ГосСОПКА: какие задачи решает, кому необходимо к ней подключиться, и как это сделать

Защитить ИТ-инфраструктуру компании с помощью антивирусов и одного штатного безопасника в 21 веке невозможно: компьютерные атаки становятся мощнее, а киберпреступники опытнее. Поэтому инциденты ИБ могут спровоцировать не только кражу данных, но и нанести серьезный ущерб отдельным организациям и государству в целом.

Чтобы не допустить таких ситуаций, в России создали специальную систему ГосСОПКА. В этом материале мы рассказали, какие задачи она выполняет, кто обязан к ней подключиться и как это сделать легко и быстро.

Что такое ГосСОПКА

ГосСОПКА — это государственная система предупреждения, обнаружения и ликвидации последствий компьютерных атак на критическую информационную инфраструктуру (КИИ) Российской Федерации.

Работу ГосСОПКА регулирует большая нормативно-правовая база: Федеральные законы, Указы Президента, Постановления РФ, Приказы ФСТЭК, Приказы ФСБ, Методические указания. Но основной документ — это Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ.

В систему входят:

• Национальный координационный центр по компьютерным инцидентам (НКЦКИ);
• ведомственные, территориальные и корпоративные центры ГосСОПКА.

Ведомственные, территориальные и корпоративные центры ГосСОПКА собирают и анализируют информацию о компьютерных атаках, оперативно реагируют на угрозы ИБ.

Основные задачи ГосСОПКА:

• прогнозировать информационную безопасность РФ;
• взаимодействовать с организацией-владельцем информационных ресурсов;
• контролировать защищенность информационных ресурсов РФ от кибератак;
• расследовать компьютерные инциденты.

Кто должен подключиться к ГосСОПКА

ГосСОПКА — открытая система, к ней могут присоединиться по желанию любые организации. Но есть те, которые обязаны подключиться к системе, это субъекты критической информационной инфраструктуры. Причем не важно, какой они организационно-правовой формы (ООО, ОАО) и в какой сфере трудятся. Обычно к субъектам КИИ относятся органы государственной власти и российские организации:

• здравоохранения;
• науки;
• транспорта; 
• связи;
• энергетики и ТЭК;
• банковского сектора и финансового рынка;
• атомной энергии;
• оборонной и ракетно-космической отраслей;
• горнодобывающей, металлургической и химической промышленности.

Какие сведения необходимо передавать в ГосСОПКА

Сведения, которые необходимо передать в ГосСОПКА, установлены в Приказе ФСБ России № 367, это:

• категории значимости объекта;
• защищенность информационных ресурсов, доступных из Интернета;
• нарушения требований по обеспечению безопасности;
• компьютерные инциденты и атаки, которые связаны с функционированием объекта;
• обнаруженные индикаторы компрометации информационных ресурсов;
• состав информационных ресурсов (инвентаризация).

Как передавать сведения в ГосСОПКА

Есть несколько способов для передачи сведений в ГосСОПКА: 

• с использованием инфраструктуры НКЦКИ. В этом случае субъекту КИИ нужно подключиться к инфраструктуре самостоятельно или через Центры ГосСОПКА;
• по факсу, телефону или электронной почте.

Сотрудники субъекта КИИ обязаны сообщить об инциденте ИБ в течение трех часов с момента его обнаружения для значимых объектов КИИ и в течение 24 часов для остальных объектов.

Как подключиться к ГосСОПКА

Подключиться к ГосСОПКА организация может двумя способами: создать своими силами центр мониторинга инцидентов информационной безопасности (SOC) и подключить его к ГосСОПКА или подключиться к уже готовому SOC сторонней организации и интегрировать его с информационной инфраструктурой.

Создать Центр ГосСОПКА силами организации

Создать SOC с нуля и интегрировать его с системой ГосСОПКА силами своей организации долго и дорого, потому что для этого нужно выполнить большой пул задач:

• согласовать с ФСБ России создание SOC;
• сформулировать миссию и регламенты для SOC;
• проанализировать уязвимости, угрозы, нарушителей и требования политик информационной безопасности;
• разработать нормативные и методические документы;
• обучить сотрудников;
• расширить SOC на всю ИТ-инфраструктуру и интегрировать в другие процессы;
• поддерживать непрерывную работу и постоянную модернизацию центра;
• выполнить все требования ФЗ-187 и подключить SOC к системе ГосСОПКА.

Организации сталкиваются с необходимостью выполнять требования большого количества нормативно-правовых актов, создавать сложные технические решения и привлекать дополнительные ресурсы, чтобы создать собственный SOC.

Подключиться к SOC ITGLOBAL.COM

Организация может сэкономить время и деньги, если делегирует подключение к SOC профессионалам, которые накопили достаточно данных об инцидентах в сфере ИБ: знают, как выстроить процессы, какие инструменты и как использовать, чтобы SOC был по-настоящему эффективным.

Команда ITGLOBAL.COM Security подключает субьекты КИИ к собственому Security Operation Center (SOC), который имеет все необходимые лицензии и соответствует требованиям ФЗ-187. Специалисты по ИБ круглосуточно мониторят состояние ИТ-инфраструктуры компании на предмет потенциальных взломов, утечек конфиденциальной информации и киберугроз.

В рамках подключения к SOC эксперты ITGLOBAL.COM Security:

• проводят мониторинг событий информационной безопасности;
• выявляют, реагируют и предотвращают инциденты ИБ;
• регулярно сканируют на уязвимости ИТ-инфраструктуру;
• ведут учет и контролируют компоненты ИТ-инфраструктуры.

Благодаря SOC ITGLOBAL.COM Security заказчики могут быть уверены, что информационная безопасность их организации соответствует лучшим мировым практикам и выполнены все требования законодательства РФ в части подключения к системе ГосСОПКА.

Что делать после подключения к ГосСОПКА

После подключения к ГосСОПКА организация обязана самостоятельно отправлять в систему информацию об инцидентах ИБ, предотвращении и ликвидации атак. Данные поступают в НКЦКИ и передаются всем организациям, подключенным к ГосСОПКА. Это позволяет всем участникам получать актуальные данные о кибератаках и способы, как им можно противодействовать.

Что будет, если проигнорировать требования ФЗ

Ответственность за выполнение требований по безопасности КИИ возлагается на должностных лиц субъекта КИИ:

• руководителя субъекта КИИ;
• уполномоченное лицо;
• лиц, которые эксплуатируют значимые объекты;
• лиц, которые обеспечивают функционирование значимых объектов;
• лиц, которые обеспечивают безопасность значимых объектов.

Если должностные лица не выполнят требования регулятора, то для них предусмотрена уголовная ответственность (УК РФ Ст. 274.1) вплоть до принудительных работ, лишением права занимать определенные должности или лишением свободы до 10 лет.

Если не выполнить предписание регулятора по устранению нарушения законодательства, то по КонАП РФ Ст. 19.5 нужно будет заплатить большие административные штрафы.