Добавить в корзинуПозвонить
Найти в Дзене
Синтез закона и технологий
1346 подписчиков

Взаимодействие с ГосСОПКА и защита от DDoS (даже если вы не КИИ)

5
5 мин
Завершаем разбор Приказа №117. Осталась тема, которую многие игнорируют, — взаимодействие с ГосСОПКА (государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак) и защита от DDoS-атак. Важно: это требование касается всех госорганов, государственных унитарных предприятий и государственных учреждений. Статус субъекта КИИ (критической информационной инфраструктуры) значения не имеет. Если у вас есть информационные ресурсы РФ — вы обязаны это делать. Обязанность прописана в двух документах: Под «информационными ресурсами РФ» понимаются любые информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети, которые находятся на территории РФ и принадлежат вашей организации на праве собственности, аренды или ином законном основании. То есть почти все ваши ИС. Шаг 1. Подключиться к личному кабинету НКЦКИ НКЦКИ — Национальный координационный центр по компьютерным инцидентам (структура ФСБ). Чтобы взаимодействовать с Гос
Оглавление

Завершаем разбор Приказа №117. Осталась тема, которую многие игнорируют, — взаимодействие с ГосСОПКА (государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак) и защита от DDoS-атак.

Важно: это требование касается всех госорганов, государственных унитарных предприятий и государственных учреждений. Статус субъекта КИИ (критической информационной инфраструктуры) значения не имеет. Если у вас есть информационные ресурсы РФ — вы обязаны это делать.

Кто и почему должен взаимодействовать с ГосСОПКА

Обязанность прописана в двух документах:

  • Федеральный закон №187-ФЗ «О безопасности КИИ» (ч. 4 ст. 9) — для всех госорганов, ГУП и учреждений, независимо от наличия объектов КИИ.
  • Приказ №117 (п. 59) — дополнительно закрепляет это требование.

Под «информационными ресурсами РФ» понимаются любые информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети, которые находятся на территории РФ и принадлежат вашей организации на праве собственности, аренды или ином законном основании. То есть почти все ваши ИС.

Что нужно сделать: три шага

Шаг 1. Подключиться к личному кабинету НКЦКИ

НКЦКИ — Национальный координационный центр по компьютерным инцидентам (структура ФСБ). Чтобы взаимодействовать с ГосСОПКА, нужно:

  • Изучить Регламент взаимодействия с НКЦКИ (размещён на сайте cert.gov.ru).
  • Направить в НКЦКИ письмо о согласии с регламентом (метод присоединения).
  • Предоставить контактные данные специалистов и первичную инвентаризационную информацию об ИС.
  • Получить доступ к личному кабинету в технической инфраструктуре НКЦКИ.

Личный кабинет — основной канал для обмена информацией об инцидентах и получения предупреждений. Подключение может занять несколько недель, поэтому не откладывайте.

Шаг 2. Заключить регламент взаимодействия

Регламент — это, по сути, договор между вашей организацией и НКЦКИ. В нём прописаны:

  • обязанности вашей организации (сообщать об инцидентах, предоставлять информацию по запросам);
  • каналы взаимодействия (личный кабинет, API, электронная почта как запасной);
  • перечень передаваемой информации.

Без подписанного (присоединённого) регламента взаимодействие официально не считается установленным.

Шаг 3. Организовать защиту от DDoS-атак

Приказ №117 (п. 59) требует, чтобы вы могли противостоять атакам на отказ в обслуживании (DDoS). Для этого:

  • Установить межсетевой экран (файрвол) для фильтрации входящего и исходящего трафика.
  • Составить «белый список» интернет-ресурсов, с которыми ваша ИС может взаимодействовать (указать IP-адреса, протоколы, характеристики потоков).
  • Фильтровать трафик в соответствии с этим списком. Всё, что не в списке, блокировать.

Эти меры нужно реализовать с привлечением провайдера хостинга или оператора связи (анти-DDoS-провайдера). Пропишите соответствующие обязанности в договоре.

Сроки информирования об инцидентах: 24 часа

Если произошёл компьютерный инцидент или компьютерная атака на вашу ИС (включая DDoS), вы обязаны:

  • В течение 24 часов с момента обнаружения сообщить в НКЦКИ (через личный кабинет или по резервным каналам).
  • В течение 24 часов после завершения реагирования отчитаться о результатах.

Что считать инцидентом? Любое событие, которое привело (или могло привести) к нарушению безопасности информации: утечка, заражение вредоносным ПО, успешная DDoS-атака, попытка взлома.

Особый случай: утечка персональных данных

Если инцидент повлёк утечку ПДн, то помимо уведомления в НКЦКИ (через личный кабинет) нужно:

  • Заполнить уведомление на сайте Роскомнадзора — в течение 24 часов.
  • Предоставить результаты внутреннего расследования — в течение 72 часов.
  • Роскомнадзор сам перешлёт информацию в НКЦКИ, но ваша обязанность по взаимодействию с ГосСОПКА остаётся в силе.

Требование к средствам: всё на территории РФ

Программно-аппаратные средства, которые вы используете для фильтрации трафика и защиты от DDoS (межсетевые экраны, анти-DDoS-оборудование), а также инфраструктура провайдера должны находиться на территории Российской Федерации.

Использовать зарубежные облачные сервисы для защиты (например, Cloudflare с зарубежными узлами) нельзя. Только российские лицензированные средства и провайдеры с серверами в РФ.

Что будет, если не подключиться и не отчитываться

  • Штраф по ст. 13.12 КоАП за невыполнение требований о защите информации (до 1,5 млн на юрлицо).
  • Предписание с требованием устранить нарушение в сжатые сроки.
  • При повторном нарушении — дисквалификация руководителя (до 3 лет).
  • При утечке данных из-за DDoS-атаки, которую не отразили — уголовная ответственность.

Кроме того, отсутствие взаимодействия с ГосСОПКА будет расценено как системное нарушение, что увеличит вероятность внеплановой проверки.

Итог: чек-лист для руководителя

  • Подайте заявку на подключение к личному кабинету НКЦКИ. Не ждите инцидента.
  • Заключите регламент взаимодействия (присоединитесь к типовой форме).
  • Внедрите межсетевой экран (брандмауэр) и настройте фильтрацию трафика.
  • Составьте «белый список» разрешённых интернет-ресурсов для ваших ИС.
  • Привлеките российского провайдера услуг защиты от DDoS (все средства в РФ).
  • Назначьте ответственного за информирование НКЦКИ (и запасного на случай отсутствия).
  • Запомните: 24 часа на сообщение об инциденте. Подготовьте шаблоны уведомлений заранее.

Что дальше?

Цикл статей по Приказу №117 завершён. Мы разобрали:

  1. Почему нельзя игнорировать требования.
  2. Как назначить ответственных и разработать Политику.
  3. Как определить класс защищённости ИС.
  4. Модель угроз — зачем и как.
  5. Управление уязвимостями и обновлениями (жёсткие сроки).
  6. Безопасную работу с подрядчиками.
  7. Обучение сотрудников и цифровую гигиену.
  8. Мониторинг, показатели и отчётность перед ФСТЭК.
  9. Аттестацию ИС (когда без неё нельзя).
  10. Взаимодействие с ГосСОПКА и защиту от DDoS.

Следующий большой цикл — защита персональных данных

В ближайшее время запускаем серию статей по 152-ФЗ и требованиям к обработке персональных данных (ПДн). Разберём:

  • обязанности оператора ПДн;
  • согласия, политики, уведомления в РКН;
  • что делать при утечке;
  • новые штрафы и блокировки.

Подписывайтесь, чтобы не пропустить.

📌 Уже сейчас

  • Пройдите тест на готовность к требованиям №117 на synlawtech.ru — узнаете, по каким из 10 тем у вас проблемы.
  • Закажите бесплатную консультацию по выстраиванию системы защиты информации «под ключ».

Спасибо, что были с нами в этом цикле. Вопросы и пожелания по новым темам — в комментарии.

Кибербезопасность
25,6 тыс интересуются