ГосСОПКА: государственная система обнаружения компьютерных атак

ГосСОПКА — это государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы. Простыми словами: это единая инфраструктура, в которой организации обнаруживают атаки на свои системы, обмениваются сведениями о них с государственным координирующим центром и совместно реагируют. Создание и функционирование системы связаны с 187-ФЗ о безопасности критической информационной инфраструктуры.

Конкретные требования к подключению, форматам обмена и срокам уведомлений стоит сверять с актуальной редакцией нормативных документов — они уточняются. Мы — IT-аутсорсер: строим техническую часть (мониторинг, сбор событий, реагирование); правовую квалификацию обязанностей оставляем юристу.

Зачем нужна такая система

Идея в координации. Атака редко бывает уникальной: тот же вредонос, тот же управляющий сервер, тот же приём могут использоваться против десятков организаций. Если одна компания обнаружила атаку и передала её признаки в общий центр, остальные могут заранее заблокировать угрозу. ГосСОПКА — это механизм такого обмена и совместного реагирования на уровне страны.

Для отдельной организации участие означает две вещи: во-первых, она должна сама уметь обнаруживать атаки и инциденты в своей инфраструктуре; во-вторых, она передаёт сведения об инцидентах в установленном порядке и получает обратную связь — индикаторы компрометации, рекомендации, предупреждения.

Кто подключается

В первую очередь взаимодействие с ГосСОПКА выстраивают субъекты КИИ — особенно те, у кого есть значимые объекты после категорирования. Для них обнаружение инцидентов, уведомление и реагирование становятся частью обязательного процесса защиты значимых объектов (см. приказы ФСТЭК, в т.ч. №239). Точный круг обязанных лиц и сроки нужно сверять с актуальной редакцией закона и подзаконных актов.

Как устроено взаимодействие на практике

Чтобы организация могла участвовать, ей нужна работающая система мониторинга. Технологически это обычно выглядит так:

• Сбор событий. С серверов, сетевого оборудования, средств защиты и приложений собираются логи и события безопасности. Здесь центральную роль играет SIEM — система сбора и корреляции событий.
• Обнаружение. На потоке событий срабатывают правила корреляции и сигнатуры, которые выявляют признаки атак и подозрительную активность.
• Анализ и реагирование. Дежурная смена аналитиков разбирает срабатывания, отсекает ложные, классифицирует инцидент и запускает реагирование. Этим занимается SOC — центр мониторинга и реагирования.
• Уведомление и обмен. Сведения об инцидентах передаются в координирующий центр в установленном порядке; в обратную сторону приходят индикаторы и предупреждения.

То есть взаимодействие с ГосСОПКА опирается на ту же техническую базу, что и любой зрелый мониторинг ИБ. Нужен ли бизнесу полноценный мониторинг и в каком формате — мы разбирали в статье «SOC и мониторинг ИБ: нужен ли бизнесу».

Наша роль

«Кибер Авангард» помогает построить и обслуживать техническую часть, без которой взаимодействие с ГосСОПКА невозможно: разворачиваем и настраиваем SIEM, подключаем источники событий, выстраиваем правила обнаружения, организуем мониторинг и процесс реагирования на инциденты. Готовим техническую документацию. Юридическую квалификацию обязанностей по уведомлению и подключению формирует ваш юрист — работаем в связке.

Связанные термины

• 187-ФЗ — безопасность критической информационной инфраструктуры — закон, с которым связана работа системы
• SIEM — сбор и корреляция событий безопасности — техническая основа обнаружения
• SOC — центр мониторинга и реагирования — кто разбирает инциденты
• Категорирование объектов КИИ — кто обязан выстраивать взаимодействие