14.6. Передача отчётов об инцидентах информационной безопасности в ГосСОПКА

ГосСОПКА - Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Целью создания ГосСОПКА является защита критической информационной инфраструктуры (КИИ), владельцы объектов которой должны подключиться к ГосСОПКА. Также к ГосСОПКА можно подключиться и на добровольной основе для обеспечения более высокого уровня информационной безопасности и улучшения методов выявления и реагирования на инциденты.

В UserGate Log Ananlyzer реализована возможность передачи отчётов о компьютерных атаках, инцидентах и уязвимостях в стандартизированном формате через личный кабинет ГосСОПКА.

Для отправки отчётов необходимо:

  1. Самостоятельно подключиться к системе личных кабинетов ГосСОПКА.

Подключение необходимо для взаимодействия и автоматизации обмена информацией о зафиксированных инцидентах информационной безопасности и методах их предотвращения с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.

  1. Добавить криптографический шлюз для организации межсетевого взаимодействия с сетью НКЦКИ (Национальный координационный центр по компьютерным инцидентам; главный центр ГосСОПКА).

Для самостоятельного подключения к ГосСОПКА используются аппаратно-программные комплексы компаний Инфотекс (ViPNet), Код безопасности (Континент), С-Терра (С-Терра Шлюз).

Примечание

Не указывайте криптографический шлюз в качестве шлюза по умолчанию.

  1. Добавить DNS-серверы для определения адреса системы личных кабинетов ГосСОПКА.

Для определения адреса системы личных кабинетов ГосСОПКА необходимо добавить серверы с адресами 10.0.100.49 и 10.0.100.50.

Примечание

В список системных DNS-серверов можно добавить не более трёх серверов. Серверы ГосСОПКА не могут быть использованы для преобразования доменных имён в сети Интернет.

  1. Настроить статический маршрут в сеть ГосСОПКА для обеспечения доступности DNS-серверов, указанных в пункте 3.

Для обеспечения доступности серверов ГосСОПКА необходимо добавить статический маршрут с адресом назначения: 10.0.100.0/24. Подробнее о настройке маршрутов читайте в разделе Маршруты.

  1. Настроить подключение к личному кабинету ГосСОПКА с UserGate LogAn для возможности отправки отчёта.

В UserGate Log Analyzer по умолчанию создан коннектор Gossopka, предназначенный для взаимодействия с ГосСОПКА. При настройке коннектора необходимо указать

Для настройки коннектора перейдите во вкладку Настройки в раздел Сенсоры --> Коннектор. Используйте коннектор Gossopka, созданный в UserGate Log Analyzer по умолчанию; необходимо указать: FQDN личного кабинета, вместо указанного по умолчанию (значение по умолчанию отображает формат, в котором должно быть указано значение поля), логин/пароль и ключ API, который добавляется в поле HTTP заголовки.

  1. Настроить шаблон отчёта.

По молчанию создан шаблон Форма для ГОССОПКА, соответствующий требованиям ГосСОПКА к отчётам. Заполните поля формы; данная форма будет использоваться при формировании отчёта.

Наименование

Описание

Организация

Название организации.

Категория

Категория уведомления:

  • Уведомление о компьютерном инциденте.

  • Уведомление о компьютерной атаке.

  • Уведомление о наличии уязвимости.

Тип события ИБ

Тип события информационной безопасности:

  • Вовлечение контролируемого ресурса в инфраструктуру ВПО.

  • Замедление работы ресурса в результате DDoS-атаки.

  • Заражение ВПО.

  • Захват сетевого трафика.

  • Использование контролируемого ресурса для фишинга.

  • Компрометация учётной записи.

  • Несанкционированное изменение информации.

  • Несанкционированное разглашение информации.

  • Публикация на ресурсе запрещённой законодательством РФ информации.

  • Рассылка спам-сообщений с контролируемого ресурса.

  • Успешная эксплуатация уязвимости.

Статус реагирования на инцидент

Статус реагирования на инцидент:

  • Меры приняты.

  • Проводятся мероприятия по реагированию.

  • Возобновлены мероприятия по реагированию.

Необходимость привлечения сил ГосСОПКА

Отметьте чекбокс в случае необходимости привлечения сил ГосСОПКА.

Краткое описание события ИБ

Описание события информационной безопасности.

Сведения о средстве или способе выявления инцидента

Информация о способе и устройстве/ПО, посредством которого был выявлен инцидент.

Дата и время выявления инцидента

Дата и время выявления инцидента заполняются автоматически.

Дата и время завершения инцидента

Дата и время завершения инцидента заполняются автоматически.

Ограничительный маркер TLP

Маркировка конфиденциальной информации (Traffic Light Protocol). Возможны следующие маркировки:

  • RED: информация является крайне конфиденциальной.

  • AMBER: информацией можно поделиться в рамках своей организации, при условии, что этой информацией нужно поделиться.

  • GREEN: информация может быть широко распространена в пределах определённого сообщества.

  • WHITE: информация в свободном распространении, но не нарушает авторские права.

Влияние на доступность

Потенциальное влияние на доступность информационных ресурсов:

  • Отсутствует.

  • Низкое.

  • Высокое.

Влияние на целостность

Потенциальное влияние на целостность ресурсов информационной системы:

  • Отсутствует.

  • Низкое.

  • Высокое.

Влияние на конфиденциальность

Потенциальное влияние на конфиденциальность (ограничение доступа к информационным ресурсам, разрешения доступа к системе только авторизованным пользователям, предотвращение раскрытия информации неуполномоченным лицам):

  • Отсутствует.

  • Низкое.

  • Высокое.

Краткое описание иной формы последствий компьютерного инцидента

Описание последствий инцидента, кроме тех, что были указаны ранее.

Наименование контролируемого ресурса, на котором был выявлен компьютерный инцидент

Наименование контролируемого информационного ресурса объекта КИИ, на котором выявлен компьютерный инцидент, компьютерная атака или уязвимость.

Информация о категорировании ОКИИ

Присвоенная объекту КИИ категория значимости:

  • Информационный ресурс не является объектом КИИ.

  • Объект КИИ без категории значимости (объект признан незначимым).

  • Объект КИИ третьей категории значимости (самая низкая).

  • Объект КИИ второй категории значимости.

  • Объект КИИ первой категории значимости (самая высокая).

Сфера функционирования субъекта

Сфера функционирования объекта КИИ (например, банковская сфера, здравоохранение и т.п.).

Наличие подключения к сети Интернет

Наличие подключения к сети Интернет:

  • Да.

  • Нет.

Страна/регион

Код в соответствии с ISO-3166-2.

Населенный пункт или геокоординаты

Название населённого пункта или его географические координаты.

Географические координаты указываются в формате: широта - С.Ш, долгота - В.Д.

  1. Сформировать и отправить отчёт об инциденте информационной безопасности.

Формирование отчёта доступно во вкладке с подробностями об инциденте нажатием кнопки Создать отчёт --> GOSSOPKA report. Для отправки отчёта необходимо указать коннектор, настроенный ранее и нажать Послать через сеть.

Далее нужно заполнить необходимые поля формы (большинство поле заполнено в соответствии с шаблоном Форма для ГОССОПКА) и нажать ОК. В случае успешного соединения сервер UserGate Log Analyzer отправит отчёт на коннектор (в систему личных кабинетов ГосСОПКА).

Запись об отправке отчёта будет отображена в журнале событий Log Analyzer.