Алексей Ветров
Эксперт по защите данных IC-TECH
ГосСОПКА – это государственная “система-сеть” (не один сервер и не один центр), через которую в РФ обнаруживают, предупреждают и помогают разбирать компьютерные атаки и инциденты.
Связь с КИИ прямая: субъекты КИИ – одни из ключевых участников ГосСОПКА, а обмен сведениями об инцидентах и координация реагирования (через НКЦКИ) – это часть обязательной модели обеспечения безопасности КИИ.
Связь с КИИ прямая: субъекты КИИ – одни из ключевых участников ГосСОПКА, а обмен сведениями об инцидентах и координация реагирования (через НКЦКИ) – это часть обязательной модели обеспечения безопасности КИИ.
Что говорит законодательство
В 187-ФЗ ГосСОПКА описана отдельной статьёй 5:
- ГосСОПКА – это единый территориально распределённый комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
- В составе “сил” прямо названы:
- подразделения уполномоченного федерального органа;
- организация для координации деятельности субъектов КИИ – Национальный координационный центр по компьютерным инцидентам (НКЦКИ);
- подразделения и должностные лица субъектов КИИ, участвующие в обнаружении/предупреждении/ликвидации последствий атак и реагировании на инциденты.
- В ГосСОПКА ведутся сбор, накопление, систематизация и анализ информации, поступающей в систему, а также организуется обмен информацией о компьютерных инцидентах.
Отдельно про обязанности субъекта КИИ (ст. 9 187-ФЗ): субъект КИИ обязан незамедлительно информировать уполномоченный орган по функционированию ГосСОПКА о компьютерных инцидентах (для финсектора – также Банк России, по согласованному порядку).
Подзаконные акты ФСБ, которые “приземляют” это в процедуру:
- Приказ ФСБ № 367 – утверждает перечень сведений, представляемых в ГосСОПКА, и порядок их представления (в т.ч. через НКЦКИ, в срок не позднее 24 часов с момента обнаружения).
- Приказ ФСБ № 282 – порядок информирования/реагирования и мер по ликвидации последствий атак в отношении значимых объектов КИИ, включая требование к планам реагирования и информирование через НКЦКИ по форматам НКЦКИ.
Как это работает на практике
Практически ГосСОПКА для субъекта КИИ – это:
- Канал “связи с государством” по киберинцидентам
Вы не “ищете, кому писать”, а действуете по установленным форматам/каналам, обычно через НКЦКИ как координационный центр. - Обмен индикаторами и предупреждениями
Через систему организуется обмен информацией об инцидентах, способах атак и методах их предупреждения/обнаружения (это прямо заложено в модели ГосСОПКА). - Формализованная отчётность по инцидентам
Когда инцидент случился, важно не “описать в свободной форме”, а передать минимально необходимый набор сведений по утверждённому перечню и порядку (№367), а для значимых объектов – дополнительно соблюсти порядок реагирования (№282).
Выводы и рекомендации
ГосСОПКА по 187-ФЗ – это государственная система (комплекс сил и средств) для обнаружения/предупреждения атак и реагирования на инциденты.
Связь с КИИ в том, что субъекты КИИ входят в “силы” ГосСОПКА, а закон прямо устанавливает их обязанность информировать об инцидентах и взаимодействовать в рамках этой системы.
Возникли трудности с категорированием КИИ?
Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.
