно уже много лет и многие зрелые, с точки зрения информационной безопасности, компании имели такие центры еще до принятия закона о безопасности КИИ.
- Для выполнения требований закона о безопасности КИИ на текущий момент можно обойтись без ЦПК. Так, закон о безопасности КИИ содержит следующие нормы, касающиеся событий и инцидентов информационной безопасности:
- Статья 9 закона о безопасности КИИ:
- незамедлительно информировать о компьютерных инцидентах ФСБ России и (или) Центральный Банк России в порядке, установленном приказом ФСБ России от 19.06.2019 № 282;
- оказывать содействие должностным лицам ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
- в случае установки на объектах КИИ средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность;
- реагировать на компьютерные инциденты в порядке, утвержденном приказом ФСБ России от 19.06.2019 № 282, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ.
- Статья 10 закона о безопасности КИИ, предусматривает обеспечение непрерывного взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Таким образом, видно, что указанные требования не содержат обязанности субъекта КИИ по созданию ЦПК.
Возникает вопрос, какова роль ЦПК в безопасности КИИ и почему с принятием закона о безопасности КИИ к теме Центров мониторинга и реагирования повысился интерес, который продолжается и по сей день.
Чем вызван интерес к теме ЦПК?
По мнению автора интерес к данной теме обусловлен двумя причинами:
- Общемировые тенденции, связанные с постоянным изменением (совершенствованием) информационных технологий (процессы обработки информации и способы их осуществления) и, как следствие, постоянным появлением новых угроз информационной безопасности, привели к пониманию того, что на практике невозможно создать абсолютно защищенную информационную инфраструктуру, а необходимо создавать систему раннего предупреждения о компьютерном нападении.
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА) основной организационно-технической составляющей которой являются центры обнаружения, предупреждения и ликвидации последствий компьютерных атак, непрерывное взаимодействие с которой обязан обеспечить субъект КИИ в рамках исполнения обязанностей, возложенных на него законодательством.
Таким образом, несмотря на то, что закон о безопасности КИИ не содержит прямого указания по созданию Центров мониторинга и реагирования, обеспечить возможность реагирования на происходящую на критическую информационную инфраструктуру компьютерную атаку на ранних этапах и обеспечить оптимальное взаимодействие с ГосСОПКА для субъектов КИИ имеющих множество взаимосвязанных между собой объектов информационной инфраструктуры, без участия ЦПК будет невозможно.
Исходя из изложенного, логично возникает вопрос о том, в каких же все-таки, случаях создание Центра мониторинга и реагирования необходимо, а в каких без него можно обойтись.
Кому действительно нужен ЦПК и какие варианты реализации выбрать?
По мнению автора, основными критериями для ответа на указанный вопрос будут служить масштаб организации (количество принадлежащих ей объектов КИИ) и наличие связи указанных объектов с внешними сетями.
Так, если все объекты представляют собой изолированные от внешних сетей системы, то создание для них системы мониторинга (по сути связывание в единую систему) приведет к появлению новых угроз: все системы станут взаимосвязаны и неблагоприятное воздействие на одну из них, например заражение вредоносным кодом со съемного носителя, может привести к воздействию на все остальные. Если количество объектов КИИ невелико (5-10) и они находятся в пределах одной контролируемой зоны, то осуществлять контроль за указанной инфраструктурой можно и без создания отдельного специализированного центра.
Если же субъект КИИ обладает большим количеством объектов, они территориально распределены и имеют подключение к сетям связи общего доступа, то вопрос создания собственного Центра мониторинга и реагирования или передача функций в части мониторинга и управления событиями (инцидентами) провайдеру услуг ЦПК уже становится актуальным, т.к. обеспечить адекватный мониторинг и своевременное реагирование на компьютерные атаки и компьютерные инциденты в большой и сложной информационной инфраструктуре без использование специализированной структурной единицы становится невозможным.
При этом, следует отметить, что создавать собственный Центр мониторинга и реагирования даже в этом случае не обязательно, т.к. можно воспользоваться услугами провайдера ЦПК, которых на рынке существует множество. Следовательно, для многих субъектов КИИ актуальным становится вопрос о том, какой из указанных вариантов все-таки выбрать? По мнению автора, в каждом конкретном случае исходя из особенностей деловых процессов организации, имеющихся бюджетов на информационную безопасность и сроков, должно приниматься отдельное решение.
Подробнее о том, какой ЦПК лучше – свой или внешний читайте в статье автора «Что лучше: свой SOC или внешний?»
Таким образом, Центры мониторинга и реагирования представляют собой систему раннего предупреждения о компьютерном нападении способную выявлять атаки на информационную инфраструктуру субъекта КИИ на ранних стадиях и осуществлять мероприятия по реагированию и нейтрализации последствий компьютерных атак предотвращая ее негативное воздействие и тем самым осуществлять предупреждение нарушения функционирования объектов КИИ, т.е. не допускать компьютерные инциденты.
Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.
Мы в ВК: https://vk.com/vkaciso
Наш сайт: aciso.ru
Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!
