В соответствии с разработанным в ФСБ России документом №149/2/7-200 от 24.12.2016 «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», функциями ГосСОПКА являются:

  • инвентаризация информационных ресурсов;
  • выявление уязвимостей информационных ресурсов;
  • анализ угроз информационной безопасности;
  • повышение квалификации персонала информационных ресурсов;
  • прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;
  • обнаружение компьютерных атак;
  • анализ данных о событиях безопасности;
  • регистрация инцидентов;
  • реагирование на инциденты и ликвидация их последствий;
  • установление причин инцидентов;
  • анализ результатов устранения последствий инцидентов.

Центры системы ГосСОПКА подразделяются на ведомственные и корпоративные:

  • ведомственные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в интересах органов государственной власти;
  • корпоративные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в собственных интересах, а также имеют право предоставлять услуги по предупреждению, обнаружению и ликвидации последствий компьютерных атак.

Если саму систему ГосСОПКА мы утрированно можем называть «большим SIEM» в масштабе всей страны, то Центры ГосСОПКА будет корректно сравнивать скорее с Центрами мониторинга информационной безопасности (англ. Security Operations Center, SOC).

Итак, субъект КИИ, относящийся к органу государственной власти, в соответствии с текущими законодательными нормами должен подключиться к соответствующему ведомственному Центру ГосСОПКА. У субъекта КИИ, не являющегося органом государственной власти, есть возможность либо осуществить самостоятельное подключение к системе ГосСОПКА, либо создать свой собственный корпоративный Центр ГосСОПКА, либо подключиться к уже созданному Центру, оказывающему услуги по подключению к системе ГосСОПКА.

При самостоятельном подключении к Центру ГосСОПКА субъекту КИИ предстоит решить следующие задачи:

  • создание собственного Центра мониторинга информационной безопасности с учетом требований нормативных документов ФСБ РФ, ФСТЭК России, иных нормативно-правовых актов;
  • внедрение и поддержка технических средств и решений, соответствующих методическим рекомендациям ФСБ РФ по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
  • внедрение и поддержка технических средств и решений, соответствующих требованиям к лицензиату ФСТЭК России для осуществления деятельности по мониторингу информационной безопасности средств и систем мониторинга;
  • получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) в части перечня работ и услуг по мониторингу информационной безопасности средств и систем мониторинга (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);
  • получение лицензии ФСБ РФ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);
  • осуществление взаимодействия с НКЦКИ в соответствии с регламентом взаимодействия подразделений ФСБ РФ и субъектов ГосСОПКА при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак;
  • привлечение, обучение, удержание сотрудников Центра мониторинга информационной безопасности;
  • разработка и непрерывная актуализация сценариев атак и мониторинга;
  • аналитика событий и инцидентов, построение отчетности.