Приказом № 196 ФСБ России от 06.05.2019 утверждены требования к средствам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Данный документ, как следует из названия, устанавливает требования к средствам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и поэтому будет полезен в первую очередь для субъектов критической информационной инфраструктуры (КИИ), создающих собственный центр ГосСОПКА.
Рассматриваемый приказ является одним из набора документов, разрабатываемого регулятором по теме обеспечения безопасности КИИ и взаимодействия с ГосСОПКА (первые 3 приказа мы рассматривали чуть раньше).
Документ условно можно разделить на две части: требования в части реализации функций отдельных компонентов средств ГосСОПКА и общие требования к средствам ГосСОПКА.
В 1 разделе приказа определяются категории средств, относимых к средствам ГосСОПКА. В свою очередь в разделах 3−7 подробно описаны функции каждой категорий средств и задачи, выполняемые средствами в рамках данных функций.
Так, к средствам ГосСОПКА регулятор относит технические, программные и программно-аппаратные средства, осуществляющие функции обнаружения компьютерных атак, их предупреждения, ликвидации последствий и поиска признаков, а также средства обмена информацией о компьютерных атаках и криптографической защиты такой информации.
Основные функции каждой из категории средств напрямую соотносятся с их названием: функциями средства обнаружения являются сбор и обработка информации о событиях информационной безопасности (ИБ), поступающих от различных средств защиты информации, и анализ события ИБ с целью выявления инцидентов.
При этом имеют место аспекты, заслуживающие отдельного внимания: например, применительно к средствам обнаружения анализ событий ИБ должен осуществляется как в отношении вновь собранных, так и уже зарегистрированных событий ИБ. Такой функционал способствует выявлению «пропущенных» инцидентов, признаки выявления которых отсутствовали ранее и позволяет более детально проследить развитие инцидента в ретроспективе и наиболее корректно подойти к вопросу корректировки текущей системы защиты.
Отдельно внимания заслуживает требование, связанное с обеспечением безопасности информации при ее обмене с участниками информационного взаимодействия (Национальным координационным центром по компьютерным инцидентам): используемые в ГоСОПКА средства криптографической защиты информации (СКЗИ) должны быть сертифицированы в системе сертификации СКЗИ.
Общие требования к средствам ГосСОПКА представлены в разделах 2, 8 и 9 рассматриваемого документа, в которых соответственно определены требования общего характера, требования в части реализации функций безопасности, требования в части построения и визуализации отчетов соответственно.
Так, требования, перечисленные в разделе 2, подразумевают исключение возможности управления средствами ГосСОПКА третьими лицами и несанкционированной передачи информации таким лицам. Кроме того, стоит обратить внимание на требования к лицам, осуществляющим модернизацию средств ГосСОПКА и их техническую поддержку — российские организации, не находящиеся под контролем иностранных лиц.
В разделе 8 регулятор подробно описывает требования к функциям безопасности, которые должны обеспечивать средства ГосСОПКА. Требования объединены в следующие категории:
1. Идентификация и аутентификация пользователей средств ГосСОПКА. 2. Разграничение прав доступа к информации и средствам ГоСОПКА. 3. Регистрация событий ИБ. 4. Обновление ПО и служебных баз данных средств ГоСОПКА. 5. Резервирование и восстановление средств ГосСОПКА. 6. Контроль целостности программного обеспечения средств ГосСОПКА. 7. Синхронизация сетевого времени.
Наконец, в средствах ГосСОПКА должен быть предусмотрен функционал по визуализации всей обрабатываемой информации: событий ИБ, инцидентов, уязвимостей и так далее. Такая информация должна собираться в отчеты (графики, таблицы) в «ручном» режиме или автоматически, храниться в течение установленного срока и, при необходимости, экспортироваться и исправляться непосредственным адресатам.
Рассматриваемый приказ достаточно подробно описывает требования к функционалу средств ГосСОПКА и мерам обеспечения безопасности, реализуемым указанными средствами. Данная информация вкупе с методическими документами ФСБ России по теме ГосСОПКА будет весьма полезна для всех организаций, решивших стать центром ГосСОПКА. Для остальных же данный документ может быть интересен с точки зрения понимания того, как ГосСОПКА обеспечивает безопасность объектов критической информационной инфраструктуры.