Аккредитация центров ГосСОПКА
Федеральная служба безопасности (ФСБ) подготовила проект приказа об аккредитации центров ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерным атакам). Об этом в ходе конференции SOC Forum 2024 сообщил сотрудник НКЦКИ (Национальный координационный центр по компьютерным инцидентам) Дмитрий Зенцов.
ГосСОПКА была создана ФСБ в 2013 г. для координации противодействия компьютерным атакам, соответствующее поручение дал Президент России Владимир Путин. В 2017 г. был принят закон «О критической информационной инфраструктуре» (КИИ), определяющий перечень субъектов (как государственных, так и коммерческих), которые обязаны подключиться к ГосСОПКА.
Среди них организации из сфер здравоохранения, науки, транспорта, связи, энергетика, банковской сферы и финансового рынка, топливно-энергетического комплекса, атомной энергетики, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Реестр субъектов КИИ ведет ФСТЭК (Федеральная служба по техническому и экспортному контролю). Для взаимодействия субъектов КИИ ФСБ создала НКЦКИ. В 2022 г. Владимир Путин подписал указ №250, обязывающий субъекты КИИ перейти на отечественное ПО в сфере защиты информации с 1 января 2025 г. Также субъектов КИИ обязали создать структурные подразделения, ответственные за взаимодействие с ГосСПОКА, и возложить соответствующие полномочия на заместителей руководителей соответствующих организаций.
При этом субъектам КИИ разрешили привлекать специальные организации – центры ГосСОПКА – к выполнению указанных организаций. Для этого центры ГосСОПКА должны иметь лицензию на осуществление деятельности по технической защите информации и быть аккредитованными. Функции аккредитации были возложены на ФСБ. В июне 2024 г. Президент скорректировал Указ №250, указав, что ФСБ также должна определить порядок и требования к аккредитации центров ГосСОПКА и осуществлять контроль за их деятельностью.
До той поры центры ГосСОПКА работали на основании соглашений с НКЦКИ или ФСБ. Указ «250 предусматривает переходный период, в течение которого центры ГосСОПКА могут продолжать работу по подобного рода инструментам. В соответствие с принятым в конце 2022 г. приказом ФСБ, переходный установлен на три года – то есть до 12 декабря 2025 г. При этом аккредитация является обязательной и для центров, имеющих соглашения с ФСБ или НКЦКИ, поясняет Зенцов.
Как некоторые центры ГосСОПКА не могут работать с XML
В рамках процесса аккредитации требования к работе центров ГосСОПКА была ужесточены. Причина для этого оказалась весьма прозаична. В конце 2023 г. НКЦКИ издал приказ №2, который обязывал центры ГосСОПКА сдавать отчетность в машиночитаемом виде о зонах своей ответственности. Предполагалось, что отчетность должна сдаваться в формате XML.
«Оказалось, что для многих центров ГосСОПКА XML – это «утраченная технология древних цивилизаций, - говорит Зенцов. – Кто-то смог прислать все необходимые документы к 1 января 2024 г. Кто-то смог это сделать не с первого раза, кто-то до сих пор не смог. Но если не можете сформировать XML-документ, то о каком мониторинге информационных центров может идти речь? Значит, не все центры ГосСОПКА одинаково хорошо работают и необходим контроль и ужесточение работы. При этом просто заключения соглашений с центрами ГосСОПКА уже будет недостаточно».
Запрет на работу сотрудников центров ГосСОПКА из-за рубежа
Одно из новых требований состоит в ограничение деятельности сотрудников центра ГосСОПКА из-за рубежа. Это вызвано необходимостью минимизации рисков по информационной безопасности, который могут представлять находящиеся зарубежом сотрудники. По словам Зенцова, в большинстве случае объекты КИИ находятся внутри России. Случаи с зарубежными площадками будут решать отдельно.
Требования к центрам ГосСОПКА
Упомянутый проект приказа ФСБ предусматривает порядок подачи заявки и ее рассмотрения, прохождения проверки, а также порядок приостановления и отзыва аккредитации. Процедура проверки будет состоять из документальной (проверка достоверности представленных сведений), проверки навыков и знаний сотрудников центра ГосСОПКА и проверки практических навыков (предполагает выполнение виртуальных заданий по основным направлениям деятельности на специальном стенде ГосСОПКА). Срок аккредитации составит пять лет, это вызвано изменяющими требованиями в сфере информационной безопасности.
Основания для приостановления аккредитации (или процесса аккредитации) могут быть выявления несоответствия представленных сведений и выявление нарушений в работе центра ГосСОПКА. В этом случае будет предоставлен срок на устранение нарушений. В случае неустранения нарушений или выявления повторного нарушения аккредитация будет отозвана с уведомлением об этом центра ГосСОПКА и его клиентов.
Центры ГосСОПКа будут аккредитоваться по четырем направлениям деятельности: обнаружением компьютерных атак и регистрация компьютерных инцидентов; проведение мероприятий по реагированию и ликвидации их последствий; проведение мероприятий по оценке защищенности информационных ресурсов от компьютерных атак (пентест); координация подразделений сегментов ГосСОПКА и анализ рынка (отраслевые и ведомственные центры, правильная координация всех субъектов обеспечения безопасности).
Обязательными требованиями к центрам ГосСОПКА станут: взаимодействие с НКЦКИ посредством технической инфраструктуры НКЦКИ (запасной вариант на случай аварийных ситуаций, оперативная доставка информации); выполнение информационных заданий НКЦКИ в плоскости обнаружения и реагирования компьютерных атак и инцидентов; предоставление доступа сотрудникам НКЦКИ при осуществлении контроля за деятельностью центров ГосСОПКА; обязательное ежегодное проведение оценки защищенности своих информационных ресурсов центров ГосСОПКА.
«Нарушители хорошо координируют свою деятельность, центрам ГосСОПКИ важно не отставать от нарушителей и тоже координировать свою деятельность, - объясняет Дмитрий Зенцов. – Организация контроля за центрами ГосСОПКА – это обязанность НКЦКИ, за некоторыми товарищами иногда надо приглядывать, не всегда некоторые товарищи могут эффективно работать. Также следует понимать, что центр ГосСОПКА – не просто поставщик, он имеет доступ ко многим значимым ресурсам, в связи с чем необходимо следить за ресурсами самого центра».