Публикации
Что такое ГосСОПКА?
Дата публикации: 28.04.2023
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА) представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
ГосСОПКА призвана оказывать содействие владельцам информационных ресурсов Российской Федерации по защите от компьютерных атак. Каждый участник взаимодействия в рамках ГосСОПКА сможет получить сведения об угрозах, практическую помощь по противодействию компьютерным атакам и реагированию на компьютерные инциденты, а также оказать помощь другим участникам, поделившись информацией о выявленной вредоносной активности.
Правовую основу функционирования ГосСОПКА составляют:
а) единство государственного планирования, а также координация и контроль реализации правовых, организационных и технических мер;
б) ведомственная (корпоративная) и территориальная организация сил, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее – силы ГосСОПКА), и средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее – средства ГосСОПКА);
в) разделение полномочий и ответственности между субъектами ГосСОПКА.
а) информационные ресурсы Российской Федерации – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, находящиеся на территории Российской Федерации и в дипломатических представительствах и (или) консульских учреждениях Российской Федерации;
б) субъекты ГосСОПКА – государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели в силу закона или на основании заключенных с ФСБ России соглашений осуществляющие обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты ;
в) зона ответственности субъекта ГосСОПКА – информационные ресурсы Российской Федерации, в отношении которых субъектом ГосСОПКА обеспечивается обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты;
г) силы ГосСОПКА – Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ), подразделения и должностные лица ФСБ России, подразделения и должностные лица субъектов ГосСОПКА, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и реагировании на компьютерные инциденты;
д) средства ГосСОПКА – технические, программные, программно-аппаратные и иные средства для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам ГосСОПКА при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации.
а) обеспечение обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты в зоне своей ответственности;
б) развитие сил и средств субъекта ГосСОПКА в соответствии с нормативно-методическими документами в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» обязывает субъектов КИИ взаимодействовать по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак с ФСБ России. Взаимодействие осуществляется через НКЦКИ.
а) осуществление мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак, реагирование на компьютерные инциденты в зоне своей ответственности;
б) проведение мероприятий по оценке состояния защищенности информационных ресурсов, находящихся в зоне своей ответственности, в том числе совместно с сотрудниками НКЦКИ и ФСБ России, а также территориальными органами безопасности, в зоне ответственности которых они находятся;
в) предоставление в НКЦКИ и ФСБ России сведений о состоянии защищённости информационных ресурсов Российской Федерации, находящихся в зоне ответственности субъекта ГосСОПКА, от компьютерных атак;
г) взаимодействие с НКЦКИ и ФСБ России в части информационно-аналитического и прогностического обеспечения функционирования ГосСОПКА;
д) предоставление отчётности в области обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
е) выявление угроз в области обеспечения информационной безопасности Российской Федерации, прогнозирование их развития и направление в НКЦКИ и ФСБ России результатов.
а) запрашивать и получать в установленном порядке сведения, необходимые для принятия решений по вопросам, отнесенным к их компетенции;
б) напрямую взаимодействовать по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты с НКЦКИ, а также территориальными органами безопасности, в зоне ответственности которых они находятся;
в) привлекать в целях решения возложенных на них задач по согласованию с НКЦКИ и ФСБ России, а также территориальными органами безопасности, в зоне ответственности которых они находятся, научные и иные организации, отдельных экспертов и специалистов.
ФСБ России разработаны подзаконные нормативные правовые акты и ряд методических документов, регламентирующих деятельность ГосСОПКА и направленных на обеспечение взаимодействия субъектов КИИ с НКЦКИ.
Указанные нормативные документы можно условно разделить на три группы.
Первая группа определяет организационно-правовые основы НКЦКИ:
Основной задачей НКЦКИ является обеспечение координации деятельности субъектов критической информационной инфраструктуры Российской Федерации, а также своевременное доведение до субъектов информации об угрозах информационной безопасности, о средствах и способах проведения компьютерных атак и о методах их предупреждения с учетом особенностей функционирования объектов КИИ.
Кроме того, НКЦКИ организует обмен информацией о компьютерных инцидентах с уполномоченными органами иностранных государств.
Вторая группа приказов определяет информационное взаимодействие собственников КИИ и ГосСОПКА:
Приказы устанавливают форматы, объем представления информации о компьютерных инцидентах, а также порядок обмена информацией.
Третья группа приказов носит технический характер и определяет свойства средств, которые могут использоваться в целях решения задач ГосСОПКА, порядок их установки и эксплуатации:
Таким образом, силами ГосСОПКА реализуется весь спектр процессов в области обнаружения, предупреждения и ликвидации компьютерных атак и реагирования на компьютерные инциденты.
ГосСОПКА призвана оказывать содействие владельцам информационных ресурсов Российской Федерации по защите от компьютерных атак. Каждый участник взаимодействия в рамках ГосСОПКА сможет получить сведения об угрозах, практическую помощь по противодействию компьютерным атакам и реагированию на компьютерные инциденты, а также оказать помощь другим участникам, поделившись информацией о выявленной вредоносной активности.
Правовую основу функционирования ГосСОПКА составляют:
- Конституция Российской Федерации;
- Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
- Стратегия национальной безопасности Российской Федерации (утверждена Указом Президента Российской Федерации от 31 декабря 2015 г. № 683);
- Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента Российской Федерации от 5 декабря 2016 г. № 646);
- Указ Президента Российской Федерации от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;
- Указ Президента Российской Федерации от 22 декабря 2017 г. № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;
- Иные нормативные правовые акты Российской Федерации.
Создание и функционирование ГосСОПКА осуществляется на основе следующих принципов:
а) единство государственного планирования, а также координация и контроль реализации правовых, организационных и технических мер;
б) ведомственная (корпоративная) и территориальная организация сил, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее – силы ГосСОПКА), и средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее – средства ГосСОПКА);
в) разделение полномочий и ответственности между субъектами ГосСОПКА.
При создании и функционировании ГосСОПКА специалистами используется следующая терминология:
а) информационные ресурсы Российской Федерации – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, находящиеся на территории Российской Федерации и в дипломатических представительствах и (или) консульских учреждениях Российской Федерации;
б) субъекты ГосСОПКА – государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели в силу закона или на основании заключенных с ФСБ России соглашений осуществляющие обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты ;
в) зона ответственности субъекта ГосСОПКА – информационные ресурсы Российской Федерации, в отношении которых субъектом ГосСОПКА обеспечивается обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты;
г) силы ГосСОПКА – Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ), подразделения и должностные лица ФСБ России, подразделения и должностные лица субъектов ГосСОПКА, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и реагировании на компьютерные инциденты;
д) средства ГосСОПКА – технические, программные, программно-аппаратные и иные средства для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам ГосСОПКА при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации.
Структура ГосСОПКА включает в себя:
- Подразделения и должностные лица ФСБ России.
- Национальный координационный центр по компьютерным инцидентам является составной частью сил, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. НКЦКИ создан ФСБ России и функционирует на основании положения о нем, утвержденного отдельным приказом ФСБ России (Приказ ФСБ России от 24 июля 2018 г. № 366 «О Национальном координационном центре по компьютерным инцидентам»). НКЦКИ координирует мероприятия по реагированию на компьютерные инциденты и непосредственно участвует в таких мероприятиях, организует и осуществляет обмен информацией о компьютерных инцидентах между субъектами ГосСОПКА, органами и организациями взаимодействующими с ФСБ России на основании заключенных соглашений, а также между субъектами ГосСОПКА и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.
- Подразделения и должностные лица субъектов ГосСОПКА, относящиеся к силам ГосСОПКА, – это подразделения и должностные лица субъектов критической информационной инфраструктуры Российской Федерации, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и реагировании на компьютерные инциденты, а также российских юридических лиц и индивидуальных предпринимателей, которые на основании заключенных с ФСБ России соглашений осуществляют обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты.
Основными задачами подразделений и должностных лиц субъектов ГосСОПКА, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и реагировании на компьютерные инциденты, являются:
а) обеспечение обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты в зоне своей ответственности;
б) развитие сил и средств субъекта ГосСОПКА в соответствии с нормативно-методическими документами в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» обязывает субъектов КИИ взаимодействовать по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак с ФСБ России. Взаимодействие осуществляется через НКЦКИ.
В функции подразделений и должностных лиц субъектов ГосСОПКА, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и реагировании на компьютерные инциденты, входит:
а) осуществление мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак, реагирование на компьютерные инциденты в зоне своей ответственности;
б) проведение мероприятий по оценке состояния защищенности информационных ресурсов, находящихся в зоне своей ответственности, в том числе совместно с сотрудниками НКЦКИ и ФСБ России, а также территориальными органами безопасности, в зоне ответственности которых они находятся;
в) предоставление в НКЦКИ и ФСБ России сведений о состоянии защищённости информационных ресурсов Российской Федерации, находящихся в зоне ответственности субъекта ГосСОПКА, от компьютерных атак;
г) взаимодействие с НКЦКИ и ФСБ России в части информационно-аналитического и прогностического обеспечения функционирования ГосСОПКА;
д) предоставление отчётности в области обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
е) выявление угроз в области обеспечения информационной безопасности Российской Федерации, прогнозирование их развития и направление в НКЦКИ и ФСБ России результатов.
Подразделения и должностные лица субъектов ГосСОПКА, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и реагировании на компьютерные инциденты, для решения возложенных на них задач, имеют право:
а) запрашивать и получать в установленном порядке сведения, необходимые для принятия решений по вопросам, отнесенным к их компетенции;
б) напрямую взаимодействовать по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты с НКЦКИ, а также территориальными органами безопасности, в зоне ответственности которых они находятся;
в) привлекать в целях решения возложенных на них задач по согласованию с НКЦКИ и ФСБ России, а также территориальными органами безопасности, в зоне ответственности которых они находятся, научные и иные организации, отдельных экспертов и специалистов.
Нормативное обеспечение деятельности в рамках ГосСОПКА
ФСБ России разработаны подзаконные нормативные правовые акты и ряд методических документов, регламентирующих деятельность ГосСОПКА и направленных на обеспечение взаимодействия субъектов КИИ с НКЦКИ.
Указанные нормативные документы можно условно разделить на три группы.
Первая группа определяет организационно-правовые основы НКЦКИ:
Основной задачей НКЦКИ является обеспечение координации деятельности субъектов критической информационной инфраструктуры Российской Федерации, а также своевременное доведение до субъектов информации об угрозах информационной безопасности, о средствах и способах проведения компьютерных атак и о методах их предупреждения с учетом особенностей функционирования объектов КИИ.
Кроме того, НКЦКИ организует обмен информацией о компьютерных инцидентах с уполномоченными органами иностранных государств.
Вторая группа приказов определяет информационное взаимодействие собственников КИИ и ГосСОПКА:
- Приказ ФСБ России от 24 июля 2018 г. № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;
- Приказ ФСБ России от 24 июля 2018 г. № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения»;
- Приказ ФСБ России от 19 июня 2019 г. № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации».
Приказы устанавливают форматы, объем представления информации о компьютерных инцидентах, а также порядок обмена информацией.
Третья группа приказов носит технический характер и определяет свойства средств, которые могут использоваться в целях решения задач ГосСОПКА, порядок их установки и эксплуатации:
- Приказ ФСБ России от 6 мая 2019 г. № 196 «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты».
- Приказ ФСБ России от 19 июня 2019 г. № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации».
Таким образом, силами ГосСОПКА реализуется весь спектр процессов в области обнаружения, предупреждения и ликвидации компьютерных атак и реагирования на компьютерные инциденты.