Материалы про ГосСОПКА с прошедшего мероприятия

1056

На прошлой неделе прошло небольшое (всего на 80 человек) мероприятие, посвященное практике построения ведомственных и корпоративных центров ГосСОПКА, а также организации информационного обмена.

Ключевым докладчиком стал Алексей Новиков, представитель 8го Центра ФСБ России, который больше часа рассказывал про ГосСОПКА и отвечал на вопросы слушателей.

Мне разрешили выложить презентации с мероприятия, однако вторую (про практику построения системы защиты и подключения к ГосСОПКА для одного крупного гос.проекта/ИС) попросили обезличить (в выложенной версии убраны наименования заказчика и исполнителя, а также детальная схема защиты). Презентации опубликовал в своей группе в ВКонтакте – https://vk.com/isms8020 (кстати, подписывайтесь):

  1. Процессы и средства ведомственных и корпоративных центров, необходимые для решения задач ГосСОПКА
  2. Опыт практической реализации
  3. Подход к решению задач построения и эксплуатации ведомственных и коммерческих центров мониторинга (увы, но попросили убрать презентацию, надеюсь, что временно. кто успел скачать – тот молодец)

Вообще, коллеги из ФСБ России планируют продолжить популяризовать тему ГосСОПКА, ожидаем в других выступлений по теме в ближайшие месяцы, например, на очередном SOC-FORUM. Как сказал Алексей Новиков: “Мы выходим из тени”. Ну, ждем… Кстати, напоминаю, что после принятия ФЗ о КИИ, в ближайшие месяцы мы увидим много новых подзаконных актов (про категорирование и реестр объектов, безопасность, подключение к ГосСОПКА и пр.), часть из которых готовит именно ФСБ России.

Еще решил добавить в заметку несколько идей и моментов, которые отметил для себя во время выступления Алексея Новикова и последующей за ним сессии с вопросами и ответами:

  • Упомянули, что многие сравнивают ГосСОПКА с CERT, CSIRT, SOC, MSSP и новой сущностью MDR (про MDR я писал тут). Но именно сравнение с SOC является наиболее близким.

  • Рассказали про “портфель” сервисов классического SOC (начинать стоит с этого, это минимальный обязательный набор, необходимый для выявления и предотвращения компьютерных атак) и современного SOC (к этому стоит стремиться). В частности, современный SOC должен уметь работать с фидами и помогать при реагировании на инциденты. Красным отмечены автоматизированные системы и средства, а синим то, что требует наличие квалифицированных кадров, и без них не работает… Выделяют 3 класса автоматизированных средств: SIEM (или аналоги), системы учета и обработки инцидентов и средства анализа защищенности. Отдельно упоминали про средства, позволяющие работать с фидами и проводить инвентаризацию.

  • Наибольшее значение при построении и эксплуатации центров ГосСОПКА имеют процессы и специалисты, а не технологии. Именно “процессов” сейчас не хватает в требованиях и рекомендациях по ИБ, “Сейчас назрела ситуация, когда в нормативке не хватает регулирования процессов. Сейчас есть указания как создать, аттестовать и уничтожить систему, но нет указаний как эксплуатировать.”
  • Требования к коммерческим центрам (которые могут оказывать услуги) до конца не определены, но точно появятся. “Может ли ведомственный центр отдавать на аутсорсинг? Наверное часть можно.” Конкретно какие сервисы можно, а какие нельзя пока не готовы сказать, но работают над этим.
  • Критерии и порядок отнесения к КИИ – зона ответственности ФСТЭК России. Упомянули, что на этой неделе будет опубликован проект критериев. Так и произошло – http://regulation.gov.ru/projects#npa=73423
  • Положение о ГосСОПКА сейчас находится в Совете Безопасности РФ. Скоро будет утверждено.
  • Основной формат обмена данными с ГосСОПКА – JSON, но и “эксельки” пока работают. В октябре будет описание API к личным кабинетам участников обмена, а в ноябре планируют их запустить.
  • Очень хотят уйти от модели взаимодействия напрямую с ГЦ, но сейчас пока еще можно так подключиться.

Источник >>>