Главная » Блоги Экспертов И ИТ-Компаний » ИБ. Требования ФСБ к средствам защиты КИИ

ИБ. Требования ФСБ к средствам защиты КИИ

Когда только появилась информация о ГосСОПКА у многих специалистов, в том числе и у меня создалось впечатление, что весь основной интеллектуальный анализ атак будет происходить в центрах ГосСОПКА (главном, ведомственных, корпоративных), а на стороне защищаемых ресурсов только некие “сенсоры”, собирающие информацию.
Но недавно опубликованный проект приказа ФСБ России «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» наконец разъяснил, что мы должны увидеть на значимых объектах КИИ для подключения к ГосСОПКА.
Если не учитывать средства поиска атак на сетях электросвязи (которые требуются только для операторов сетей) то для остальных значимых субъектов КИИ необходимы следующие средства (я разделил их на 5 типа, хотя некоторые могут сочетаться в одном решении):
·         средства обнаружения компьютерных атак
·         средства предупреждения компьютерных атак
·         средства учета угроз БИ
·         средства реагирования на компьютерные инциденты
·         средства криптографической защиты обмена информацией
Как обычно я немного упростил формулировки требований и отобразил в виде майнд-карт, для того чтобы можно было быстро, одним взглядом окинуть новые требования ФСБ России.
Средства обнаружения компьютерных атак – под этим ФСБ России подразумевает не IDS, не IPSи не какие-то “сенсоры”. Тут требуется сбор, обработка, автоматический анализ событий ИБ и выявление инцидентов – традиционно такие средства называют SIEM (securityinformationandeventmanagement). Тут нет никаких требований по передачи информации в НКЦКИ. Миллионы “сырых” событий ИБ – это не интересно.  
%25D1%2581%25D1%2580%25D0%25B5%25D0%25B4%25D1%2581%25D1%2582%25D0%25B2%25D0%25B0%2B%25D0%25BE%25D0%25B1%25D0%25BD%25D0%25B0%25D1%2580%25D1%2583%25D0%25B6%25D0%25B5%25D0%25BD%25D0%25B8%25D1%258F.png
Средства предупреждения компьютерных атак – одна часть требований связанна со сбором информации об инфраструктуре, сбором информации об уязвимостях и недостатках в настройке. Эти функции как правило реализуются сканнерами защищенности. Вторая часть требований связана с получением так называемой справочной информации (базы репутаций IP, адреса серверов бот-сетей и т.п.), а также с получение информации об угрозах безопасности информации – как правило такие функции выполняются отдельными средствамиили сервисами предоставление актуальной информации об угрозах.   Тут хочу отдельно отметить требования выгружать в НКЦКИ обобщенную информацию об уязвимостях и автоматически обмениваться с НКЦКИ информацией об угрозах – поэтому не подойдут имеющиеся на рынке готовые решения, должны появится новые решения, заточенные под ГосСОПКА.  
%25D1%2581%25D1%2580%25D0%25B5%25D0%25B4%25D1%2581%25D1%2582%25D0%25B2%25D0%25B0%2B%25D0%25BF%25D1%2580%25D0%25B5%25D0%25B4%25D0%25BE%25D1%2582%25D0%25B2%25D1%2580%25D0%25B0%25D1%2589%25D0%25B5%25D0%25BD%25D0%25B8%25D1%258F.png
 От средств реагирования на компьютерные инциденты требуется иметь возможность обогатить информацию об инциденте данными из других систем (репутации, угрозы, уязвимости, доступные сервисы) и получить в итоге консолидированную информацию которая поможет оперативно отреагировать на инцидент. И именно такая консолидированная информация уже более ценна для НКЦКИ. Тут требуется обеспечить автоматизированный обмен информацией, причем с соблюдением системы идентификации НКЦКИ. Так что потребуются средства, специально разработанные под ГосСОПКА.    
%25D1%2581%25D1%2580%25D0%25B5%25D0%25B4%25D1%2581%25D1%2582%25D0%25B2%25D0%25B0%2B%25D1%2580%25D0%25B5%25D0%25B0%25D0%25B3%25D0%25B8%25D1%2580%25D0%25BE%25D0%25B2%25D0%25B0%25D0%25BD%25D0%25B8%25D1%258F.png
Для СКЗИ одно требование – они должны быть сертифицированными.  
Также в документе приводятся общие требования к средствам. Наиболее интересные из них – возможность модернизации и технической поддержки силами исключительно российских компаний. Это фактически исключает возможность использовать иностранные решения для защиты критических объектов КИИ.
%25D0%259E%25D0%25B1%25D1%2589%25D0%25B8%25D0%25B5%2B%25D1%2582%25D1%2580%25D0%25B5%25D0%25B1%25D0%25BE%25D0%25B2%25D0%25B0%25D0%25BD%25D0%25B8%25D1%258F.png
Ниже общая схема взаимодействия указанных средств.  
%25D1%2581%25D1%2585%25D0%25B5%25D0%25BC%25D0%25B0%2B%25D0%25B3%25D0%25BE%25D1%2581%25D1%2581%25D0%25BE%25D0%25BF%25D0%25BA%25D0%25B0.png
Ещё недавно мы возмущались объемным требованиям к лицензиатам ФСТЭК оказывающим услуги по мониторингу (SOC-и). Сейчас мы пришли к ситуации, когда всем владельцам значимых объектов КИИ (а их может быть тысячи) придется создавать собственные SOC-и в обязательном порядке. Ведь указанные типы средств и функций составляют основу центров мониторинга и реагирования на инциденты.    
PS: Напоследок несколько замечаний к документу:
·         В приказе ФСБ России, в отличие от документов ФСТЭК, приводятся конкретные детальные требования к средствам, но не предусмотрено какой-либо системы оценки средств, указанным требованиям.
Как конечному пользователю узнать, соответствует ли его набор средств указанным требованиям? Запрашивать официальные письма у производителя? Проводить собственные испытания?  
Или в соответствии с другим приказом ФСБ России отправлять перечень предполагаемых средств на согласование с КНЦКИ и в таком случае положительный ответ будет подтверждением соответствия указанных средств требованиям.  Тогда надо запасаться временем на несколько попыток (по 45 календарных дней каждая)
·         Не совсем понятно, как подтвердить возможность осуществления модернизации средств силами исключительно российских компаний? Заранее проводить опрос среди интеграторов? Открытый конкурс на модернизацию?
·         Как можно проверить и подтвердить отсутствие НДВ кроме сертификации?  
·         Не совсем понятно, подойдет ли в свете указанного ПО с открытым исходным кодом (под требования ФСТЭК к лицензиатам вполне подходили gosint, spiderfoot)? Если субъект КИИ самостоятельно будет оказывать себе поддержу ПО, проводить модернизацию, сам оформит для себя формуляр и руководство администратора?
·         Некоторые требования к средствам представляются избыточными. Например, задавая себе вопрос, “действительно ли указанная функция необходима для эффективного обнаружения, предотвращения и реагирования на атаки?” не для всех функций можно ответить положительно. Некоторые – скорее для удобства или для некоторых исключительных ситуаций.  Например, настройка и контроль SLAпо реагированию на инциденты или расчет прогнозов на основе ретроспективного анализа данных.


Источник: http://sborisov.blogspot.com/2018/02/blog-post.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
8 месяцев назад | тэги: siem, soc, ИБ, КИИ, ФСБ, средства защиты
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии

Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>