Немного теорииyartfoms.ru/itconf/ppt/2 infotecs_itdp for foms.pdf ·...
TRANSCRIPT
![Page 1: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/1.jpg)
Решение ViPNet по обнаружению и предотвращению компьютерных атак в структурах АИС ОМС
Светлана Старовойт,
Руководитель направления, ОАО ИнфоТеКС
![Page 2: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/2.jpg)
Немного теории
![Page 3: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/3.jpg)
©2016, ОАО «ИнфоТеКС».
Основные требования регуляторов
Требования к системам обнаружения компьютерных атак;
Перечень информации, предоставляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка предоставления информации в ГосСОПКА (Приказ № 367 от 24 июля 2018 года);
Порядок обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации… (Приказ от 24 июля 2018 г. N 368);
Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (Приказ от 06.05.2019 №196)
![Page 4: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/4.jpg)
©2016, ОАО «ИнфоТеКС».
Основные требования регуляторов
Требования к системам обнаружения вторжений;
Меры по защите информации в информационных и автоматизированных системах (Приказы ФСТЭК России № 17, № 21, №31)
Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости (Приказ ФСТЭК России № 239 )
![Page 5: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/5.jpg)
©2016, ОАО «ИнфоТеКС».
Система обнаружения атак
Система обнаружения компьютерных атак (СОА) – программное, программно-аппаратное или аппаратное средство, целевая функция которого заключается в автоматическом выявлении воздействий на контролируемую данным средством АИС, которые могут быть классифицированы, как компьютерные атаки.
Четыре класса в зависимости от типов выявляемых компьютерных атак на контролируемую АИС:
класс А;
класс Б;
класс В;
класс Г.
![Page 6: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/6.jpg)
©2016, ОАО «ИнфоТеКС».
Система обнаружения вторженийСистема обнаружения вторжений (СОВ) — программное или программно-техническое средство, реализующие функции автоматизированного обнаружения (блокирования) действий в информационной системе, направленных на преднамеренный доступ к информации, специальные воздействия на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней Соответствующий английский термин — Intrusion Detection System (IDS)
Тип системы обнаружения
вторжений
6 5 4 3 2 1
Система обнаружения
вторжений уровня сети
ИТ.СОВ. С6.ПЗ ИТ.СОВ. С5.ПЗ ИТ.СОВ. С4.ПЗ ИТ.СОВ. СЗ.ПЗ ИТ.СОВ. С2.ПЗ ИТ.СОВ. С1.ПЗ
Система обнаружения
вторжений уровня узла
ИТ.СОВ. У6.ПЗ ИТ.СОВ. У5.ПЗ ИТ.СОВ. У4.ПЗ ИТ.СОВ. УЗ.ПЗ ИТ.СОВ. У2.ПЗ ИТ.СОВ. У1.ПЗ
![Page 7: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/7.jpg)
Проблемы мониторинга угроз ИБ
![Page 8: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/8.jpg)
Сколько событий обрабатывает SOC?
392 326 588
112 000 000
363 434
I полугодие 2018 II полугодие 2018
События Инциденты
8 243 000 000
28 000 000 000
231 623 357 706
I полугодие 2018 II полугодие 2018
События Инциденты
![Page 9: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/9.jpg)
86%
14%
Причины утечек
Доказательства были в логахОтсутствие доказательств
Результаты исследований
56%44%
Предупреждения от средств ИБ
Были изучены
Не были изучены
![Page 10: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/10.jpg)
Важные события остаются не замеченными
Средства ИБ создают
«информационный шум»!
![Page 11: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/11.jpg)
Квалифицированные сотрудники стоят дорого
Регион Средняя
заработная плата
Москва 80 000
Санкт-Петербург 64 000
Волгоград 38 000
Воронеж 40 000
Екатеринбург 51 000
Казань 40 000
Красноярск 46 000
Нижний Новгород 44 000
Новосибирск 50 000
Омск 40 000
Пермь 46 000
Ростов-на-Дону 45 000
Самара 46 000
Уфа 40 000
Челябинск 46 000 © SuperJob 2016
![Page 12: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/12.jpg)
Причины неудовлетворенности системой SIEM
![Page 13: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/13.jpg)
Решение от Инфотекс
![Page 14: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/14.jpg)
©2016, ОАО «ИнфоТеКС».
Решение по обнаружению компьютерных атак
Сенсоры
Аналитика
Управление ViPNet IDS MC
ViPNet TIAS
ViPNet
IDS NS
ViPNet
IDS HS
![Page 15: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/15.jpg)
©2016, ОАО «ИнфоТеКС».
Сенсоры
ViPNet
IDS NS
ViPNet
IDS HS
Система обнаружения вторжений уровня сети
Система обнаружения вторжений уровня узла
![Page 16: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/16.jpg)
©2016, ОАО «ИнфоТеКС».
ViPNet IDS Network Sensor
ISP
LAN
Management console
ViPNet IDS, Firewall
Internet
Switch with
Span-port
Router (Firewall)
ViPNet IDS
Management channel
Protected
Network
Attack
![Page 17: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/17.jpg)
©2016, ОАО «ИнфоТеКС».
Функции ViPNet IDS NS
обнаруживать события ИБ в трафике;
оповещать о событиях;
хранить события;
работать с событиями;
управлять правилами и настройкой сигнатур
![Page 18: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/18.jpg)
©2016, ОАО «ИнфоТеКС».
ViPNet IDS Host Sensor
Выявлять подозрительную активность внутри ОС:• файловая активность, • изменения в реестре, • неизвестные процессы.
Определять атаки, которые “не видит” сетевой сенсор;
Обнаруживать атаки после расшифровки входящего трафика;
![Page 19: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/19.jpg)
©2016, ОАО «ИнфоТеКС».
Система управления
Сенсоры
Аналитика
Управление ViPNet IDS MC
ViPNet TIAS
ViPNet
IDS NS
ViPNet
IDS HS
![Page 20: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/20.jpg)
©2016, ОАО «ИнфоТеКС».
Система управления IDS MC
Управлять структурой и настройками сенсоров;
Управлять конфигурациями правил;
Мониторить работоспособность сенсоров;
Обновлять:• базы решающих правил; • базы сигнатур вредоносного ПО;• экспертные данные;
![Page 21: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/21.jpg)
©2016, ОАО «ИнфоТеКС».
Система анализа
Сенсоры
Аналитика
Управление ViPNet IDS MC
ViPNet TIAS
ViPNet
IDS NS
ViPNet
IDS HS
![Page 22: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/22.jpg)
©2016, ОАО «ИнфоТеКС».
Основные функции ViPNet TIAS
сбор и анализ событий от сенсоров ViPNet IDS;
автоматическое выявление инцидентов;
оповещение об инцидентах;
инструменты для проведения расследований;
формирование отчетов
![Page 23: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/23.jpg)
©2016, ОАО «ИнфоТеКС».
ViPNet TIAS
самые актуальные сведения об угрозах
передовые технологии машинного обучения;
рекомендации по реагированию;
проведение расследования;
сбор доказательной базы;
![Page 24: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/24.jpg)
©2016, ОАО «ИнфоТеКС».
Как это работает?
События ИБМодуль анализа
ViPNet TIAS
Инциденты ИБ
Threat Intelligence
![Page 25: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/25.jpg)
©2016, ОАО «ИнфоТеКС».
Threat Intelligence
Индикаторы атак и компрометации;
ТТП - тактики, техники, процедуры;
Информационный обмен:
СОПКА, ФСТЭК, RU-CERT;
Опыт клиентов - верифицированная и обезличенная информация
Отличие от классической SIEM
![Page 26: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/26.jpg)
©2016, ОАО «ИнфоТеКС».
Machin Learning
математическая модель принятия решений;
алгоритмы машинного обучения;
ежемесячное переобучение;
выявление атак нулевого дня
Отличие от классической SIEM
![Page 27: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/27.jpg)
©2016, ОАО «ИнфоТеКС».
Варианты исполнения ViPNet TIAS
Server 1U Virtual Appliance
ПАК ViPNet TIAS 1000
ПАК ViPNet TIAS 2000
ПАК ViPNet TIAS 5000 ViPNet TIAS VA
![Page 28: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/28.jpg)
Сертификация
![Page 29: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/29.jpg)
Действующие сертификаты
ViPNet IDS 2. Сертификат ФСТЭК России
СОВ 4 класс
ViPNet IDS 2. Сертификат ФСБ России
СОА класс класса В
ViPNet IDS HS. Сертификат ФСТЭК
России СОВ уровня узла 4 класс
ViPNet TIAS. Сертификат ФСТЭК России.
НДВ 4 уровень, соответствие ТУ
![Page 30: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/30.jpg)
Сертификация
Сертификация IDS 3 в составе:
ViPNet IDS NS
ViPNet IDS MC
ViPNet TIAS
На соответствие СОВ 4 уровня и
СОА класса B
![Page 31: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/31.jpg)
Обеспечение мер защиты
![Page 32: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/32.jpg)
©2016, ОАО «ИнфоТеКС».
Меры по защите информации (17, 21 приказ ФСТЭК России)
VII. Предотвращение вторжений (компьютерных атак) (СОВ)
СОВ.0
Разработка политики
предотвращения вторжений
(компьютерных атак)
Для решения ViPNet базы решающих правил для выявления компьютерных атак, являющиеся
частью политик предотвращения вторжений разрабатываются лабораторией ЗАО Перспективный
Мониторинг, имеющей лицензию ФСТЭК.
В ViPNet IDS NS и ViPNet IDS HS есть возможность написания собственных (пользовательских) правил
и политик
СОВ.1
Обнаружение и
предотвращение
компьютерных атак
Все требования ФСТЭК к СОВ и ФСБ к СОА сетевого уровня и уровня узла закрываются ViPNet IDS NS
и ViPNet IDS HS и подтверждаются сертификатами ФСТЭК и ФСБ
СОВ.2Обновление базы решающих
правилАвтоматическое централизованное обновление БРП на всех сенсорах с помощью ViPNet IDS MC
![Page 33: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/33.jpg)
©2016, ОАО «ИнфоТеКС».
Меры по защите информации (17, 21 приказ ФСТЭК России)
XIV. Выявление инцидентов и реагирование на них (ИНЦ)
ИНЦ.0 Разработка правил и процедур (политик) выявления
инцидентов и реагирования на них
Правила выявления инцидентов и рекомендации по реагированию на них разрабатываются
экспертами компании ЗАО Перспективный мониторинг на основе анализа актуальных данных об
угрозах, уязвимостях, инструментов и техник проведения атак.
Разработанные правила и рекомендации по реагированию применяются в ViPNet TIAS
ИНЦ.1 Определение лиц, ответственных за выявление инцидентов и
реагирование на них
Реализовано в ViPNet TIAS с помощью функции управления пользователями с настройкой
ролевого доступа к информации об инцидентах
ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов Реализовано в ViPNet TIAS. Инциденты определяются автоматически с помощью правил
обнаружения инцидентов и математической модели принятия решений. Инциденты однозначно
идентифицируются регистрируются в системе
ИНЦ.3 Своевременное информирование лиц, ответственных за
выявление инцидентов и реагирование на них, о
возникновении инцидентов в информационной системе
пользователями и администраторами
Реализовано в ViPNet TIAS настройкой оповещения заинтересованных лиц о произошедших
инцидентах по e-mail
ИНЦ.4 Анализ инцидентов, в том числе определение источников и
причин возникновения инцидентов, а также оценка их
последствий
ViPNet TIAS позволяет проводить полноценный анализ инцидентов предоставляя функции
полноценного поиска информации в исходных событиях (в т.ч. с использованием регулярных
выражений) а так же предоставлением образцов трафика и описания правил выявления событий
безопасности
ИНЦ. 5 Принятие мер по устранению последствий инцидентов ViPNet TIAS по каждому из выявленных инцидентов предоставляет рекомендации по
реагированию и устранению последствий
ИНЦ. 6 Планирование и принятие мер по предотвращению
повторного возникновения инцидентов
ViPNet TIAS позволяет строить отчеты по угрозам и инцидентам, на основании которых могут
планироваться мероприятия, направленные на предотвращение повторного возникновения
инцидентов
![Page 34: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/34.jpg)
©2016, ОАО «ИнфоТеКС».
Меры по обеспечению безопасности для объекта КИИ (239 приказ)
VII. Предотвращение вторжений (компьютерных атак) (СОВ)
СОВ.0
Разработка правил и
процедур (политик)
обнаружения вторжений
Для решения ViPNet базы решающих правил для выявления вторжений разрабатываются
лабораторией ЗАО Перспективный Мониторинг, имеющей лицензию ФСТЭК.
В ViPNet IDS NS и ViPNet IDS HS есть возможность написания собственных (пользовательских)
правил и политик
СОВ.1 Обнаружение вторженийВсе требования ФСТЭК к СОВ и ФСБ к СОА сетевого уровня и уровня узла закрываются ViPNet
IDS NS и ViPNet IDS HS и подтверждаются сертификатами ФСТЭК и ФСБ
СОВ.2Обновление базы
решающих правил
Автоматическое централизованное обновление БРП на всех сенсорах с помощью ViPNet IDS
MC
Приложение к Требованиям по обеспечению безопасности значимых объектов КИИ Российской Федерации, утвержденным приказом ФСТЭК России от 25 декабря 2017 г. N 239
![Page 35: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/35.jpg)
©2016, ОАО «ИнфоТеКС».
Меры по обеспечению безопасности для объекта КИИ (239 приказ)
XII. Реагирование на компьютерные инциденты (ИНЦ)ИНЦ.0 Разработка политики
реагирования на
компьютерные инциденты
Политики реагирования на компьютерные инциденты разрабатываются экспертами
компании ЗАО «Перспективный мониторинг» на основе анализа актуальных данных об
угрозах, уязвимостях, инструментов и техник проведения атак. В ViPNet TIAS происходит
выявление инцидентов и даются рекомендации по реагированию на нихИНЦ.1 Выявление компьютерных
инцидентов
Инциденты выявляются автоматически с помощью правил обнаружения инцидентов и
математической модели принятия решений. Инциденты однозначно идентифицируются и
регистрируются в системеИНЦ.2 Информирование о
компьютерных инцидентах
В ViPNet TIAS настройкой оповещения заинтересованных лиц о произошедших инцидентах по
e-mail либо передачей информации об инциденте во внешние системы. Есть возможность
настройки информирования в зависимости от критичности инцидента, его статуса а так же
контролируемого сегментаИНЦ.3 Анализ компьютерных
инцидентов
ViPNet TIAS позволяет проводить глубокий анализ компьютерных инцидентов, предоставляя
инструменты поиска и фильтрации данных в событиях, связанных с инцидентом, а так же
предоставляя образцы исходного трафика и описания правил выявления событий
безопасностиИНЦ.4 Устранение последствий
компьютерных
инцидентов
Карточка инцидента в ViPNet TIAS содержит информацию о пострадавших в результате
компьютерного инцидента активах, а так же рекомендации по устранению его последствий
![Page 36: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/36.jpg)
Оказание услуг на базе решения
![Page 37: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/37.jpg)
©2016, ОАО «ИнфоТеКС».
Решение для оказания услуг мониторинга
№ Наименование
оборудования
Технические и (или) функциональные характеристики
24. Средства управления
информацией об угрозах
безопасности информации
Автоматизированный сбор и анализ информации, поступающей из различных источников, об
угрозах безопасности информации.
Должны иметь формуляры, оформленные разработчиками (производителями) данных средств.
25. Средства управления
событиями безопасности
информации
Автоматизированный сбор, анализ и корреляция данных о событиях безопасности
информации, регистрируемых компонентами информационных систем, идентификация по
заданным индикаторам типовых инцидентов информационной безопасности и их
локализация.
Должны иметь сертификаты соответствия ФСТЭК России
26. Средства управления
инцидентами информационной
безопасности
Автоматизированная регистрация информации об инцидентах информационной безопасности
информационных систем, предоставление рекомендаций по реагированию на них,
формирование и модификация шаблонов инцидентов информационной безопасности, в том
числе рекомендаций по реагированию на них.
Должны иметь формуляры, оформленные разработчиками (производителями) данных средств.
Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79
![Page 38: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/38.jpg)
©2016, ОАО «ИнфоТеКС».
ViPNet IDS HS agent
Management Console Клиент N
ViPNet IDS NS
ViPNet TIAS
ViPNet IDS MC
ViPNet IDS HS agent
Клиент 1
ViPNet IDS HS Server
ViPNet IDS NS
Инфраструктура сервис-провайдера
Сервисы на базе решения
Мастер подключения организации;
Активация и настойка сенсоров из IDS MC;
Мульти-арендный доступ к IDS MC;
Биллинг по организациям;
![Page 39: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/39.jpg)
Подключение к ГосСОПКА
![Page 40: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/40.jpg)
Общие документы, регулирующие деятельность ГосСОПКА
• Доктрина информационной безопасности РФ.
• Федеральный закон «О безопасности критической информационной инфраструктуры» 187-ФЗ.
• Федеральный закон «Об информации, информационных технологиях и о защите информации» 149-ФЗ.
• Стратегия развития информационного общества.
• Указ Президента N 31с о создании ГосСОПКА.
• Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации.
• Концепция ГосСОПКА.
![Page 41: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/41.jpg)
Приказы ФСБ
• ПОЛОЖЕНИЕ о Национальном координационном центре по компьютерным инцидентам № 366 от 24.07.2018
• Перечень информации, предоставляемой в ГосСОПКА № 367 от 24.07.2018
• ПОРЯДОК обмена информацией о компьютерных инцидентах № 368 от 24.07.2018
• Порядок, технические условия установки и эксплуатации средств ГосСОПКА
• ПОРЯДОК информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятие мер ликвидации последствий
• ТРЕБОВАНИЯ к средствам обнаружения, предупреждения, ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты
![Page 42: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/42.jpg)
Методические документы ФСБ
• Требования к подразделениям и должностным лицам субъекта ГосСОПКА
• Методические рекомендации по созданию ведомственных и корпоративных центров
• Типовой Регламент информационного взаимодействия
• Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы
• Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов
• Методические рекомендации по проведению мероприятий по оценке степени защищённости от компьютерных атак
![Page 43: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/43.jpg)
Структура ГосСОПКА
![Page 44: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/44.jpg)
Перечень мероприятий класс А:• Взаимодействие с НКЦКИ
• Разработка регламентирующих документов
• Эксплуатация средств ГосСОПКА
• Прием сообщений об инцидентах
• Регистрация атак и инцидентов
• Анализ событий ИБ
• Инвентаризация
• Анализ угроз ИБ
• Составление и актуализация перечня угроз
• Выявление уязвимостей
• Подготовка предложений по повышению уровня защищенности
• Составление перечня инцидентов
• Ликвидация последствий
• Анализ результатов ликвидации последствий
• Расследование инцидентов
![Page 45: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/45.jpg)
Перечень мероприятий класс Б:• Взаимодействие с НКЦКИ
• Разработка регламентирующих документов
• Эксплуатация средств ГосСОПКА
• Прием сообщений об инцидентах
• Регистрация атак и инцидентов
• Анализ событий ИБ
• Инвентаризация
• Анализ угроз ИБ
• Составление и актуализация перечня угроз
• Выявление уязвимостей
• Подготовка предложений по повышению уровня защищенности
• Составление перечня инцидентов
• Ликвидация последствий
• Анализ результатов ликвидации последствий
• Расследование инцидентов
![Page 46: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/46.jpg)
Перечень мероприятий класс В:• Взаимодействие с НКЦКИ
• Разработка регламентирующих документов
• Эксплуатация средств ГосСОПКА
• Прием сообщений об инцидентах
• Регистрация атак и инцидентов
• Анализ событий ИБ
• Инвентаризация
• Анализ угроз ИБ
• Составление и актуализация перечня угроз
• Выявление уязвимостей
• Подготовка предложений по повышению уровня защищенности
• Составление перечня инцидентов
• Ликвидация последствий
• Анализ результатов ликвидации последствий
• Расследование инцидентов
![Page 47: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/47.jpg)
Варианты подключения
• Заключить соглашение с 8Ц ФСБ России;
• Выполнить организационные и технические требования к центру ГосСОПКА;
• Обеспечить взаимодействие с технической инфраструктурой НКЦКИ;
• Заключить соглашение корпоративным центром;
• Уведомить НКЦКИ о включении своих информационных ресурсов в зону ответственности цента
![Page 48: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/48.jpg)
©2016, ОАО «ИнфоТеКС».
Преимущества решения от ИнфоТеКС
Продукты и
техподдержка от
ИнфоТеКС
Экспертиза и сервисы
от Перспективного
мониторинга
Эффективно
работающее
решение!
Авторизованные курсы
от Учебного центра
ИнфоTеКС
![Page 49: Немного теорииyartfoms.ru/itconf/ppt/2 InfoTeCS_ITDP for FOMS.pdf · Требования к средствам, предназначенным для обнаружения,](https://reader033.vdocuments.net/reader033/viewer/2022042220/5ec67d838fda4a7c6a3c9b75/html5/thumbnails/49.jpg)
Вопросы