На прошлой неделе прошло небольшое (всего на 80 человек) мероприятие, посвященное практике построения ведомственных и корпоративных центров ГосСОПКА, а также организации информационного обмена.
Ключевым докладчиком стал Алексей Новиков, представитель 8го Центра ФСБ России, который больше часа рассказывал про ГосСОПКА и отвечал на вопросы слушателей.
Мне разрешили выложить презентации с мероприятия, однако вторую (про практику построения системы защиты и подключения к ГосСОПКА для одного крупного гос.проекта/ИС) попросили обезличить (в выложенной версии убраны наименования заказчика и исполнителя, а также детальная схема защиты). Презентации опубликовал в своей группе в ВКонтакте - https://vk.com/isms8020 (кстати, подписывайтесь):
- Процессы и средства ведомственных и корпоративных центров, необходимые для решения задач ГосСОПКА
- Опыт практической реализации
- Подход к решению задач построения и эксплуатации ведомственных и коммерческих центров мониторинга
Вообще, коллеги из ФСБ России планируют продолжить популяризовать тему ГосСОПКА, ожидаем в других выступлений по теме в ближайшие месяцы, например, на очередном SOC-FORUM . Как сказал Алексей Новиков: "Мы выходим из тени". Ну, ждем... Кстати, напоминаю, что после принятия ФЗ о КИИ, в ближайшие месяцы мы увидим много новых подзаконных актов (про категорирование и реестр объектов, безопасность, подключение к ГосСОПКА и пр.), часть из которых готовит именно ФСБ России.
Еще решил добавить в заметку несколько идей и моментов, которые отметил для себя во время выступления Алексея Новикова и последующей за ним сессии с вопросами и ответами:
- Упомянули, что многие сравнивают ГосСОПКА с CERT, CSIRT, SOC, MSSP и новой сущностью MDR ( про MDR я писал тут ). Но именно сравнение с SOC является наиболее близким.
- Рассказали про "портфель" сервисов классического SOC (начинать стоит с этого, это минимальный обязательный набор, необходимый для выявления и предотвращения компьютерных атак) и современного SOC (к этому стоит стремиться). В частности, современный SOC должен уметь работать с фидами и помогать при реагировании на инциденты. Красным отмечены автоматизированные системы и средства, а синим то, что требует наличие квалифицированных кадров, и без них не работает... Выделяют 3 класса автоматизированных средств: SIEM (или аналоги), системы учета и обработки инцидентов и средства анализа защищенности. Отдельно упоминали про средства, позволяющие работать с фидами и проводить инвентаризацию.
- Наибольшее значение при построении и эксплуатации центров ГосСОПКА имеют процессы и специалисты, а не технологии. Именно "процессов" сейчас не хватает в требованиях и рекомендациях по ИБ, "Сейчас назрела ситуация, когда в нормативке не хватает регулирования процессов. Сейчас есть указания как создать, аттестовать и уничтожить систему, но нет указаний как эксплуатировать."
- Требования к коммерческим центрам (которые могут оказывать услуги) до конца не определены, но точно появятся. "Может ли ведомственный центр отдавать на аутсорсинг? Наверное часть можно." Конкретно какие сервисы можно, а какие нельзя пока не готовы сказать, но работают над этим.
- Критерии и порядок отнесения к КИИ - зона ответственности ФСТЭК России. Упомянули, что на этой неделе будет опубликован проект критериев. Так и произошло - http://regulation.gov.ru/projects#npa=73423
- Положение о ГосСОПКА сейчас находится в Совете Безопасности РФ. Скоро будет утверждено.
- Основной формат обмена данными с ГосСОПКА - JSON, но и "эксельки" пока работают. В октябре будет описание API к личным кабинетам участников обмена, а в ноябре планируют их запустить.
- Очень хотят уйти от модели взаимодействия напрямую с ГЦ, но сейчас пока еще можно так подключиться.
