Досье на проект

Приложение   
к приказу ФСБ России
от N

Требования
к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты

I. Общие положения

1. Настоящие Требования определяют требования к устанавливаемым и используемым на всей территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации техническим, программным, программно-аппаратным и иным средствам для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации (далее - КИИ), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографическим средствам защиты такой информации (далее - средства ГосСОПКА).

2. К средствам ГосСОПКА, на которые распространяются настоящие Требования, относятся:

технические, программные, программно-аппаратные и иные средства для обнаружения компьютерных атак (далее - средства обнаружения);

технические, программные, программно-аппаратные и иные средства для предупреждения компьютерных атак (далее - средства предупреждения);

технические, программные, программно-аппаратные и иные средства для ликвидации последствий компьютерных атак (далее - средства ликвидации последствий);

технические, программные, программно-аппаратные и иные средства поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ (далее - средства ППКА);

технические, программные, программно-аппаратные и иные средства обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак (далее - средства обмена);

криптографические средства защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак.

Средства ГосСОПКА могут реализовываться одним или несколькими техническими, программными и программно-аппаратными средствами.

II. Общие требования к средствам ГосСОПКА

3. Средства ГосСОПКА должны соответствовать требованиям:

3.1. Отсутствие возможности принудительного обновления или удаленного управления средствами ГосСОПКА со стороны лиц, не являющихся сотрудниками (работниками) субъекта КИИ и (или) работниками привлекаемой в соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области защиты информации.

3.2. Отсутствие возможности бесконтрольной передачи обрабатываемой информации лицам, не являющимся сотрудниками (работниками) субъекта КИИ и (или) работниками привлекаемой в соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области защиты информации, в том числе разработчикам (производителям, правообладателям) средств ГосСОПКА и лицам, осуществляющим техническую поддержку, ремонт, гарантийное и техническое обслуживание средств ГосСОПКА.

3.3. Возможность осуществления модернизации российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц.

3.4. Обеспечение гарантийной и технической поддержкой российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц.

3.5. Исключение нарушений функционирования информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления объектов КИИ (отсутствие влияния на достижение целей и функционирование объектов КИИ).

3.6. Реализация функций собственной безопасности в соответствии с разделом VIII настоящих Требований.

III. Требования к средствам обнаружения

4. Средства обнаружения должны обладать следующими функциональными возможностями:

сбор и первичная обработка информации, поступающей от источников событий информационной безопасности (далее - события ИБ)*(1);

автоматический анализ событий ИБ и выявление компьютерных инцидентов (компьютерных атак);

ретроспективный анализ событий ИБ и выявление не обнаруженных ранее компьютерных инцидентов.

5. При осуществлении сбора и первичной обработки событий ИБ средства обнаружения должны обеспечивать:

удаленный или локальный сбор событий ИБ;

сбор событий ИБ в непрерывном режиме функционирования либо по расписанию, в случае потери связи - сразу после ее восстановления;

обработку поступающих событий ИБ и сохранение результатов их обработки;

сохранение информации о событиях ИБ, в том числе в исходном виде;

синхронизацию системного времени и корректировку временных значений в принимаемых событиях ИБ (корректировку настроек часовых поясов);

сбор информации непосредственно от источников событий ИБ, из файлов либо посредством агентов, размещенных на отдельных источниках событий ИБ;

встроенную поддержку различных источников событий ИБ и возможность разработки дополнительных модулей, обеспечивающих получение информации от новых источников событий ИБ.

6. При осуществлении автоматического анализа событий ИБ и выявления компьютерных инцидентов (компьютерных атак) средства обнаружения должны обеспечивать:

отбор и фильтрацию событий ИБ;

корреляцию и агрегацию событий ИБ;

выявление компьютерных инцидентов, регистрацию способов их обнаружения;

возможность корреляции для распределенных по времени и (или) месту возникновения событий ИБ;

возможность корреляции для последовательности событий ИБ;

возможность просмотра и редактирования правил корреляции, а также обновления и загрузки новых правил;

автоматическое назначение приоритетов событиям ИБ на основании заданной критичности.

7. При осуществлении ретроспективного анализа событий ИБ и выявления не обнаруженных ранее компьютерных инцидентов средства обнаружения должны обеспечивать:

выявление связей и зависимостей между событиями ИБ, зарегистрированными в заданном интервале времени, и новой или измененной справочной информацией;

выявление связей и зависимостей между событиями ИБ, зарегистрированными в заданном интервале времени, и новыми или измененными правилами выявления инцидентов;

выявление связей и зависимостей между событиями ИБ и полученными ранее сведениями о контролируемых информационных ресурсах и (или) состояниями защищенности (конфигурационные сведения, сведения об уязвимостях и т. п.);

возможность настройки параметров проводимого анализа;

проведение поиска не обнаруженных ранее компьютерных инцидентов с использованием новых правил обнаружения;

глубину ретроспективного анализа событий ИБ не менее шести месяцев.

IV. Требования к средствам предупреждения

8. Средства предупреждения должны обладать следующими функциональными возможностями:

сбор и обработка сведений об инфраструктуре контролируемых информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, находящихся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации (далее - информационные ресурсы) и справочной информации*(2);

сбор и обработка сведений об уязвимостях и недостатках в настройке программного обеспечения (далее - ПО), используемого в контролируемых информационных ресурсах;

учет угроз безопасности информации.

9. При осуществлении сбора и обработки сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации средства предупреждения должны обеспечивать:

9.1. Сбор и обработку сведений об инфраструктуре контролируемых информационных ресурсов, включающих информацию:

об объектах;

о сетевых моделях;

об источниках событий ИБ;

о телекоммуникационном оборудовании.

9.2. Сбор и обработку справочной информации:

о репутации IP-адресов, доменных имен, DNS-серверов и почтовых серверов;

о владельцах IP-адресов, доменных имен, DNS-серверов и почтовых серверов;

о местоположении и географической принадлежности IP-адресов;

об известных уязвимостях;

о бот-сетях, включая сведения об их управляющих серверах.

9.3. Возможность добавления, просмотра и изменения сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации.

10. При осуществлении сбора и обработки сведений об уязвимостях и недостатках в настройке ПО, используемого в контролируемых информационных ресурсах, средства предупреждения должны обеспечивать:

сбор и обработку данных о дате и времени проведения исследования контролируемых информационных ресурсов;

сбор и обработку сведений об исследуемых объектах контролируемого информационного ресурса (сетевые адреса и имена объектов, наименования и версии операционных систем, под управлением которых функционируют объекты и другое);

формирование перечня выполняющихся сетевых служб (для каждого объекта контролируемого информационного ресурса);

формирование перечня выявленных уязвимостей и недостатков в настройке ПО (для каждого объекта контролируемого информационного ресурса);

возможность формирования обобщенных сведений, представляемых в Национальный координационный центр по компьютерным инцидентам (далее - НКЦКИ).

11. При осуществлении учета угроз безопасности информации средства предупреждения должны обеспечивать:

создание и изменение записи, содержащей уведомление об угрозе безопасности информации;

создание записи, содержащей уведомление об угрозе безопасности информации, в автоматизированном режиме путем обмена информацией с НКЦКИ и иными системами учета угроз безопасности информации;

создание и изменение типовых сценариев реагирования на компьютерные инциденты, связанные с угрозами безопасности информации, включающих в себя рекомендованный порядок принятия решений, очередность выполняемых действий и способы организации совместных действий сотрудников (работников) субъекта КИИ и (или) работников привлекаемой в соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области защиты информации, участвующих в реагировании на компьютерный инцидент и ликвидации последствий компьютерных атак;

создание и изменение типовых сценариев обработки запросов, поступающих из НКЦКИ.

V. Требования к средствам ликвидации последствий

12. Средства ликвидации последствий должны обладать следующими функциональными возможностями:

учет и обработка компьютерных инцидентов;

управление процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак;

осуществление взаимодействия с НКЦКИ;

информационно-аналитическое сопровождение.

13. При осуществлении учета и обработки компьютерных инцидентов средства ликвидации последствий должны обеспечивать:

создание и изменение формализованных описаний (далее - карточка) компьютерных инцидентов, определение типов компьютерных инцидентов, определение состава полей карточек и требований к их заполнению в соответствии с типом компьютерного инцидента;

автоматическое создание карточки компьютерного инцидента на основе уведомления об угрозе безопасности информации либо при выявлении события ИБ, в котором содержатся индикаторы компрометации для контролируемых информационных ресурсов;

запись о текущей стадии процесса реагирования на компьютерные инциденты (например, стадия приема сообщения о компьютерном инциденте, стадия сбора первичных сведений о компьютерном инциденте, стадия локализации компьютерного инцидента, стадия сбора свидетельств для расследования компьютерного инцидента и т. п.) в зависимости от типа компьютерного инцидента;

запись о присвоении категорий опасности и (или) приоритетов компьютерных инцидентов на основе критериев, задаваемых по значениям полей карточек компьютерных инцидентов;

регистрацию и учет карточек компьютерных инцидентов;

фильтрацию, сортировку и поиск карточек компьютерных инцидентов по значению полей карточек;

объединение карточек однотипных компьютерных инцидентов на основе критериев, применяемых к значениям полей карточек.

14. Для обеспечения управления процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак средства ликвидации последствий должны обеспечивать:

возможность включения в карточку компьютерного инцидента дополнительных сведений, связанных с компьютерным инцидентом и зарегистрированных в процессе реагирования на компьютерный инцидент и ликвидации последствий компьютерной атаки, в том числе сообщений пользователей контролируемых информационных ресурсов, сведений о предпринятых действиях, технических данных, необходимых для расследования обстоятельств компьютерного инцидента и т. п.;

возможность назначения для карточки компьютерного инцидента шаблонного или специализированного сценария реагирования на компьютерный инцидент и ликвидации последствий компьютерных атак, а также задания правил их применимости на основании сведений о компьютерном инциденте;

формирование электронных сообщений для организации взаимодействия и координации действий сотрудников (работников) субъекта КИИ и (или) работников привлекаемой в соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области защиты информации, участвующих в реагировании на компьютерный инцидент и ликвидации последствий компьютерной атаки.

15. При осуществлении взаимодействия с НКЦКИ средства ликвидации последствий должны обеспечивать:

автоматизированный обмен сведениями согласно перечню информации о компьютерных инцидентах, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

учет карточек компьютерных инцидентов в соответствии с системой идентификации НКЦКИ.

16. При осуществлении информационно-аналитического сопровождения средства ликвидации последствий должны обеспечивать интерактивное формирование выборок данных, основанных на значениях полей карточек компьютерных инцидентов, уведомлений об актуальных угрозах безопасности информации и справочной информации.

VI. Требования к средствам ППКА

17. Средства ППКА должны обладать следующими функциональными возможностями:

обнаружение признаков компьютерных атак в сети электросвязи по значениям служебных полей (заголовков) протоколов сетевого взаимодействия, а также осуществление сбора, накопления и статистической обработки результатов такого обнаружения;

обнаружение в сети электросвязи признаков управления телекоммуникационным оборудованием;

обнаружение изменений параметров настроек телекоммуникационного оборудования сети электросвязи;

обнаружение изменений параметров настроек систем управления телекоммуникационным оборудованием и сетями электросвязи;

хранение копий сетевого трафика, в котором были обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием, не менее шести месяцев;

анализ и выгрузка фрагментов копий сетевого трафика, в котором были обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием;

сигнализация и уведомление о фактах обнаружения признаков компьютерных атак в сети электросвязи и (или) признаков управления телекоммуникационным оборудованием;

сигнализация и уведомление о нарушениях штатного режима функционирования средств ППКА;

наличие интерфейса(ов) (порта(ов) передачи фрагментов копий сетевого трафика, в котором обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием, а также результатов сбора, накопления и статистической обработки такой информации;

возможность формирования обобщенных сведений, представляемых в НКЦКИ.

VII. Требования к средствам обмена и криптографическим средствам защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак

18. Средства обмена должны обеспечивать гарантированную передачу и гарантированный прием информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак.

19. Криптографические средства защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть сертифицированы в системе сертификации средств защиты информации.

VIII. Требования к средствам ГосСОПКА в части реализации функций собственной безопасности

20. Средства ГосСОПКА в части реализации функции собственной безопасности должны обладать следующими функциональными возможностями:

идентификация и аутентификация администраторов;

разграничение прав доступа к информации и уровней доступа к функциям;

регистрация событий ИБ;

обновление программных компонентов и служебных баз данных;

резервирование и восстановление;

синхронизация от единого источника времени;

самотестирование и контроль целостности ПО (только для средств ППКА).

20.1. При осуществлении идентификации и аутентификации администраторов средства ГосСОПКА должны обеспечивать:

аутентификацию администраторов с использованием паролей (в том числе временного действия) и (или) аппаратных средств аутентификации;

хранение паролей в закрытом виде;

автоматическое информирование о необходимости смены паролей.

20.2. При осуществлении разграничения прав доступа к информации и уровней доступа к функциям средства ГосСОПКА должны обеспечивать:

разграничение прав доступа на основе политик безопасности;

возможность блокирования и повторной активации учетных записей;

поддержку функций создания, редактирования и удаления пользовательских ролей и возможности настройки прав доступа для каждой роли;

блокирование сессии доступа при превышении значения максимального периода отсутствия активности;

уведомление о неудачных попытках доступа к управлению средствами ГосСОПКА;

журналирование всех действий администраторов с момента авторизации.

20.3. При осуществлении регистрации событий ИБ средства ГосСОПКА должны обеспечивать:

возможность определения перечня событий ИБ, подлежащих регистрации, и хранения соответствующих записей в электронных регистрационных журналах с возможностью корректировки сроков;

возможность регистрации как минимум следующих связанных с функционированием средств ГосСОПКА сведений: идентификатора администратора, времени авторизации, запуска (завершения) программ и процессов, связанных с реализацией функций безопасности средств ГосСОПКА, команды управления, попыток неудачной аутентификации, данных о сбоях и неисправностях в работе средств ГосСОПКА;

ведение электронных регистрационных журналов учета технического состояния, содержащих следующие обязательные поля: информация о состоянии интерфейсов (портов), информация об ошибках в работе средств ГосСОПКА с их классификацией, информация о загрузке и инициализации средств ГосСОПКА и их остановки (только для средств ППКА);

защиту электронных регистрационных журналов от стирания и редактирования (только для средств ППКА);

автоматическое извещение о заполнении электронного регистрационного журнала с возможностью его сохранения на внешнем носителе информации (только для средств ППКА).

20.4. При осуществлении обновления программных компонентов и служебных баз данных средства ГосСОПКА должны обеспечивать:

обновление без потери информации, необходимой для функционирования средств, а также информации о компьютерных инцидентах и событиях ИБ;

обновление только администраторами;

возврат к предыдущему состоянию в случае сбоя процесса обновления (данное положение может быть выполнено в том числе путем осуществления предварительного резервного копирования и последующего восстановления).

20.5. При осуществлении резервирования и восстановления средства ГосСОПКА должны обеспечивать:

возможность создания резервной копии конфигурационных данных на внешнем носителе;

возможность создания резервной копии ПО на внешнем носителе;

возможность самовосстановления работоспособности при обнаружении критических ошибок в процессе функционирования (только для средств ППКА).

20.6. При осуществлении самотестирования и контроля целостности ПО средства ППКА должны обеспечивать:

контроль целостности ПО и конфигурационных файлов при загрузке, во время функционирования и по команде администратора;

возможность штатного самотестирования ПО в процессе функционирования с регистрацией указанной информации в электронном регистрационном журнале.

IX. Дополнительные требования к средствам обнаружения, средствам предупреждения и средствам ликвидации последствий

21. К средствам обнаружения, средствам предупреждения и средствам ликвидации последствий дополнительно предъявляются требования в части реализации визуализации, построения сводных отчетов и хранения информации.

Средства обнаружения, средства предупреждения и средства ликвидации последствий должны обеспечивать:

21.1. Визуализацию сведений:

о событиях ИБ;

об обнаруженных компьютерных инцидентах;

об уязвимостях и недостатках в настройке объектов контролируемых информационных ресурсов;

об инфраструктуре контролируемых информационных ресурсов в виде схем;

в виде графиков и (или) диаграмм, содержащих функции перехода от визуализированного представления сведений о компьютерных инцидентах к соответствующей им информации;

хранящихся в базе данных;

справочной и другой необходимой информации.

21.2. Построение сводных отчетов путем реализации следующих возможностей:

построение отчетов с использованием таблиц, графиков, диаграмм и гистограмм, а также их визуализации на основе полученных данных;

выбор параметров, по которым строятся таблицы, графики, диаграммы и гистограммы в отчетах;

экспорт отчетов;

автоматическое формирование отчетов по расписанию, а также их автоматическая отправка в адреса.

21.3. Надежное и достоверное хранение загружаемой информации в течение заданного периода времени и постоянную доступность к ней, а также возможность экспорта хранящейся информации в исходном и в нормализованном виде.

-------------------------------------------

*(1) Источниками событий ИБ могут являться операционные системы, средства обнаружения вторжений (атак), межсетевые экраны, средства предотвращения утечек данных, антивирусное программное обеспечение, телекоммуникационное оборудование, прикладные сервисы, средства контроля (анализа) защищенности, средства управления телекоммуникационным оборудованием и сетями связи, системы мониторинга состояния телекоммуникационного оборудования, системы мониторинга качества обслуживания, а также иные средства и системы защиты информации, системы мониторинга, эксплуатируемые субъектом КИИ.

*(2) В качестве справочной информации используется любая дополнительная информация, позволяющая идентифицировать контролируемые информационные ресурсы.