Партнерский материал
В опубликованном на сайте форума проекте резолюции секции "Информационная безопасность в ОПК" говорится, что к 1 июня 2019 года предприятиям требуется утвердить перечни объектов критической информационной инфраструктуры, подлежащих категорированию.
Центр мониторинга и управления информационной безопасностью на базе ГК МАСКОМ
"До 1 декабря 2019 года создать системы безопасности, в том числе предусмотрев назначение руководящего должностного лица, ответственного за организацию и контроль обеспечения безопасности значимых объектов критической информационной инфраструктуры, создание (назначение) структурного подразделения, ответственного за обеспечение безопасности значимых объектов критической информационной инфраструктуры, а также за разработку организационно-распорядительной документации по вопросам обеспечения безопасности значимых объектов критической информационной инфраструктуры", - описывается в документе следующий этап.
Непосредственно категорирование объектов критической информационной инфраструктуры предприятия должны будут выполнить до 1 января 2020 года. В случае последующего создания или модернизации объектов КИИ в технические задания потребуется вносить требования по обеспечению их безопасности. Контроль, согласно проекту резолюции, возьмет на себя министерство промышленности и торговли. "Минпромторгу России организовать координацию и контроль выполнения работ субъектами критической информационной инфраструктуры Российской Федерации по реализации норм Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" в установленных сферах деятельности", - говорится в документе.
Как объяснили Mil.Press Военное эксперты Группы компаний МАСКОМ, с целью предотвращения возможных инцидентов и выполнения требований закона организации обязаны создать систему безопасности КИИ, обеспечить ее функционирование и подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), обеспечение функционирования которой возложено на ФСБ России.
Анализ угроз информационной безопасности в SOC ГК МАСКОМ
"Одной из важнейших составляющих технической компоненты ГосСОПКА должна стать подсистема взаимодействующих между собой корпоративных и ведомственных центров обнаружения, предупреждения и реагирования на компьютерные атаки (Security Operation Center, SOC), которая должна охватить все субъекты критической информационной инфраструктуры страны", - объяснили изданию в ГК МАСКОМ.
SOC предприятия, по словам экспертов, выполняет целый ряд задач: аудит состояния информационной безопасности (ИБ); обнаружение, предупреждение и ликвидация последствий компьютерных атак, направленных на контролируемые информационные ресурсы; оповещение ответственных сотрудников об обнаружении, предупреждении и ликвидации последствий компьютерных атак; оперативная реакция на инциденты ИБ; установление причин компьютерных инцидентов; сбор информации для расследования компьютерных преступлений; предоставление службам ИБ аналитики для принятия управленческих решений; подключение к ГосСОПКА.
"В режиме реального времени в SOC стекается информация о миллионах событий - огромный объем данных, который, несмотря на максимальную автоматизацию начальных процессов сбора и обработки, требует высокой квалификации инженерно-технического состава для обеспечения своевременного выявления отклонений в работе систем, восстановления в кратчайшие сроки работоспособности IT-инфраструктуры, анализа и определения целей атак, блокировки воздействия и расследования историй взломов", - объяснили Mil.Press Военное в ГК МАСКОМ.По мнению экспертов в сфере информационной безопасности, Центры мониторинга и управления информационной безопасностью эффективно работают, если их функции распределены на три основные линии. Первая линия – это инженеры мониторинга, которые отвечают за своевременную реакцию на возникший инцидент и его анализ, фильтрацию ложных срабатываний, а также за подготовку аналитической справки по всем типовым инцидентам. Вторая линия – инженеры реагирования, специалисты по конкретным продуктам и направлениям информационной безопасности, способные на экспертном уровне определить нетиповые инциденты. Третью линию составляют аналитики, отслеживающие аномальные активности с целью выявления инцидентов, а также принимающие участие в расследовании инцидентов ИБ, не зафиксированных мониторингом.
У предприятия оборонно-промышленного комплекса России сегодня есть выбор: создавать собственный SOC или выводить безопасность объектов КИИ на аутсорсинг. Первый вариант, по мнению специалистов ГК МАСКОМ, эффективен для организаций сферы информационных технологий и безопасности. Они обладают кадровыми ресурсами для самостоятельного развертывания Центра. В качестве преимуществ вывода защиты информации на аутсорсинг специалисты называют нивелирование опасности от смещения атак на время спада деловой активности и, соответственно, активизации злоумышленников в ночное время и выходные, быстрый старт сервисов и выстраивание процессов защиты, низкие стартовые вложения по сравнению с самостоятельным развертыванием SOC, дополнительная защита от внутренних нарушителей. Также важно, чтобы Центр мониторинга и управления информационной безопасностью находился в регионе заказчика. Например, в составе ГК МАСКОМ есть созданный на площадке компании "МАСКОМ-Техлайн" на Дальнем Востоке Центр под названием MSOC.
Специалисты ГК МАСКОМ выделяют четыре этапа вывода безопасности критической информационной инфраструктуры на аутсорсинг:VIII форум "Информационные технологии на службе оборонно-промышленного комплекса" проходит с 9 по 11 апреля 2019 года в Екатеринбурге при поддержке коллегии Военно-промышленной комиссии Российской Федерации, Минпромторга России, Минкомсвязи России, Минобороны России, ФСБ России, ФСТЭК России, "Росстандарта" и Правительства Свердловской области. В нем принимают участие представители крупнейших оборонных корпораций и концернов: ОАК, ОСК, "Ростеха", "Алмаз-Антея", "Калашникова", "Роскосмоса", "Росатома".
1. По результатам аудита информационных систем определяются ресурсы, которые должны отслеживаться центром мониторинга;
2. Определяется перечень технических средств мониторинга, схемы размещения оборудования и подключения;
3. Формируются и закрепляются бизнес-процессы взаимодействия: порядок действий при выявлении атаки, зоны ответственности центра мониторинга и служб предприятия;
4. Устанавливается и настраивается необходимое оборудование, осуществляется подключение к системам центра мониторинга по защищенному каналу связи .
