О требованиях к средствам ГосСОПКА

Приказом № 196 ФСБ России от 06.05.2019 утверждены требования к средствам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Данный документ, как следует из названия, устанавливает требования к средствам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и поэтому будет полезен в первую очередь для субъектов критической информационной инфраструктуры (КИИ), создающих собственный центр ГосСОПКА.

Рассматриваемый приказ является одним из набора документов, разрабатываемого регулятором по теме обеспечения безопасности КИИ и взаимодействия с ГосСОПКА (первые 3 приказа мы рассматривали чуть раньше).

Документ условно можно разделить на две части: требования в части реализации функций отдельных компонентов средств ГосСОПКА и общие требования к средствам ГосСОПКА.

В 1 разделе приказа определяются категории средств, относимых к средствам ГосСОПКА. В свою очередь в разделах 3−7 подробно описаны функции каждой категорий средств и задачи, выполняемые средствами в рамках данных функций.

Так, к средствам ГосСОПКА регулятор относит технические, программные и программно-аппаратные средства, осуществляющие функции обнаружения компьютерных атак, их предупреждения, ликвидации последствий и поиска признаков, а также средства обмена информацией о компьютерных атаках и криптографической защиты такой информации.

Основные функции каждой из категории средств напрямую соотносятся с их названием: функциями средства обнаружения являются сбор и обработка информации о событиях информационной безопасности (ИБ), поступающих от различных средств защиты информации, и анализ события ИБ с целью выявления инцидентов.

При этом имеют место аспекты, заслуживающие отдельного внимания: например, применительно к средствам обнаружения анализ событий ИБ должен осуществляется как в отношении вновь собранных, так и уже зарегистрированных событий ИБ. Такой функционал способствует выявлению «пропущенных» инцидентов, признаки выявления которых отсутствовали ранее и позволяет более детально проследить развитие инцидента в ретроспективе и наиболее корректно подойти к вопросу корректировки текущей системы защиты.

Отдельно внимания заслуживает требование, связанное с обеспечением безопасности информации при ее обмене с участниками информационного взаимодействия (Национальным координационным центром по компьютерным инцидентам): используемые в ГоСОПКА средства криптографической защиты информации (СКЗИ) должны быть сертифицированы в системе сертификации СКЗИ.

Общие требования к средствам ГосСОПКА представлены в разделах 2, 8 и 9 рассматриваемого документа, в которых соответственно определены требования общего характера, требования в части реализации функций безопасности, требования в части построения и визуализации отчетов соответственно.

Так, требования, перечисленные в разделе 2, подразумевают исключение возможности управления средствами ГосСОПКА третьими лицами и несанкционированной передачи информации таким лицам. Кроме того, стоит обратить внимание на требования к лицам, осуществляющим модернизацию средств ГосСОПКА и их техническую поддержку — российские организации, не находящиеся под контролем иностранных лиц.

В разделе 8 регулятор подробно описывает требования к функциям безопасности, которые должны обеспечивать средства ГосСОПКА. Требования объединены в следующие категории:

1. Идентификация и аутентификация пользователей средств ГосСОПКА.
2. Разграничение прав доступа к информации и средствам ГоСОПКА.
3. Регистрация событий ИБ.
4. Обновление ПО и служебных баз данных средств ГоСОПКА.
5. Резервирование и восстановление средств ГосСОПКА.
6. Контроль целостности программного обеспечения средств ГосСОПКА.
7. Синхронизация сетевого времени.

Наконец, в средствах ГосСОПКА должен быть предусмотрен функционал по визуализации всей обрабатываемой информации: событий ИБ, инцидентов, уязвимостей и так далее. Такая информация должна собираться в отчеты (графики, таблицы) в «ручном» режиме или автоматически, храниться в течение установленного срока и, при необходимости, экспортироваться и исправляться непосредственным адресатам.

Рассматриваемый приказ достаточно подробно описывает требования к функционалу средств ГосСОПКА и мерам обеспечения безопасности, реализуемым указанными средствами. Данная информация вкупе с методическими документами ФСБ России по теме ГосСОПКА будет весьма полезна для всех организаций, решивших стать центром ГосСОПКА. Для остальных же данный документ может быть интересен с точки зрения понимания того, как ГосСОПКА обеспечивает безопасность объектов критической информационной инфраструктуры.