Система виявлення попередження та ліквідації комп'ютерних атак. Створення держсистеми виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси РФ – Російська газета. Президента Російської Федерації

ПРЕЗИДЕНТА РОСІЙСЬКОЇ ФЕДЕРАЦІЇ

Про вдосконалення державної системивиявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурсиРосійської Федерації


З метою вдосконалення державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації та відповідно до статті 6 Федерального закону від 26 липня 2017 р. N 187-ФЗ "Про безпеку критичної інформаційної інфраструктури Російської Федерації"

ухвалюю:

1. Покласти на Федеральну службу безпеки Російської Федерації функції федерального органу виконавчої влади, уповноваженого в галузі забезпечення функціонування державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації - інформаційні системи, інформаційно-телекомунікаційні мережі та автоматизовані системиуправління, що знаходяться на території Російської Федерації, у дипломатичних представництвах та консульських установах Російської Федерації.

2. Установити, що завданнями державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації є:

а) прогнозування ситуації у сфері забезпечення інформаційної безпекиРосійської Федерації;

б) забезпечення взаємодії власників інформаційних ресурсів Російської Федерації, операторів зв'язку, інших суб'єктів, які здійснюють ліцензовану діяльність у галузі захисту інформації, при вирішенні завдань, що стосуються виявлення, попередження та ліквідації наслідків комп'ютерних атак;

в) здійснення контролю рівня захищеності інформаційних ресурсів Російської Федерації від комп'ютерних атак;

г) встановлення причин комп'ютерних інцидентів, пов'язаних із функціонуванням інформаційних ресурсів Російської Федерації.

3. Встановити, що Федеральна службабезпеки Російської Федерації:

а) забезпечує та контролює функціонування державної системи, названої у пункті 1 цього Указу;

б) формує та реалізує в межах своїх повноважень державну науково-технічну політику в галузі виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації;

в) розробляє методичні рекомендації:

виявлення комп'ютерних атак на інформаційні ресурси Російської Федерації;

щодо попередження та встановлення причин комп'ютерних інцидентів, пов'язаних з функціонуванням інформаційних ресурсів Російської Федерації, а також щодо ліквідації наслідків цих інцидентів.

4. Внести до пункту 9 Положення про Федеральну службу безпеки Російської Федерації, затвердженого Указом Президента Російської Федерації від 11 серпня 2003 р. N 960 "Питання Федеральної служби безпеки Російської Федерації" (Збори законодавства Російської Федерації, 2003, N 33, ст.3254; 2004, N 28, ст.2883; N 36, ст.3665; N 49, ст.6133, N 53, ст.6554; .2435, 2011, N 2, ст.267; ;N 26, ст.3314, N 52, ст.7137, 7139; ; 2017, N 21, ст.2991), наступні зміни:

а) підпункт 20_1

"20_1) у межах своїх повноважень розробляє та затверджує нормативні та методичні документи з питань забезпечення інформаційної безпеки інформаційних систем, створених з використанням суперкомп'ютерних та грід-технологій, інформаційних ресурсів Російської Федерації, а також здійснює контроль за забезпеченням інформаційної безпеки зазначених систем та ресурсів;" ;

б) підпункт 47 викласти у такій редакції:

"47) організовує та проводить дослідження в галузі захисту інформації, експертні криптографічні, інженерно-криптографічні та спеціальні дослідження шифрувальних засобів, спеціальних та закритих інформаційно-телекомунікаційних систем, інформаційних систем, створених з використанням суперкомп'ютерних та грід-технологій, а також інформаційних ресурсів Російської Федерації ;";

в) підпункт 49 викласти у такій редакції:

"49) здійснює підготовку експертних висновків на пропозиції щодо проведення робіт зі створення спеціальних та захищених з використанням шифрувальних (криптографічних) засобів інформаційно-телекомунікаційних систем та мереж зв'язку, інформаційних систем, створених з використанням суперкомп'ютерних та грід-технологій, а також інформаційних ресурсів Російської Федерації ;".

5. Внести до Указу Президента Російської Федерації від 15 січня 2013 р. N 31с "Про створення державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації" (Збори законодавства Російської Федерації, 2013, N 3, ст.178) наступні зміни:

а) з пункту 1 слова "- інформаційні системи та інформаційно-телекомунікаційні мережі, що знаходяться на території Російської Федерації та в дипломатичних представництвах та консульських установах Російської Федерації за кордоном" виключити;

б) пункт 2 та підпункти "а" - "е" пункту 3 визнати такими, що втратили чинність.

Президент
Російської Федерації
В.Путін

Електронний текст документа
підготовлений АТ "Кодекс" і звірений.

"Про безпеку критичної інформаційної інфраструктури Російської Федерації"). У ньому одним із завдань системи безпеки критичної інформаційної інфраструктури (КІІ), крім забезпечення власної безпеки, заявлено безперервну взаємодію об'єктів КІІ, таких як охорона здоров'я, наука, транспорт, атомна промисловість, енергетика та інші, з ДержСОПКУ.

Причому заходи щодо моніторингу штатного функціонування ІТ-ресурсів, автоматизованих систем управління та телекомунікаційного обладнання, а також виявлення та прогнозування загроз інформаційній безпеці мають проводитись у безперервному режимі. Для вирішення у тому числі завдання безперервності при обмежених кадрових ресурсах існує можливість залучення комерційних організацій, які здійснюють діяльність у сфері захисту інформації.

ДержСОПКА. Загальний опис структури

державна система виявлення, попередження та ліквідації наслідків комп'ютерних атак є територіально розподіленою сукупністю центрів (сил та засобів), організованою за відомчим та територіальним принципами. Один із них – Національний координаційний центр з комп'ютерних інцидентів.

Створення такої системи послужили такі нормативні акти:

  • Указ президента РФ від 15 січня 2013 № 31с;
  • Основні напрями державної політики у сфері забезпечення безпеки автоматизованих систем управління виробничими та технологічними процесами критично важливих об'єктів інфраструктури Російської Федерації (затверджені президентом РФ 3 лютого 2012 року, № 803);
  • Концепція державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації (№ До 1274 від 12 грудня 2014 року);
  • Федеральний закон № 187-ФЗ від 26.07.2017 «Про безпеку критичної інформаційної інфраструктури Російської Федерації»;
  • Методичні рекомендації щодо створення відомчих та корпоративних центрів ДержСОПКА від Центру захисту інформації та спеціального зв'язку Федеральної служби безпеки.
Ієрархія взаємодії центрів ДержСОПКА

ДержСОПКА. Стадії створення

Глобально у напрямі безпеки КІІ можна виділити кілька стадій створення сегменту ДержСОПКУ в організації:
  • визначення зони відповідальності, поточного складу та стану інфраструктур, що захищаються, і «моделі загроз»;
  • запуск або адаптація інструментів, потрібних для забезпечення функцій центру;
  • забезпечення виконання процесів ДержСОПКУ;
  • формування та підтримання в актуальному стані деталізованої інформації про інформаційні ресурси, що перебувають у зоні відповідальності відомчого центру;
  • збір та аналіз інформації про комп'ютерні атаки та викликані ними комп'ютерні інциденти;
  • проведення заходів щодо оперативного реагування на комп'ютерні атаки та викликані ними комп'ютерні інциденти, а також щодо ліквідації їх наслідків в інформаційних ресурсах;
  • прийняття керуючих рішень щодо забезпечення інформаційної безпеки інформаційних ресурсів;
  • виявлення, збирання та аналіз відомостей про вразливості, а також проведення заходів щодо оцінки захищеності від комп'ютерних атак та вірусних заражень інформаційних ресурсів;
  • інформування зацікавлених осіб та суб'єктів ДержСОПКУ з питань виявлення, попередження та ліквідації наслідків комп'ютерних атак;
  • забезпечення захисту даних, що передаються між відомчим центром та Головним центром каналами, захищеним з використанням сертифікованих ФСБ Росії засобів захисту інформації;
  • надання додаткової інформаціїпро комп'ютерні інциденти в інформаційно-телекомунікаційних мережах, що перебувають у зоні відповідальності відомчого центру, на запит Головного центру ДержСОПКА;
  • забезпечення взаємодії з вищим центром ДержСОПКА з питань стану захищеності та інцидентів, що виникають.

Структура та основні напрямки діяльності ДержСОПКУ
Важливу роль у забезпеченні безпеки виконують відомчі центри, до функцій яких крім забезпечення безпеки в зоні відповідальності входить агрегація інформації про захищеність та інциденти, що відбуваються, у всіх підвідомчих організацій. У їх завдання також входять проведення аналітики на підставі отриманих даних, виявлення загальних трендів або актуальних векторів та передача інформації про них до центрів нижче.

У результаті одержувана інформація про види шкідливого ПЗ і сценарії атаки, що використовуються, дозволяє ДержСОПКА як «інформаційному хабу» проводити аналітику актуальності векторів для інших підключених організацій і в режимі інформаційної взаємодії формувати адресний сигнал суб'єктам критичної інформаційної інфраструктури для організації превентивного захисту.

ДержСОПКА. Завдання

Визначення зони відповідальності та стану захищеності

Стартові завдання створення сегмента дуже схожі на класичні роботи з будь-якого проекту інформаційної безпеки:

  • визначення переліку інформаційних систем та інфраструктур, що потребують захисту (інвентаризація), що окремо – доступні з мережі Інтернет;
  • визначення моделі загроз (комп'ютерних інцидентів, від яких ми плануємо захищатись і на які плануємо реагувати);
  • визначення фактичних можливостей поточної інфраструктури реалізувати захист від зазначених у моделі загроз інцидентів;
  • визначення інструментів та ресурсної (кадрової) бази, яка буде потрібна для реалізації захисту.
Незважаючи на простоту, навіть перша частина завдання - «намалювати периметр» - часто стає вкрай складною. Потенційні сегменти ДержСОПКА часом є територіально розподіленими, складними комплексними інфраструктурами, і зрозуміти, які саме канали виходу в Інтернет є, які сервіси за роки існування компанії опинилися на периметрі, з якою метою і навіщо – досить трудомістке, комплексне завдання.

При побудові прототипу важливо враховувати, які завдання буде вирішувати центру на щоденній основі. Їх можна розділити на чотири великі блоки за функціоналом.

1. Управління інцидентами ІБ:
a. аналіз подій безпеки;
b. виявлення комп'ютерних атак;
c. реєстрація інцидентів;
d. реагування на інциденти та ліквідація наслідків;
e. встановлення причин інцидентів;
f. аналіз результатів усунення наслідків інцидентів

2. Аналіз захищеності інфраструктури:
a. інвентаризація ресурсів;
b. аналіз погроз інформаційної безпеки.

3. Робота з персоналом:
a. підвищення кваліфікації персоналу;
b. прийом повідомлень про можливі інциденти від персоналу.

4. Інформаційна взаємодія з вищим центром.

Варто зазначити, що з погляду і інцидентів, і аналізів захищеності вимоги до центру ДержСОПКА насамперед фокусуються на зовнішньому зловмиснику, тобто хакері/кіберзлочинці. Це видно з найбільш позначених категорій інцидентів: DDoS, ВПО, вразливості, сканування та брутфорси, несанкціонований доступ. Це при всій складності та витонченості поточних кібератак дозволяє точніше визначити пріоритети та інструментарій.

Інструментарій центру ДержСОПКА

Для того, щоб реалізувати достатній рівень захищеності та продуктивну взаємодію з ДержСОПКУ, необхідно підготувати платформу як в організаційному, так і в технічному плані. Якщо спертися на завдання та типи інцидентів, описані вище параграфом, то інструментарій здається цілком прозорим:

  • активні засоби захисту, спрямовані на протидію подолання периметра та антивірусний захист хостів;
  • система виявлення атак, орієнтована на фіксацію спроб експлуатації вразливостей;
  • система захисту від DDoS;
  • сканер уразливостей;
  • система збору та кореляції подій (SIEM) для фіксації сканувань, брутфорсів та фактів несанкціонованого доступу;
  • система service desk та інформаційної взаємодії для замкнутого управління циклом інцидентів та передачі інформації до вищого центру ДержСОПКА.
Але так здається лише на перший погляд. З одного боку, за невеликих обсягів інфраструктури вказані типиінцидентів можна фіксувати без SIEM. З іншого боку, термін «уразливість» трактується досить широко, у тому числі в поточних документах. Якщо можливий вектор атаки може бути реалізований за допомогою вразливості веб-програми, опублікованої в Інтернеті, то очевидно, що система виявлення атак не допоможе нам її зафіксувати та прореагувати. В даному випадку можливий підхід до виявлення та закриття вразливостей шляхом запуску процесу контролю уразливостей програмного кодуабо використання накладених засобів захисту, наприклад Web Application Firewall. Тому це питання на даний момент є точкою нежорсткого регулювання і потребує здорового глузду та практичного підходу до власної захищеності від фахівців з інформаційної безпеки конкретного центру.

Кадрові питання центру та вимоги до кваліфікації

Залишається нерозкритим досить важливе питання: яким чином мають експлуатуватися дані засоби захисту, щоб ефективно забезпечувати безпеку КІІ та реалізацію описаних вище процесів. Досить легко можна побачити, що ці завдання та роботи вимагають суттєвого штату та кваліфікації співробітників для експлуатації. Нижче наведено приклад підходу до ресурсного планування центру.

Роль Функції Кількість
Фахівець з виявлення комп'ютерних атак та інцидентівАналіз подій безпеки, реєстрація інцидентів6
Фахівець із обслуговування технічних засобів SOCЗабезпечення функціонування технічних засобів, що розміщуються в SOC, а також додаткових засобів захисту інформаційних систем6
Фахівець із оцінки захищеностіПроведення інвентаризації інформаційних ресурсів, аналіз виявлених уразливостей та загроз, встановлення відповідності вимог щодо інформаційної безпеки вжитим заходам2
Фахівець із ліквідації наслідків комп'ютерних інцидентівКоординація дій під час реагування на комп'ютерні атаки2
Фахівець із встановлення причин комп'ютерних інцидентівВстановлення причин інцидентів, аналіз наслідків інцидентів2
Аналітик-методистАналіз інформації, що надається фахівцями першої та другої ліній; розробка нормативних документів та методичних рекомендацій2
Технічний експертЕкспертна підтримка відповідно до спеціалізації (шкідливе програмне забезпечення, налаштування засобів захисту, застосування спеціалізованих технічних засобів, оцінка захищеності тощо)2
ЮристНормативно-правовий супровід діяльності SOC1
КерівникУправління діяльністю SOC1
Два застереження:
  • Ця таблиця характеризує області відповідальності, завдання та функції персоналу, а чи не окремі виділені ролі. Тому невірно складати цифри у правому стовпці: аналітик-методист цілком може виконувати завдання щодо оцінки захищеності або бути за сумісництвом керівником центру (хоча це і порушує деяку логіку поділу повноважень);

  • кількісні оцінки фахівців з кожної області є частиною документів, а описують думку автора статті. Насправді, для забезпечення моніторингу та реагування на інциденти в цілодобовому режимі (зовнішні атаки не обмежуються режимом 8*5) так чи інакше потрібно запуск чергової зміни, чисельність якої не може бути меншою за шість осіб. У той же час кадрова стійкість центру вимагає резервування компетенцій: хоча б дві людини повинні мати знання щодо оцінки захищеності, аналізу інцидентів тощо.
Проте з наведеної таблиці видно, що експертизи потрібні найрізноманітніші: як фахівців з аналізу журналів та атак у SIEM-системі, так і команди реагування, готової провести блокування на активних засобах захисту, та розробників нових сценаріїв… Так чи інакше кадрова конструкція центру ДержСОПКА виникає досить масивною і навряд чи може складатися менш як із десяти осіб.

Звісно, ​​не залишаються поза документами та зазначеними функціями центру ДержСОПКА та процесні частини забезпечення безпеки. Визначаються регламенти виявлення. Повинні існувати профілі або flight guide щодо реагування на інциденти, процеси аналізу ефективності робіт, у тому числі щодо усунення інцидентів. Треба займатися прогнозуванням нових загроз. Все це призводить до думки, що роботи, функції та завдання центру ДержСОПКА за основними пунктами збігаються з цілями та завданнями Security Operations Center та їх функціоналу. Що наближає вирішення даної задачі до актуального на даний момент для багатьох компаній напряму – запуску функцій SOC у своїй інфраструктурі.

Насамкінець слід зазначити досить незвичну на поточному етапі регламентування структуру тематики ДержСОПКА. На відміну більшості російських регулюючих документів закон насамперед посилається не так на інструментарій і регламентно-распорядительную базу, але в наявність процесів забезпечення безпеки організації. Такий підхід автоматично створює дуже суттєві вимоги до загального рівня безпеки та кадрового забезпечення центру ДержСОПКА, оскільки без процесів не існує. Відповіддю на цей виклик у загальному кадровому голоді та нестачі фахівців із кібербезпеки справді може стати сервісний підхід із залученням акредитованих комерційних центрів моніторингу та реагування на інциденти до вирішення трудомістких та насичених експертизою завдань із забезпечення безпеки КІІ.

1. Державна система виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації є єдиним територіально розподіленим комплексом, що включає сили та засоби, призначені для виявлення, попередження та ліквідації наслідків комп'ютерних атак та реагування на комп'ютерні інциденти. В цілях цієї статті під інформаційними ресурсами Російської Федерації розуміються інформаційні системи, інформаційно-телекомунікаційні мережі та автоматизовані системи управління, що знаходяться на території Російської Федерації, у дипломатичних представництвах та (або) консульських установах Російської Федерації.

2. До сил, призначених для виявлення, попередження та ліквідації наслідків комп'ютерних атак та реагування на комп'ютерні інциденти, належать:

1) підрозділи та посадові особи федерального органу виконавчої влади, уповноваженого в галузі забезпечення функціонування державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації;

2) організація, створювана федеральним органом виконавчої влади, уповноваженим у сфері забезпечення функціонування державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації, для забезпечення координації діяльності суб'єктів критичної інформаційної інфраструктури з питань виявлення, попередження та ліквідації наслідків комп'ютерних атак реагування на комп'ютерні інциденти (далі – національний координаційний центр з комп'ютерних інцидентів);

3) підрозділи та посадові особи суб'єктів критичної інформаційної інфраструктури, які беруть участь у виявленні, попередженні та ліквідації наслідків комп'ютерних атак та у реагуванні на комп'ютерні інциденти.

3. Засобами, призначеними для виявлення, попередження та ліквідації наслідків комп'ютерних атак та реагування на комп'ютерні інциденти, є технічні, програмні, програмно-апаратні та інші засоби для виявлення (у тому числі для пошуку ознак комп'ютерних атак у мережах електрозв'язку, що використовуються для організації взаємодії об'єктів критичної інформаційної інфраструктури), попередження, ліквідації наслідків комп'ютерних атак та (або) обміну інформацією, необхідної суб'єктам критичної інформаційної інфраструктури при виявленні, попередженні та (або) ліквідації наслідків комп'ютерних атак, а також криптографічні засобизахисту такої інформації.

4. Національний координаційний центр з комп'ютерних інцидентів здійснює свою діяльність відповідно до положення, що затверджується федеральним органом виконавчої влади, уповноваженим у галузі забезпечення функціонування державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації.

5. У державній системі виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації здійснюються збір, накопичення, систематизація та аналіз інформації, яка надходить у цю системучерез засоби, призначені для виявлення, попередження та ліквідації наслідків комп'ютерних атак, інформації, що надається суб'єктами критичної інформаційної інфраструктури та федеральним органом виконавчої влади, уповноваженим у сфері забезпечення безпеки критичної інформаційної інфраструктури Російської Федерації, відповідно до переліку інформації та в порядку, що визначаються федеральним органом виконавчої, уповноваженим у сфері забезпечення функціонування державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації, і навіть інформації, яка може бути іншими суб'єктами критичної інформаційної інфраструктури органами і організаціями, зокрема іноземними і міжнародними.

6. Федеральний орган виконавчої влади, уповноважений у сфері забезпечення функціонування державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації, організує в установленому їм порядку обмін інформацією про комп'ютерні інциденти між суб'єктами критичної інформаційної інфраструктури, а також між суб'єктами критичної інформаційної інфраструктури та уповноваженими органами іноземних держав, міжнародними, міжнародними неурядовими організаціями та іноземними організаціями, які здійснюють діяльність у галузі реагування на комп'ютерні інциденти.

7. Надання з державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації відомостей, що становлять державну або іншу таємницю, що охороняється законом, здійснюється відповідно до законодавства Російської Федерації.

Захист інформації на державному рівні – це цілий комплекс заходів та інструментів. Охороною державної таємниці займаються спеціалізований державний орган – Федеральна служба безпеки. Однак, не вся інформація, що підлягає захисту, може бути віднесена до ГТ. І ось на підтримку наказу №31 і як реакція на ситуацію, що швидко змінюється у світі, президент Володимир Путін указом створює спеціалізовану державну систему ДержСОПКА. Розглянемо докладніше організаційні та технічні аспекти нової державної системи.

У січні 2013р. президент Володимир Путін підписав указ про створення у Росії Державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атакабо ДержСОПКА

Її ключовими завданнями, відповідно до указу президента, має стати прогнозування ситуацій у сфері забезпечення Інформаційної безпеки, забезпечення взаємодії власників ІТ-ресурсів під час вирішення завдань, пов'язаних із виявленням та ліквідацією комп'ютерних атак, з операторами зв'язку та іншими організаціями, які здійснюють діяльність із захисту інформації. . До списку завдань системи входить також оцінка ступеня захищеності критичної ІТ-інфраструктури від комп'ютерних атак та встановлення причин таких інцидентів.

Наступним кроком стала у грудні 2014 року затверджена президентом Володимиром Путіним концепціядержавної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси РФ. А в березні 2015 року ФСБ опублікувала витяг з цього документа, який містить дані про те, як буде влаштована ця система.

Система має захистити від кібератак понад 70 органів виконавчої влади, а також об'єкти критичної інфраструктури: атомні та гідроелектростанції, системи постачання міст та спецсховища Росрезерву. Щоб впоратися з цим завданням, ДержСОПКАзможе в реальному часі проводити моніторинг електронних ресурсів, виявляти та прогнозувати виникнення загроз, а також удосконалювати існуючі системибезпеки, взаємодіючи у тому числі з операторами зв'язку та інтернет-провайдерами.

Згідно з документом, система являє собою єдиний централізований територіально-розподілений комплекс, що включає сили та засоби виявлення, попередження та ліквідації наслідків комп'ютерних атак, федеральний орган влади, уповноважений в галузі забезпечення безпеки критичної інфраструктури РФ та орган влади, уповноважений у галузі створення та забезпечення функціонування системи .

Під «засобами»у концепції маються на увазі, головним чином, технологічні рішення, а під «силами»- Спеціальні підрозділи та співробітники з боку федерального органу влади, відповідального за систему, а також операторів зв'язку та інших організацій, які здійснюють ліцензовану діяльність у сфері захисту інформації.

У складі системи функціонуватиме створений у ФСБ Національний координаційний центр з комп'ютерних інцидентів

Основний організаційно-технічноїскладовою системи є центри виявлення, попередження та ліквідації наслідків комп'ютерних атак, які підрозділятимуться за територіальною та відомчою ознаками. Зокрема, буде організовано головний центр, регіональні, територіальні центри системи, а також центри держорганів та корпоративні центри. Функціонування останніх забезпечуватиметься організаціями, які їх створили.

Відповідно до концепції територіальна структура ДержСОПКА має вигляд:

Також в рамках системи планується організувати взаємодію з правоохоронними та іншими держорганами, власниками інформаційних ресурсів РФ, операторами зв'язку та інтернет-провайдерами на національному та міжнародному рівнях. Воно буде включати обмін інформацією про виявлені комп'ютерні атаки та обмін досвідом у сфері у сфері виявлення та усунення вразливостей ПЗ та обладнання та реагування на комп'ютерні інциденти.

Представник 8 Центру ФСБ озвучив основні завдання відомчих центрів:
  • виявлення ознак проведення комп'ютерних атак формування та підтримання в актуальному стані деталізованої інформації про інформаційні ресурси, що перебувають у зоні відповідальності відомчого центру
  • збір та аналіз інформації про комп'ютерні атаки та викликані ними комп'ютерні інциденти
  • проведення заходів щодо оперативного реагування на комп'ютерні атаки та викликані ними комп'ютерні інциденти, а також щодо ліквідації наслідків даних комп'ютерних інцидентів в інформаційних ресурсах
  • прийняття керуючих рішень щодо забезпечення інформаційної безпеки інформаційних ресурсів
  • виявлення, збирання та аналіз відомостей про вразливості, а також проведення заходів щодо оцінки захищеності від комп'ютерних атак та вірусних заражень інформаційних ресурсів
  • інформування зацікавлених осіб та суб'єктів ДержСОПКУ з питань виявлення, попередження та ліквідації наслідків комп'ютерних атак
  • забезпечення захисту даних, що передаються між відомчим центром та Головним центром каналів, захищеним з використанням сертифікованих ФСБ Росії засобів захисту інформації
  • надання додаткової інформації про комп'ютерні інциденти в інформаційно-телекомунікаційних мережах, що перебувають у зоні відповідальності відомчого центру, на запит Головного центру ДержСОПКУ.

З урахуванням функцій наведених у Концепція, Виходить наступна схема взаємодії ДержСОПКА


  • практична відсутність вітчизняного телекомунікаційного обладнання по всій території країни;
  • топологія транспортної мережі країни з метою забезпечення її живучості вимагає поліпшень.

    • І насамкінець варто згадати про зв'язок FinCERTі ДержСОПКА.За словами Олексія Лукацького, було сказано, що FinCERT, що створюється Центробанком, увійде до складу Системи – мабуть, як відомчий. Лукацький зазначає: "Банкам варто придивитися до СОПКА. Тому є дві причини. Перша - з СОПКА щільно працюватиме FinCERT, передаючи туди інформацію, яку отримують від банків і переробляє FinCERT. Друга - всі ті, хто потрапить під дію закону "Про безпеку критичної інформаційної інфраструктури", повинні будуть підключитися до СОПКА".

    (Виписка)

    З метою забезпечення інформаційної безпеки Російської Федерації ухвалюю:

    1. Покласти на Федеральну службу безпеки Російської Федерації повноваження щодо створення державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації - інформаційні системи та інформаційно-телекомунікаційні мережі, що знаходяться на території Російської Федерації та в дипломатичних представництвах та консульських установах Російської Федерації за кордоном.

    2. Визначити основними завданнями державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації:

    А) прогнозування ситуації у сфері забезпечення інформаційної безпеки Російської Федерації;

    Б) забезпечення взаємодії власників інформаційних ресурсів Російської Федерації, операторів зв'язку, інших суб'єктів, які здійснюють діяльність в галузі захисту інформації, при вирішенні завдань, що стосуються виявлення, попередження та ліквідації наслідків комп'ютерних атак;

    В) здійснення контролю за ступенем захищеності критичної інформаційної інфраструктури Російської Федерації від комп'ютерних атак;

    Г) встановлення причин комп'ютерних інцидентів, пов'язаних із функціонуванням інформаційних ресурсів Російської Федерації.

    3. Встановити, що Федеральна служба безпеки Російської Федерації:

    А) організовує та проводить роботи зі створення державної системи, названої у пункті 1 цього Указу, здійснює контроль за виконанням цих робіт, а також забезпечує у взаємодії з державними органами функціонування її елементів;

    Б) розробляє методику виявлення комп'ютерних атак на інформаційні системи та інформаційно-телекомунікаційні мережі державних органів та за погодженням з їх власниками - на інші інформаційні системи та інформаційно-телекомунікаційні мережі;

    В) визначає порядок обміну інформацією між федеральними органами виконавчої влади про комп'ютерні інциденти, пов'язані з функціонуванням інформаційних ресурсів Російської Федерації;

    Г) організовує та проводить відповідно до законодавства Російської Федерації заходи щодо оцінки ступеня захищеності критичної інформаційної інфраструктури Російської Федерації від комп'ютерних атак;

    Е) визначає порядок обміну інформацією між федеральними органами виконавчої влади та уповноваженими органами іноземних держав (міжнародними організаціями) про комп'ютерні інциденти, пов'язані з функціонуванням інформаційних ресурсів, та організує обмін такою інформацією.

    4. Цей Указ набирає чинності з дня його підписання.

    президент Російської Федерації
    В. Путін

    Прим. ред.: указ опублікований на