"Sur la sécurité des infrastructures d'information critiques de la Fédération de Russie"). Il précise que l'une des tâches du système de sécurité des infrastructures d'information critiques (CII), en plus d'assurer sa propre sécurité, est l'interaction continue des objets CII, tels que la santé, la science, les transports, l'industrie nucléaire, l'énergie et autres, avec le Système Spécialisé de Protection des Infrastructures de l’État.

De plus, des mesures visant à surveiller le fonctionnement normal des ressources informatiques, des systèmes de contrôle automatisés et des équipements de télécommunications, ainsi qu'à identifier et prévoir les menaces à la sécurité de l'information, doivent être prises en permanence. Pour résoudre, entre autres, le problème de continuité avec des ressources humaines limitées, il est possible d'impliquer des organisations commerciales exerçant des activités agréées dans le domaine de la sécurité de l'information.

GosSOPKA. Description générale de la structure

Le dispositif national de détection, de prévention et d'élimination des conséquences des attaques informatiques est un ensemble de centres (forces et moyens) répartis territorialement, organisés selon des principes départementaux et territoriaux. L'un d'eux est le Centre national de coordination des incidents informatiques.

Les réglementations suivantes ont servi à créer un tel système :

• Décret du Président de la Fédération de Russie du 15 janvier 2013 n° 31c ;
• Les principales orientations de la politique de l'État dans le domaine de la garantie de la sécurité des systèmes de contrôle automatisés des processus de production et technologiques des infrastructures critiques de la Fédération de Russie (approuvées par le Président de la Fédération de Russie le 3 février 2012, n° 803) ;
• Concept d'un système d'État pour détecter, prévenir et éliminer les conséquences des attaques informatiques sur les ressources d'information de la Fédération de Russie (n° K 1274 du 12 décembre 2014) ;
• Loi fédérale n° 187-FZ du 26 juillet 2017 « sur la sécurité des infrastructures d'information critiques de la Fédération de Russie » ;
• Recommandations méthodologiques pour la création de centres GosSOPKA départementaux et corporatifs du Centre de protection de l'information et des communications spéciales du Service fédéral de sécurité.

Hiérarchie d'interaction entre les centres GosSOPKA

GosSOPKA. Étapes de création

Globalement, dans le sens de la sécurité des CII, plusieurs étapes peuvent être distinguées dans la création du segment GosSOPKA dans une organisation :

• déterminer la zone de responsabilité, la composition et l'état actuels des infrastructures protégées et le « modèle de menace » ;
• lancer ou adapter les outils nécessaires au support des fonctions du centre ;
• assurer la mise en œuvre des processus GosSOPKA ;
• générer et maintenir à jour des informations détaillées sur les ressources informationnelles situées dans le domaine de responsabilité du centre départemental ;
• collecte et analyse d'informations sur les attaques informatiques et les incidents informatiques provoqués par celles-ci;
• prendre des mesures pour répondre rapidement aux attaques informatiques et aux incidents informatiques provoqués par celles-ci, ainsi que pour éliminer leurs conséquences sur les ressources d'information ;
• prendre des décisions de gestion pour assurer la sécurité des informations sur les ressources d'information ;
• identification, collecte et analyse d'informations sur les vulnérabilités, ainsi que mise en œuvre de mesures pour évaluer la sécurité contre les attaques informatiques et les infections virales des ressources d'information ;
• informer les parties intéressées et les sujets de l'Agence nationale de contrôle anti-corruption sur les questions de détection, de prévention et d'atténuation des conséquences des attaques informatiques ;
• assurer la protection des données transmises entre le centre départemental et le Centre principal via des canaux protégés à l'aide d'outils de sécurité de l'information certifiés par le FSB de Russie ;
• fourniture d'informations complémentaires sur les incidents informatiques dans les réseaux d'information et de télécommunication situés dans la zone de responsabilité du centre départemental, à la demande du Centre principal du système national de contrôle anti-corruption ;
• assurer l'interaction avec le centre GosSOPKA de niveau supérieur sur les questions de sécurité et les incidents émergents.

Structure et principales activités de GosSOPKA
Un rôle important dans la garantie de la sécurité est joué par les centres départementaux, dont les fonctions, en plus d'assurer la sécurité dans leur domaine de responsabilité, incluent l'agrégation d'informations sur la sécurité et les incidents survenant dans toutes les organisations subordonnées. Leurs tâches consistent également à effectuer des analyses basées sur les données reçues, à identifier les tendances générales ou les vecteurs actuels et à transmettre des informations les concernant aux centres de niveau inférieur.

En conséquence, les informations reçues sur les types de logiciels malveillants et les scénarios d'attaque utilisés permettent à GosSOPKA, en tant que « hub d'information », d'analyser la pertinence des vecteurs pour d'autres organisations connectées et, en mode interaction informationnelle, de générer un signal d'adresse aux sujets de infrastructure d’information critique pour organiser la protection préventive.

GosSOPKA. Tâches

Détermination de la zone de responsabilité et de l'état de sécurité

Les tâches initiales de création d'un segment sont très similaires au travail classique sur tout projet de sécurité de l'information :

• déterminer la liste des systèmes et infrastructures d'information nécessitant une protection (inventaire), accessibles séparément depuis Internet ;
• définir un modèle de menace (incidents informatiques dont nous envisageons de nous protéger et auxquels nous envisageons de répondre) ;
• déterminer les capacités réelles de l'infrastructure actuelle à mettre en œuvre une protection contre les menaces d'incident spécifiées dans le modèle de menace ;
• détermination des outils et de la base de ressources (personnel) qui seront nécessaires pour mettre en œuvre la protection.

Malgré son apparente simplicité, même la première partie de la tâche – « tracer le périmètre » – devient souvent extrêmement difficile. Les segments potentiels de GosSOPKA représentent parfois des infrastructures complexes et géographiquement réparties, et il faut comprendre exactement quels canaux d'accès à Internet sont disponibles, quels services ont été sur le périmètre au cours des années d'existence de l'entreprise, dans quel but et pourquoi est-il plutôt laborieux. tâche intensive et complexe.

Lors de la construction d’un prototype, il est important de considérer les tâches que le centre devra résoudre au quotidien. Ils peuvent être divisés en quatre grands blocs selon leurs fonctionnalités.

1. Gestion des incidents de sécurité de l’information :
un. analyse des événements de sécurité ;
b. détection d'attaques informatiques;
c. enregistrement des incidents ;
d. réponse aux incidents et atténuation de leurs effets ;
e. établir les causes des incidents;
F. analyse des résultats de l'élimination des conséquences des incidents.

2. Analyse de la sécurité des infrastructures :
un. inventaire des ressources ;
b. analyse des menaces à la sécurité de l’information.

3. Travailler avec le personnel :
un. perfectionnement du personnel;
b. recevoir des rapports sur d'éventuels incidents de la part du personnel.

4. Interaction informationnelle avec un centre supérieur.

Il convient de noter que du point de vue des incidents et des analyses de sécurité, les exigences du centre GosSOPKA se concentrent principalement sur un attaquant externe, c'est-à-dire un pirate informatique/cybercriminel. Cela se voit, entre autres, dans les catégories d'incidents les plus désignées : DDoS, malwares, vulnérabilités, analyses et forces brutes, accès non autorisés. Ceci, malgré la complexité et la sophistication des cyberattaques actuelles, nous permet de déterminer plus précisément les priorités et les outils.

Boîte à outils du centre GosSOPKA

Afin de mettre en œuvre un niveau de sécurité suffisant et une interaction productive avec GosSOPKA, il est nécessaire de préparer la plateforme tant sur le plan organisationnel que technique. Si l’on s’appuie sur les tâches et types d’incidents décrits dans le paragraphe ci-dessus, alors les outils semblent assez transparents :

• mesures de protection active visant à contrer la pénétration du périmètre et la protection antivirus des hôtes ;
• un système de détection d'attaques visant à détecter les tentatives d'exploitation de vulnérabilités ;
• Système de protection DDoS ;
• scanner de vulnérabilités ;
• système de collecte et de corrélation des événements (SIEM) pour enregistrer les analyses, les forces brutes et les faits d'accès non autorisés ;
• un centre de services et un système d'interaction d'informations pour la gestion en boucle fermée du cycle d'incidents et la transmission des informations à un centre de niveau supérieur de l'Agence nationale de contrôle anti-corruption.

Mais cela ne semble l’être qu’à première vue. D'une part, avec de petites infrastructures, ces types d'incidents peuvent être enregistrés sans SIEM. En revanche, le terme « vulnérabilité » est interprété de manière assez large, y compris dans les documents actuels. Si un éventuel vecteur d'attaque peut être mis en œuvre via une vulnérabilité dans une application Web publiée sur Internet, il est alors évident qu'un système de détection d'attaque ne nous aidera pas à le détecter et à y répondre. Dans ce cas, une approche possible pour identifier et supprimer les vulnérabilités consiste à lancer le processus de surveillance des vulnérabilités du code logiciel ou à utiliser des outils de protection appliqués, par exemple le pare-feu d'application Web. Par conséquent, cette question fait actuellement l’objet d’une réglementation souple et nécessite du bon sens et une approche pratique de sa propre sécurité de la part des spécialistes de la sécurité de l’information d’un centre particulier.

Problèmes de personnel du centre et exigences de qualification

Une question assez importante reste en suspens : comment ces mesures de sécurité doivent être utilisées afin d'assurer efficacement la sécurité des CII et la mise en œuvre des processus décrits ci-dessus. Il est assez facile de constater que les tâches et travaux répertoriés nécessitent pour leur exploitation un personnel et des qualifications importants. Vous trouverez ci-dessous un exemple d’approche de planification des ressources d’un centre.

Rôle	Les fonctions	Quantité
Spécialiste des attaques informatiques et de la détection d'incidents	Analyse des événements de sécurité, enregistrement des incidents	6
Spécialiste de la maintenance technique SOC	Assurer le fonctionnement des moyens techniques situés dans le SOC, ainsi que des moyens complémentaires de protection des systèmes d'information	6
Évaluateur de sécurité	Réaliser un inventaire des ressources informationnelles, analyser les vulnérabilités et menaces identifiées, établir la conformité des exigences de sécurité de l'information avec les mesures prises	2
Spécialiste de la réponse aux incidents informatiques	Coordination des actions en réponse aux attaques informatiques	2
Spécialiste de l'identification des causes d'incidents informatiques	Déterminer les causes des incidents, analyser les conséquences des incidents	2
Analyste-méthodologue	Analyse des informations fournies par les spécialistes de première et de deuxième ligne ; élaboration de documents normatifs et de recommandations méthodologiques	2
Expert technique	Accompagnement expert selon la spécialisation (malware, mise en place d'outils de sécurité, utilisation d'outils techniques spécialisés, évaluation de sécurité, etc.)	2
Avocat	Accompagnement réglementaire et juridique des activités SOC	1
Superviseur	Gestion de l'activité SOC	1

Deux mises en garde :

• Ce tableau caractérise les domaines de responsabilité, les tâches et fonctions du personnel, et non les rôles individuels attribués. Il est donc incorrect d'additionner les chiffres dans la colonne de droite : un analyste méthodologique peut très bien effectuer des tâches d'évaluation de sécurité ou être chef du centre à temps partiel (bien que cela viole une partie de la logique de la division des pouvoirs) ;


• Les évaluations quantitatives de spécialistes dans chaque domaine ne font pas partie des documents, mais décrivent l'opinion de l'auteur de l'article. En effet, pour assurer une surveillance et une réponse aux incidents 24 heures sur 24 (les attaques externes ne se limitent pas au mode 8*5), d'une manière ou d'une autre, il est nécessaire de lancer une équipe de service dont le nombre ne peut être inférieur à six personnes. . Parallèlement, la stabilité du personnel du centre nécessite la réservation de compétences : au moins deux personnes doivent avoir des connaissances en évaluation de sécurité, analyse d'incidents, etc.

Cependant, le tableau ci-dessus montre clairement qu'une grande variété d'expertises est requise : des spécialistes de l'analyse des journaux et des attaques dans un système SIEM, une équipe d'intervention prête à bloquer les mesures de sécurité actives et des développeurs de nouveaux scénarios... D'une manière ou d'une autre un autre, la conception du personnel. Le centre de GosSOPKA semble assez massif et peut difficilement comprendre moins de dix personnes.

Bien entendu, les documents et les fonctions spécifiées du centre GosSOPKA ainsi que les parties procédurales de la sécurité ne sont pas en reste. Des règles d'identification sont déterminées. Il devrait y avoir des profils ou des guides de vol pour répondre aux incidents, des processus pour analyser l'efficacité du travail, y compris pour éliminer les incidents. Nous devons prévoir de nouvelles menaces. Tout cela nous amène à la conclusion que le travail, les fonctions et les tâches du centre GosSOPKA coïncident dans les principaux points avec les buts et objectifs du centre des opérations de sécurité et leur fonctionnalité. Ce qui rapproche la solution de ce problème de la direction actuellement pertinente pour de nombreuses entreprises : le lancement de fonctions SOC dans leur infrastructure.

En conclusion, il convient de noter que la structure des domaines de compétence de l'Inspection spécialisée de l'État pour la sécurité publique est assez inhabituelle au stade actuel de la réglementation. Contrairement à la plupart des documents réglementaires russes, la loi ne se réfère principalement pas aux outils et au cadre réglementaire, mais à l'existence de processus de sécurité dans l'organisation. Cette approche crée automatiquement des exigences très importantes pour le niveau global de sécurité et de personnel du centre GosSOPKA, puisque les processus n'existent pas sans personnes. La réponse à ce défi lié à la pénurie générale de personnel et de spécialistes en cybersécurité peut réellement être une approche de service avec la participation de centres accrédités de surveillance commerciale et de réponse aux incidents pour résoudre des tâches à forte intensité de main-d'œuvre et riches en expertise afin d'assurer la sécurité des CII.

Ces dernières années, une grande attention a été accordée aux questions de sécurité de l'information au niveau de l'État et toute une série de mesures sont prises pour renforcer la frontière numérique. L'une des étapes les plus importantes dans cette direction a été l'adoption de la loi fédérale n° 187 « sur la sécurité des infrastructures d'information critiques de la Fédération de Russie » et le lancement d'un système mondial de lutte contre les attaques informatiques - le système national de détection et de prévention. et l'élimination des conséquences des attaques informatiques (ci-après dénommé GosSOPKA).

La loi sur la sécurité des infrastructures d'information critiques (ci-après - CII) exige que les organisations clés, qui comprennent des organismes gouvernementaux, des agences gouvernementales et des entreprises clés des principaux secteurs de l'économie de la Fédération de Russie, assurent la sécurité de leurs systèmes d'information, de communication réseaux et systèmes technologiques. La liste des secteurs économiques touchés comprenait : l'énergie, y compris le nucléaire, les transports, les communications, la science, la santé, les secteurs bancaire et financier, la défense, les fusées et l'espace, les mines, les industries métallurgiques et chimiques.

Les incidents de sécurité dans des entreprises clés du pays peuvent avoir de graves conséquences dans une ville ou même dans une région entière, et peu importe qu’ils soient causés par des attaques de pirates informatiques ciblées ou par des erreurs accidentelles du personnel. Pour prévenir d'éventuels incidents et se conformer aux exigences de l'État, les organisations doivent créer un système de sécurité CII, assurer son fonctionnement et se connecter au système GosSOPKA.

GosSOPKA est un système mondial de collecte et d'échange d'informations sur les attaques informatiques sur le territoire de la Fédération de Russie ; le 8ème centre du Service fédéral de sécurité de la Fédération de Russie (ci-après dénommé le FSB de la Fédération de Russie) est responsable de sa création. . L'objectif principal est de prévenir et de contrer les attaques, principalement externes, grâce à une surveillance continue des incidents de sécurité de l'information et à l'élaboration de mesures en temps opportun. Pour atteindre cet objectif, un réseau de centres GosSOPKA d'entreprise et départementaux est en cours de création, qui devrait couvrir toutes les entreprises clés. Des centres départementaux sont construits dans les organismes gouvernementaux et des centres d'entreprise dans les sociétés d'État. De nombreux grands intégrateurs et fabricants de solutions de sécurité de l'information ont commencé à créer des centres d'entreprise commerciaux de GosSOPKA et sont prêts à fournir une gamme complète de services de surveillance, de réponse, etc. sur une base contractuelle. les organisations qui n'envisagent pas de créer leur propre centre. Lors de la connexion à GosSOPKA, les organisations s'engagent à envoyer immédiatement des messages en cas de détection d'attaques informatiques et à répondre si elles reçoivent des informations sur une éventuelle attaque. Après avoir détecté une attaque, le centre GosSOPKA doit transmettre des informations au centre principal, qui à son tour transmettra ces informations à d'autres centres avec des recommandations de riposte. Cette approche augmente considérablement le degré de préparation et, par conséquent, le niveau de sécurité des organisations.

Le cadre réglementaire et méthodologique nécessaire à la création des centres GosSOPKA est encore en cours d'élaboration, et il y a actuellement plus de questions que de réponses. Mais le centre principal de GosSOPKA, basé sur le 8ème centre du FSB de la Fédération de Russie, a déjà été créé et fonctionne, et de nombreuses organisations ont commencé à construire l'infrastructure nécessaire.

Dans un avenir proche, les « Recommandations méthodologiques pour la création de centres départementaux et corporatifs du système public de détection, de prévention et d'élimination des conséquences des attaques informatiques sur les ressources d'information de la Fédération de Russie », élaborées par le FSB de la Fédération de Russie. , sera publié. Ces recommandations méthodologiques définissent la liste principale des fonctions, mesures et décisions pour la création des centres GosSOPKA. Des modifications peuvent encore être apportées au document, mais nous pouvons déjà parler du concept général. On sait que le système GosSOPKA aura une structure hiérarchique arborescente, où le nœud central est le centre principal GosSOPKA basé sur le 8e centre du FSB de la Fédération de Russie, et les centres départementaux et corporatifs sont dans une position subordonnée. L'interaction entre les centres s'effectue verticalement. Dans le même temps, les centres départementaux et corporatifs peuvent s'unir, formant également une structure hiérarchique avec le centre principal du GosSOPKA en tête. La structure du système GosSOPKA est illustrée à la figure 1.

Image 1. Structure hiérarchique de GosSOPKA

Les centres GosSOPKA se voient confier deux tâches principales. La première consiste à assurer la sécurité de vos ressources informationnelles, notamment en surveillant la sécurité, en détectant les attaques et en améliorant constamment les mesures de protection utilisées. La seconde est l'échange rapide d'informations sur les attaques informatiques avec le centre principal (en cas de subordination au centre principal) ou avec le centre principal de GosSOPKA. Pour mettre en œuvre ces tâches, des centres de gestion des incidents de sécurité de l'information SOC (Security Operation Center) à part entière doivent être construits au sein des centres d'entreprise et départementaux, avec toute la base technique et de processus nécessaire.

Pour le fonctionnement efficace du système GosSOPKA, les centres d'entreprise et départementaux doivent assurer l'exercice d'un certain nombre de fonctions définies dans les recommandations méthodologiques élaborées par le FSB de la Fédération de Russie :

1. Effectuer un inventaire régulier des ressources informationnelles afin de contrôler tous les changements ;
2. mener systématiquement un ensemble de mesures pour identifier les vulnérabilités pouvant être exploitées par des attaquants, notamment des scans, des pentests internes et externes, des analyses de paramètres, etc. Ensuite, développez des mesures correctives et, surtout, surveillez la mise en œuvre de ces mesures afin d'éviter une situation comme avec les chiffreurs sensationnels WannaCry et Petya, où même après la publication des mises à jour nécessaires pour combler les vulnérabilités, des dizaines d'entreprises ont été victimes de virus. parce que ces mises à jour n'ont pas été livrées en temps opportun et installées ;
3. sur la base des résultats de l'inventaire et des vulnérabilités identifiées, analyser les menaces actuelles et les attaques possibles et élaborer des contre-mesures ;
4. Améliorer continuellement les compétences des spécialistes impliqués dans les processus de détection, de prévention et d'élimination des conséquences des attaques informatiques, ainsi que la sensibilisation des employés pour prévenir les attaques d'ingénierie sociale. Celui qui est prévenu est prévenu. Ce n’est jamais une mauvaise idée de rappeler aux employés qu’ils ne doivent pas cliquer sur les liens contenus dans les e-mails provenant d’expéditeurs inconnus et où aller s’ils les ouvrent et que quelque chose ne va pas ;
5. Il devrait y avoir un processus pour recevoir les rapports d'incident des employés. Une attention particulière doit être accordée aux messages largement diffusés ;
6. pour détecter les attaques de différents types, les centres GosSOPKA doivent assurer une collecte centralisée des événements de sécurité de l'information provenant de l'infrastructure informatique et de sécurité de l'information, analyser ces événements et les corréler ;
7. si une attaque est détectée, des contre-mesures rapides doivent être mises en œuvre en coordonnant les ressources et en appliquant directement des contre-mesures ;
8. il est nécessaire de mener des enquêtes sur les incidents confirmés, d'analyser les causes et les conséquences. Il est très important de comprendre pourquoi cet incident est devenu possible en principe, comment l'équipe a travaillé, comment améliorer les mesures de protection, tirer des conclusions sur les mesures de sécurité de l'information mises en œuvre et le travail des spécialistes ;
9. et enfin, les centres GosSOPKA doivent mener des interactions régulières et programmées avec le chef ou le centre principal sur les problèmes d'inventaire, l'identification des vulnérabilités, etc. et, plus important encore, avertir rapidement si des attaques sont détectées et réagir rapidement si des informations sur d'éventuelles attaques sont reçues.

Pour mettre en œuvre toutes ces fonctions, toute une gamme de moyens techniques sont nécessaires :

• moyens d'interaction avec le personnel. Si l'entreprise dispose déjà d'un centre d'appels et d'un ServiceDesk, vous pouvez les utiliser comme base, ainsi que des moyens de communication standards : téléphone, courrier, formulaire web ;
• moyens d'interaction automatisée avec le centre principal de GosSOPKA. Pour résoudre ce problème, certains constructeurs russes ont déjà développé des logiciels spécialisés, des sortes de portails. Ils permettent une interaction bidirectionnelle en termes de réception et de transmission d’informations sur les actifs, les incidents, les attaques et les menaces, et de remplissage automatique des fiches d’incident selon le formulaire du régulateur ;
• un système de collecte, d'analyse et de corrélation des événements de sécurité de l'information (SIEM), qui permet d'organiser un point unique de collecte d'informations sur les événements suspects et les incidents de sécurité de l'information ;
• les scanners de vulnérabilités nécessaires à l'évaluation de la sécurité des systèmes d'information, qui permettent de corréler les événements de sécurité de l'information avec des données sur les vulnérabilités réelles de l'infrastructure informatique ;
• des outils de sécurité qui vous permettent de détecter les attaques informatiques au niveau du réseau, au niveau des applications, etc., de transférer des informations sur les événements de sécurité des informations vers SIEM pour les corréler, de prévenir et de contrecarrer activement les attaques. Comme ensemble de base de ces outils, nous voyons les solutions IDS/IPS, les systèmes WAF, les pare-feu, les logiciels antivirus, les outils de protection DDoS ;
• Aussi, pour générer des événements de sécurité de l'information sur les ressources informationnelles (OS, équipements réseau, serveurs d'applications, services web et bases de données), il est nécessaire de configurer des mécanismes d'audit standards.

Il n'y a pas encore d'exigences particulières concernant les moyens techniques, à l'exception des logiciels nécessaires à l'interaction directe avec la tête et les principaux centres du GosSOPKA - ils doivent figurer dans le registre des logiciels nationaux. Avec la publication de la documentation réglementaire, la situation changera très probablement et des conditions supplémentaires apparaîtront. La composition des moyens techniques de chaque organisation est déterminée individuellement, dans le cadre des travaux de conception, en tenant compte des spécificités de l'infrastructure d'information de l'entreprise, des moyens de sécurité existants et des processus de sécurité de l'information. En règle générale, une partie importante des solutions techniques nécessaires à la création de centres d'entreprise et départementaux sont déjà disponibles dans les organisations.

Et s’il n’y a pas de problèmes particuliers avec les équipements de protection, la question des ressources humaines nécessaires est bien plus compliquée. La mise en œuvre des processus, la mise en œuvre et l'exploitation des moyens techniques nécessitent une équipe de spécialistes expérimentés et qualifiés. Nous avons besoin de spécialistes en interaction avec les utilisateurs, d'opérateurs de surveillance, d'une équipe de réponse aux incidents, de spécialistes de la maintenance technique (administrateurs de sécurité, administrateurs SIEM), de spécialistes de l'évaluation de la sécurité (pour les pentests, les scans), d'analystes en sécurité de l'information pour élaborer des scénarios de détection d'incidents, d'experts techniques, d'avocats. , etc. Pour la plupart, les tâches de GosSOPKA nécessitent des spécialistes hautement spécialisés, difficiles à trouver sur le marché, de sorte que le problème du personnel devient le principal problème lors de la construction des centres GosSOPKA.

La création de centres départementaux et corporatifs de GosSOPKA nécessite une approche prudente : une étude sérieuse du support de processus, une étude sérieuse du support technique et une équipe d'experts de spécialistes sont nécessaires. Il est nécessaire de réaliser une étude de l'infrastructure, de déterminer les moyens techniques nécessaires, l'architecture, les exigences de paramétrage et les scénarios de détection d'incidents. Ensuite, mettre en œuvre et configurer les mesures de sécurité nécessaires, développer la documentation organisationnelle et administrative, y compris la procédure de réponse, la procédure de traitement et d'enquête sur les incidents de sécurité de l'information, la procédure d'interaction avec le centre principal du système national de contrôle anti-corruption, et la plupart et surtout, assurer la mise en œuvre de toutes les fonctions requises pour assurer la sécurité, la surveillance et la réponse des informations, de préférence 24 heures sur 24. L'étendue du travail est énorme et une organisation qui a décidé de se connecter à GosSOPKA peut choisir les options suivantes :

1. Construisez votre propre centre GosSOPKA basé sur vos propres ressources humaines. Cette approche nécessite énormément de temps, de ressources et de coûts financiers, mais elle vous permettra d'acquérir un contrôle total sur tous les processus et augmentera considérablement le rôle de l'organisation dans le système national de surveillance et de gestion des urgences. Convient aux grands départements et entreprises qui envisagent d'exercer les fonctions de GosSOPKA en relation avec les filiales. Dans les entreprises géographiquement réparties, lors de la constitution d'une équipe, il est recommandé d'attirer des employés régionaux - cela vous permettra de réaliser des économies importantes, car les salaires dans les régions sont plus bas et, en raison de la différence de fuseaux horaires, vous pouvez bénéficier d'une couverture plus temporaire.

2. Impliquer des spécialistes externes pour des tâches spécifiques. Cela n’a pas toujours de sens d’essayer d’embrasser l’immensité. De même, lors de la construction d'un centre GosSOPKA, l'externalisation de certaines tâches peut être la solution optimale aux problèmes de personnel et de délais de mise en œuvre. Selon les recommandations méthodologiques, la possibilité d'externaliser certaines fonctions est prévue tant pour les centres départementaux que corporatifs du GosSOPKA. Il est conseillé d'externaliser les tâches de première ligne simples et gourmandes en ressources, par exemple la surveillance et la détection des incidents, le maintien des mesures de sécurité. Il est facile de documenter ce travail dans un contrat, de délimiter les domaines de responsabilité, de convenir d'un SLA (Service Level Agreement) et de surveiller facilement leur mise en œuvre. Cela vous permettra de vous débarrasser de la routine et de soulager considérablement votre personnel. Il est également judicieux d'impliquer des spécialistes externes pour résoudre des tâches de troisième ligne, par exemple pour l'analyse et le développement de scénarios de détection d'incidents, l'élaboration de politiques pour les outils de protection. Ces tâches d'expertise nécessitent des spécialistes hautement spécialisés qui, d'une part, sont difficiles à trouver et, d'autre part, il n'est pas toujours possible de leur assurer une charge de travail à plein temps et de les conserver dans le personnel n'est peut-être pas économiquement réalisable. En règle générale, pour externaliser des tâches individuelles, les intégrateurs de systèmes et les entreprises fournissant des services professionnels de sécurité de l'information sont attirés.

3. Transférez toutes les fonctions au chef du centre départemental ou du centre commercial. Pertinent pour les organisations qui ont besoin de se connecter à GosSOPKA, mais qui, en raison du manque de personnes et de compétences, ne sont pas prêtes à construire leur propre infrastructure. Ce schéma d'interaction sera courant dans les grandes entreprises où est pratiquée une gestion centralisée des ressources de sécurité de l'information de l'organisation mère. Dans ce cas, les filiales ne construisent pas leur propre SOC, mais connectent leurs ressources informationnelles au SOC du centre principal, qui, sur une base contractuelle, peut remplir toutes les fonctions nécessaires à la sécurité, à la surveillance, à la réponse et à l'échange d'informations. Un schéma d'interaction similaire est impliqué lors de l'utilisation des services de centres d'entreprise commerciaux, qui seront construits sur la base d'intégrateurs et de fabricants de solutions de sécurité de l'information. L'entreprise n'aura qu'une fonction de contrôle et une certaine quantité de travail pour adapter les processus internes de sécurité de l'information au fonctionnement au sein du système GosSOPKA, construire des processus d'interaction avec le centre principal et garantir la préparation des spécialistes de l'informatique et de la sécurité de l'information à jouer un rôle actif. participer à l’enquête et à l’élimination des conséquences des incidents.

La connexion au système GosSOPKA et la construction de centres d'entreprise et départementaux augmenteront considérablement le niveau de maturité en matière de sécurité de l'information et la sécurité réelle des ressources d'information des principales entreprises russes. La création d'un tel système devrait constituer un progrès rapide en matière de sécurité de l'information ; de nombreuses organisations maîtrisent aujourd'hui à peine les mesures de sécurité de base, mais à partir du 1er janvier 2018, lorsque la loi sur la sécurité des CII entrera en vigueur, elles devront passer à la technologie SOC. . Et malgré le fait que ce processus soit complexe et nécessite beaucoup d'efforts, les avantages de tels événements sont évidents. Et ici, le résultat est primordial : la sécurité des entreprises clés de la Fédération de Russie. Il ne sera pas possible d'appliquer une approche formelle pour mettre fin aux exigences imposées, car, entre autres, des modifications ont été apportées au Code pénal de la Fédération de Russie, établissant des sanctions sévères non seulement pour les agresseurs (peine pouvant aller jusqu'à 10 ans de prison pour cyberattaques), mais aussi pour les personnes chargées de la protection des CII (peine pouvant aller jusqu'à 6 ans de prison en cas de violation des règles de fonctionnement). Il s'agit peut-être de mesures sévères, mais le coût des incidents de sécurité de l'information dans les entreprises clés du pays pourrait être trop élevé.

Bibliographie:

1. Sur la sécurité des infrastructures d'information critiques de la Fédération de Russie : du 26 juillet 2017 N 187-FZ (dernière édition) // Consultant Plus. Législation. VersionProf [Ressource électronique] / JSC « Consultant Plus ». – M., 2018.
2. Syurtukova E. Climbing GosSOPKA // Jet Info : publication mensuelle d'affaires – 2017. – N° 7-8. URL : http://www.jetinfo.ru/author/ekaterina-syurtukova/voskhozhdenie-na-gossopka (date d'accès : 10/03/2018).
3. Code pénal de la Fédération de Russie : du 13 juin 1996 n° 63-FZ (tel que modifié le 19 février 2018) // Consultant Plus. Législation. VersionProf [Ressource électronique] / JSC « Consultant Plus ». – M., 2018.

La protection des informations au niveau de l'État consiste en toute une série de mesures et d'outils. La protection des secrets d'État est assurée par un organisme gouvernemental spécialisé - le Service fédéral de sécurité. Cependant, toutes les informations soumises à protection ne peuvent pas être classées comme GT. Ainsi, à l'appui de l'ordonnance n° 31 et en réaction à l'évolution rapide de la situation dans le monde, le président Vladimir Poutine crée par décret un système d'État spécialisé GosSOPKA. Examinons plus en détail les aspects organisationnels et techniques du nouveau système étatique.

En janvier 2013 Le président Vladimir Poutine a signé un décret sur la création en Russie Système étatique de détection, de prévention et d'élimination des conséquences des attaques informatiques ou GosSOPKA

Ses tâches principales, conformément au décret présidentiel, devraient être de prévoir les situations dans le domaine de la sécurité de l'information, d'assurer l'interaction entre les propriétaires de ressources informatiques lors de la résolution des problèmes liés à la détection et à l'élimination des attaques informatiques, avec les opérateurs de télécommunications et autres organisations engagées. dans les activités de sécurité de l'information. La liste des tâches système comprend également l'évaluation du degré de sécurité de l'infrastructure informatique critique contre les attaques informatiques et l'identification des causes de tels incidents.

La prochaine étape a été approuvée par le président Vladimir Poutine en décembre 2014. concept système public pour détecter, prévenir et éliminer les conséquences des attaques informatiques contre les ressources d'information de la Fédération de Russie. Et en mars 2015, le FSB a publié un extrait de ce document contenant des données sur la manière dont ce système sera structuré.

Le système doit protéger plus de 70 autorités exécutives contre les cyberattaques, ainsi que les infrastructures critiques : centrales nucléaires et hydroélectriques, systèmes d'approvisionnement urbain et installations de stockage spéciales de Rosreserv. Pour faire face à cette tâche, GosSOPKA sera capable de surveiller les ressources électroniques en temps réel, d'identifier et de prédire l'apparition de menaces, ainsi que d'améliorer les systèmes de sécurité existants, en interagissant, entre autres, avec les opérateurs de télécommunications et les fournisseurs d'accès Internet.

Selon le document, le système est un complexe unique centralisé et géographiquement réparti, comprenant les forces et moyens de détection, de prévention et d'élimination des conséquences des attaques informatiques, l'autorité fédérale autorisée à assurer la sécurité des infrastructures critiques de la Fédération de Russie et l'autorité habilitée à créer et à assurer le fonctionnement du système.

Sous "moyens" le concept fait principalement référence à des solutions technologiques, et "de force"- des unités spéciales et des employés de l'autorité fédérale responsable du système, ainsi que des opérateurs de télécommunications et d'autres organisations exerçant des activités autorisées dans le domaine de la sécurité de l'information.

Le système inclura celui créé par le FSB. Centre national de coordination des incidents informatiques

Basique organisationnel et technique Le système comprend des centres de détection, de prévention et d'élimination des conséquences des attaques informatiques, qui seront répartis selon les caractéristiques territoriales et départementales. En particulier, un centre principal, des centres régionaux et territoriaux du système, ainsi que des centres d'agences gouvernementales et des centres d'entreprises seront organisés. Le fonctionnement de ces derniers sera assuré par les organismes qui les ont créés.

Conformément au concept, la structure territoriale du GosSOPKA est la suivante :

Également dans le cadre du système, il est prévu d'organiser l'interaction avec les forces de l'ordre et d'autres agences gouvernementales, les propriétaires de ressources d'information de la Fédération de Russie, les opérateurs de télécommunications et les fournisseurs d'accès Internet aux niveaux national et international. Il comprendra l'échange d'informations sur les attaques informatiques identifiées et l'échange d'expériences dans le domaine de l'identification et de l'élimination des vulnérabilités logicielles et matérielles et de la réponse aux incidents informatiques.

Un représentant du 8ème Centre FSB a annoncé les principales missions des centres départementaux :

• identifier les signes d'attaques informatiques générer et maintenir à jour des informations détaillées sur les ressources d'information situées dans la zone de responsabilité du centre départemental

• collecte et analyse d'informations sur les attaques informatiques et les incidents informatiques provoqués par celles-ci.

• prendre des mesures pour répondre rapidement aux attaques informatiques et aux incidents informatiques provoqués par celles-ci, ainsi que pour éliminer les conséquences de ces incidents informatiques dans les ressources d'information

• prendre des décisions de gestion pour assurer la sécurité des informations sur les ressources informationnelles

• identification, collecte et analyse d'informations sur les vulnérabilités, ainsi que mise en œuvre de mesures pour évaluer la sécurité contre les attaques informatiques et les infections virales des ressources d'information

• informer les parties intéressées et les sujets de l'Agence de surveillance de l'État sur la détection, la prévention et l'atténuation des conséquences des attaques informatiques

• assurer la protection des données transmises entre le centre départemental et le Centre principal via des canaux protégés à l'aide d'outils de sécurité de l'information certifiés par le FSB de Russie

• fourniture d'informations complémentaires sur les incidents informatiques dans les réseaux d'information et de télécommunication situés dans la zone de​​responsabilité du centre départemental, à la demande du Centre principal du Service de sécurité de l'État de l'Ukraine.

Compte tenu des fonctions données dans Concepts, le schéma d'interaction suivant est obtenu GosSOPKA

l'absence pratique d'équipements de télécommunications domestiques dans tout le pays ;

La topologie du réseau de transport du pays doit être améliorée pour assurer sa viabilité.

Enfin, il convient de mentionner le lien FinCERT Et GosSOPKA. Selon Alexeï Lukatski, il a été dit que FinCERT, créé par la Banque centrale, ferait partie du système - apparemment en tant que système départemental. Loukatski note : "Les banques devraient examiner de plus près SOPKA. Il y a deux raisons à cela. La première est que FinCERT travaillera en étroite collaboration avec SOPKA, en y transférant les informations reçues des banques et traitées par FinCERT. La seconde concerne tous ceux qui tomberont sous le coup de la loi. « Sur la sécurité des infrastructures d'information critiques », sera nécessaire pour se connecter à SOPKA."

PRÉSIDENT DE LA FÉDÉRATION DE RUSSIE

Sur l'amélioration du système public de détection, de prévention et d'élimination des conséquences des attaques informatiques contre les ressources d'information de la Fédération de Russie

Afin d'améliorer le système public de détection, de prévention et d'élimination des conséquences des attaques informatiques sur les ressources d'information de la Fédération de Russie et conformément à l'article 6 de la loi fédérale du 26 juillet 2017 N 187-FZ "Sur la sécurité des informations critiques infrastructure d'information de la Fédération de Russie"

Je décrète :

1. Attribuer au Service fédéral de sécurité de la Fédération de Russie les fonctions de l'organe exécutif fédéral autorisé à assurer le fonctionnement du système étatique de détection, de prévention et d'élimination des conséquences des attaques informatiques sur les ressources d'information de la Fédération de Russie - informations systèmes, réseaux d'information et de télécommunication et systèmes de contrôle automatisés situés sur le territoire de la Fédération de Russie, dans les missions diplomatiques et les bureaux consulaires de la Fédération de Russie.

2. Établir que les tâches du système public de détection, de prévention et d'élimination des conséquences des attaques informatiques contre les ressources d'information de la Fédération de Russie sont les suivantes :

a) prévoir la situation dans le domaine de la garantie de la sécurité de l'information de la Fédération de Russie ;

b) assurer l'interaction entre les propriétaires de ressources d'information de la Fédération de Russie, les opérateurs de télécommunications et d'autres entités exerçant des activités autorisées dans le domaine de la sécurité de l'information lors de la résolution des problèmes liés à la détection, à la prévention et à l'élimination des conséquences des attaques informatiques ;

c) surveiller le degré de sécurité des ressources d'information de la Fédération de Russie contre les attaques informatiques ;

d) établir les causes des incidents informatiques liés au fonctionnement des ressources d'information de la Fédération de Russie.

3. Établir que le Service fédéral de sécurité de la Fédération de Russie :

a) assure et contrôle le fonctionnement du système étatique mentionné au paragraphe 1 du présent décret ;

b) élabore et met en œuvre, dans le cadre de ses compétences, la politique scientifique et technique de l'État dans le domaine de la détection, de la prévention et de l'élimination des conséquences des attaques informatiques sur les ressources d'information de la Fédération de Russie ;

c) élabore des recommandations méthodologiques :

détecter les attaques informatiques contre les ressources d'information de la Fédération de Russie ;

prévenir et identifier les causes des incidents informatiques liés au fonctionnement des ressources d'information de la Fédération de Russie, ainsi qu'éliminer les conséquences de ces incidents.

4. Introduire au paragraphe 9 du Règlement sur le Service fédéral de sécurité de la Fédération de Russie, approuvé par le décret du Président de la Fédération de Russie du 11 août 2003 N 960 « Questions du Service fédéral de sécurité de la Fédération de Russie » (Recueilli Législation de la Fédération de Russie, 2003, N 33, article 3254 ; 2004, N 28, article 2883 ; 2005, N 36, article 3665 ; N 49, article 5200 ; 2006, N 25, article 2699 ; N 31, article 3463; 2007, N 1, article 205; N 49, article 6133; N 53, article 6554; 2008, N 36, article 4087; N 43, article 4921; N 47, article. 5431; 2010, N 17, article 2054; N 20, article .2435; 2011, N 2, article 267; N 9, article 1222; 2012, N 7, article 818; N 8, article 993 ; N 32, article 4486 ; 2013, N 12, article 1245 ; N 26, article 3314 ; N 52, articles 7137, 7139 ; 2014, N 10, article 1020 ; N 44, article 6041 ; 2015. , N 4, art. 641 ; 2016, N 50, art. 7077 ; 2017, N 21, art. 2991), les modifications suivantes :

a) paragraphe 20_1

"20_1) dans les limites de ses pouvoirs, élabore et approuve des documents réglementaires et méthodologiques visant à assurer la sécurité de l'information des systèmes d'information créés à l'aide des technologies de supercalculateur et de grille, ressources d'information de la Fédération de Russie, et exerce également un contrôle pour assurer la sécurité de l'information de ces systèmes et ressources;" ;

b) le sous-paragraphe 47 devrait être libellé comme suit :

« 47) organise et mène des recherches dans le domaine de la sécurité de l'information, des recherches expertes en cryptographie, en ingénierie cryptographique et spéciales sur les outils de cryptage, les systèmes d'information et de télécommunication spéciaux et fermés, les systèmes d'information créés à l'aide des technologies de supercalculateurs et de grilles, ainsi que les ressources d'information du Fédération Russe ;";

c) le sous-paragraphe 49 doit être libellé comme suit :

"49) prépare des avis d'experts sur les propositions visant à mener des travaux sur la création de systèmes d'information et de télécommunications et de réseaux de communication spéciaux et protégés utilisant des moyens de cryptage (cryptographiques), de systèmes d'information créés à l'aide de technologies de superordinateurs et de grilles, ainsi que des ressources d'information de la Russie Fédération ;".

5. Introduire dans le décret du Président de la Fédération de Russie du 15 janvier 2013 N 31c « Sur la création d'un système d'État pour détecter, prévenir et éliminer les conséquences des attaques informatiques sur les ressources d'information de la Fédération de Russie » (Législation collective de la Fédération de Russie, 2013, N 3, article 178), les modifications suivantes :

a) du paragraphe 1, les mots « - les systèmes d'information et les réseaux d'information et de télécommunication situés sur le territoire de la Fédération de Russie et dans les missions diplomatiques et les bureaux consulaires de la Fédération de Russie à l'étranger » ;

b) le paragraphe 2 et les alinéas « a » à « e » du paragraphe 3 sont déclarés invalides.

Le président
Fédération Russe
V. Poutine

Texte du document électronique
préparé par Kodeks JSC et vérifié.

Le Kremlin, avec des officiers nommés à des postes de commandement supérieurs, a déclaré qu'il fallait continuer à agir " systématiquement et de manière offensive, y compris dans des domaines tels que le contre-espionnage, la protection des infrastructures stratégiques, la lutte contre la criminalité dans le domaine économique, dans le cyberespace".

Dès le lendemain, le 29 décembre, Poutine signe le décret n° 1711 modifiant la composition de la Commission interministérielle du Conseil de sécurité russe sur la sécurité de l'information. Entre autres choses, il comprenait le chef du service de sécurité de Rosneft, le directeur général adjoint pour la sécurité de Rosatom et le vice-président du conseil d'administration de Gazprom, c'est-à-dire trois infrastructures stratégiques nationales.

Et le 15 janvier, le président russe a signé un nouveau décret n° 31c "sur la création d'un système étatique permettant de détecter, prévenir et éliminer les conséquences des attaques informatiques contre les ressources d'information de la Fédération de Russie". Tous les pouvoirs pour créer ce système, développer des méthodes de détection des attaques, échanger des informations entre agences gouvernementales sur les incidents de sécurité de l'information et évaluer le degré de sécurité des infrastructures d'information critiques sont attribués au FSB.

Conjuguées aux « Principales orientations de la politique de l'État visant à assurer la sécurité des systèmes de contrôle automatisés des processus de production et technologiques des installations d'infrastructures critiques de la Fédération de Russie », adoptées par le Conseil de sécurité l'été dernier, ces actions ressemblent à la mise en œuvre de un programme ciblé pour protéger les infrastructures d’information critiques nationales.

Mais après la publication du dernier décret, il y a encore plus de questions que de réponses :

1. Quels composants sont inclus dans ce système ? Pas en paroles, mais pas en actes. "RUCHEEK" et "ARGUS" mal adaptés à la vraie vie ?
2. Qui est responsable du fonctionnement de ce système de détection des attaques informatiques ?
3. Le FSB travaille sur ce qu'on appelle depuis un certain temps déjà. système "SOPKA" (Système de détection, de prévention et d'élimination des conséquences des attaques informatiques). S'agit-il de la même chose ou de systèmes différents ?
4. Les documents précédents du Gouvernement, du Président et du Conseil de sécurité continuent-ils de s’appliquer ? Par exemple, le « Système de caractéristiques des objets d'importance critique et de critères pour classer les systèmes d'information et de télécommunication qui y fonctionnent comme protégés contre les influences destructrices de l'information », approuvé en novembre 2005.
5. Qu’en est-il des documents FSTEC pour la FIAC ? D’une part, ils existent et sont plutôt bons. D'un autre côté, le FSTEC lui-même a déclaré à plusieurs reprises que cela recommandations, et non des exigences obligatoires.
6. Quand une liste précise d'événements sera-t-elle établie conformément aux « Grandes orientations... » du Conseil de sécurité avec des détails, des dates et des responsabilités ?

Jusqu'à présent, il semble que le régulateur, représenté par le FSB, ne soit plus content d'avoir pris ce sujet sur lui-même, ce qui a éloigné le FSTEC de la réglementation de ce processus (même si le FSTEC n'est pas non plus la meilleure option). Le problème (surtout après Stuxnet, Duqu et Flame) est plus pressant que jamais. Ces programmes malveillants sont présents sur le KVO russe, mais personne ne veut (ou ne peut) en faire quoi que ce soit. Si des événements spécifiques avec des dates et des responsabilités sont approuvés, cela devra également être tenu pour responsable. Et personne ne veut ça, parce que... avec un degré de probabilité élevé, les délais fixés ne seront pas respectés. Mais si, par exemple, l'échec de la mise en œuvre d'une signature électronique ou d'une UEC à l'échelle nationale est un problème non critique (nous vivions sans eux et sans rien), alors une panne d'approvisionnement en gaz ou un incident dans les installations de Rosatom dû à des attaques informatiques est bien plus grave. problème plus grave avec des conséquences imprévisibles.

Je suis plus que sûr que le FSB ne dispose pas actuellement d'un nombre suffisant de spécialistes adéquats dans ce domaine. Le maximum dont ils sont capables est d’exiger l’utilisation de la cryptographie russe dans tous les CVO, y compris dans les systèmes industriels occidentaux. Bien entendu, cela ne constitue pas une solution au problème (et il est impossible de la mettre en œuvre). La solution de Kaspersky pour implémenter un système d’exploitation encore inexistant n’est pas non plus une solution. Nous avons besoin d'une approche systématique impliquant un large éventail de spécialistes, comme cela se fait en Occident et comme le FSTEC a essayé de le faire avec les documents sur les données personnelles et la protection des agences gouvernementales.