Госсистема противодействия компьютерным атакам на основе SIEM

«Врага не прогонишь от ворот города, где защита слаба» (Шумерская пословица)

15 января Президент России подписал новый Указ №31с  «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ». Все полномочия по созданию данной системы, разработке методики обнаружения атак, обмену информацией между госорганами об инцидентах ИБ, оценке степени защищенности критической информационной инфраструктуры возложены на ФСБ России.

Как могла бы выглядеть такая система? Возможно, элементы этой системы уже реализованы?

В Указе речь идет об информационном ресурсе РФ, и под этим термином понимается:

• информационные системы
• информационно-телекоммуникационные сети

Если, к примеру, брать телекоммуникационную группу «Ростелеком» как основу информационно-телекоммуникационной сети для функционирования информационных систем, то очевидными мероприятиями будут:

1. Повышение устойчивости каналов к воздействиям за счет тотального удвоения, утроения и т.д.
2. Повышение пропускной способности каналов для улучшения той же устойчивости и возможности передачи многочисленных данных управления, мониторинга и т.д.
3. Установка системы противодействия специфическим атакам (DDOS).
4. Внедрения единого сетевого ситуационного центра.

Интересным предположением является, что ядро высокоуровневой  системы противодействия компьютерным атакам (ПРОКОМАТ) может быть установлено на площадках «Ростелекома». Большое количество гос. ресурсов хостится в «Ростелекоме».

Однако государственный сайт может располагаться где угодно, и в этих условиях должны быть выработаны обязательные мероприятия согласно закону для такого сайта. Например, рассмотрим установку системы ПРОКАМАТ нижнего уровня. Можно определить функции такой системы:

• собирать данные из всех источников,
• собирать, хранить  и осуществлять поиск информации о событиях,
• иметь в своем составе систему обнаружения вторжений (СОВ),
• иметь возможность интеграции с модулями-поставщиками событий,
• поддерживать связь по информированию-управлению  с вышестоящей системой,

Эти функции с успехом может выполнять сертифицированная система SIEM-система, например, наша разработка КОМРАД.

Таким образом, мы получили иерархическую систему управления событиями ИБ на основе SIEM, как основу ПРОКОМАТ. Все первичные данные обрабатываются на нижнем уровне системы, в систему верхнего уровня поступают  сигналы о явных аномалиях и атаках. Такое взаимодействие позволяет выполнить пункт 2б (обеспечение взаимодействия владельцев информационных ресурсов Российской Федерации, операторов связи, иных субъектов…). Для выполнения пункта 2а (прогнозирование ситуации в области обеспечения информационной безопасности Российской Федерации), возможно, потребуется реализация систем, подобных системам технического анализа на рынке ценных бумаг.

Безусловно, требуется упомянуть, что:

• за выполнение мероприятий на местах должны отвечать соответствующие специалисты,
• возможно, будет выработан список СЗИ, рекомендованных для установки (лицензия ФСБ?),
• необходима разработка методики построения архитектуры защищенной информационной системы с различным уровнем нагруженности и доступности.