ГосСОПКА - Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Целью создания ГосСОПКА является защита критической информационной инфраструктуры (КИИ), владельцы объектов которой должны подключиться к ГосСОПКА. Также к ГосСОПКА можно подключиться и на добровольной основе для обеспечения более высокого уровня информационной безопасности и улучшения методов выявления и реагирования на инциденты.
В UserGate Log Ananlyzer реализована возможность передачи отчётов о компьютерных атаках, инцидентах и уязвимостях в стандартизированном формате через личный кабинет ГосСОПКА.
Для отправки отчётов необходимо:
-
Самостоятельно подключиться к системе личных кабинетов ГосСОПКА.
Подключение необходимо для взаимодействия и автоматизации обмена информацией о зафиксированных инцидентах информационной безопасности и методах их предотвращения с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.
-
Добавить криптографический шлюз для организации межсетевого взаимодействия с сетью НКЦКИ (Национальный координационный центр по компьютерным инцидентам; главный центр ГосСОПКА).
Для самостоятельного подключения к ГосСОПКА используются аппаратно-программные комплексы компаний Инфотекс (ViPNet), Код безопасности (Континент), С-Терра (С-Терра Шлюз).
Примечание
Не указывайте криптографический шлюз в качестве шлюза по умолчанию.
-
Добавить DNS-серверы для определения адреса системы личных кабинетов ГосСОПКА.
Для определения адреса системы личных кабинетов ГосСОПКА необходимо добавить серверы с адресами 10.0.100.49 и 10.0.100.50.
Примечание
В список системных DNS-серверов можно добавить не более трёх серверов. Серверы ГосСОПКА не могут быть использованы для преобразования доменных имён в сети Интернет.
-
Настроить статический маршрут в сеть ГосСОПКА для обеспечения доступности DNS-серверов, указанных в пункте 3.
Для обеспечения доступности серверов ГосСОПКА необходимо добавить статический маршрут с адресом назначения: 10.0.100.0/24. Подробнее о настройке маршрутов читайте в разделе Маршруты.
-
Настроить подключение к личному кабинету ГосСОПКА с UserGate LogAn для возможности отправки отчёта.
В UserGate Log Analyzer по умолчанию создан коннектор Gossopka, предназначенный для взаимодействия с ГосСОПКА. При настройке коннектора необходимо указать
Для настройки коннектора перейдите во вкладку Настройки в раздел Сенсоры --> Коннектор. Используйте коннектор Gossopka, созданный в UserGate Log Analyzer по умолчанию; необходимо указать: FQDN личного кабинета, вместо указанного по умолчанию (значение по умолчанию отображает формат, в котором должно быть указано значение поля), логин/пароль и ключ API, который добавляется в поле HTTP заголовки.
-
Настроить шаблон отчёта.
По молчанию создан шаблон Форма для ГОССОПКА, соответствующий требованиям ГосСОПКА к отчётам. Заполните поля формы; данная форма будет использоваться при формировании отчёта.
Наименование |
Описание |
---|---|
Организация |
Название организации. |
Категория |
Категория уведомления:
|
Тип события ИБ |
Тип события информационной безопасности:
|
Статус реагирования на инцидент |
Статус реагирования на инцидент:
|
Необходимость привлечения сил ГосСОПКА |
Отметьте чекбокс в случае необходимости привлечения сил ГосСОПКА. |
Краткое описание события ИБ |
Описание события информационной безопасности. |
Сведения о средстве или способе выявления инцидента |
Информация о способе и устройстве/ПО, посредством которого был выявлен инцидент. |
Дата и время выявления инцидента |
Дата и время выявления инцидента заполняются автоматически. |
Дата и время завершения инцидента |
Дата и время завершения инцидента заполняются автоматически. |
Ограничительный маркер TLP |
Маркировка конфиденциальной информации (Traffic Light Protocol). Возможны следующие маркировки:
|
Влияние на доступность |
Потенциальное влияние на доступность информационных ресурсов:
|
Влияние на целостность |
Потенциальное влияние на целостность ресурсов информационной системы:
|
Влияние на конфиденциальность |
Потенциальное влияние на конфиденциальность (ограничение доступа к информационным ресурсам, разрешения доступа к системе только авторизованным пользователям, предотвращение раскрытия информации неуполномоченным лицам):
|
Краткое описание иной формы последствий компьютерного инцидента |
Описание последствий инцидента, кроме тех, что были указаны ранее. |
Наименование контролируемого ресурса, на котором был выявлен компьютерный инцидент |
Наименование контролируемого информационного ресурса объекта КИИ, на котором выявлен компьютерный инцидент, компьютерная атака или уязвимость. |
Информация о категорировании ОКИИ |
Присвоенная объекту КИИ категория значимости:
|
Сфера функционирования субъекта |
Сфера функционирования объекта КИИ (например, банковская сфера, здравоохранение и т.п.). |
Наличие подключения к сети Интернет |
Наличие подключения к сети Интернет:
|
Страна/регион |
Код в соответствии с ISO-3166-2. |
Населенный пункт или геокоординаты |
Название населённого пункта или его географические координаты. Географические координаты указываются в формате: широта - С.Ш, долгота - В.Д. |
-
Сформировать и отправить отчёт об инциденте информационной безопасности.
Формирование отчёта доступно во вкладке с подробностями об инциденте нажатием кнопки Создать отчёт --> GOSSOPKA report. Для отправки отчёта необходимо указать коннектор, настроенный ранее и нажать Послать через сеть.
Далее нужно заполнить необходимые поля формы (большинство поле заполнено в соответствии с шаблоном Форма для ГОССОПКА) и нажать ОК. В случае успешного соединения сервер UserGate Log Analyzer отправит отчёт на коннектор (в систему личных кабинетов ГосСОПКА).
Запись об отправке отчёта будет отображена в журнале событий Log Analyzer.