Антихакерская система ГосСОПКА: принцип работы системы

Дата публикации: 30 января 2024

Вадим Владимирович Петров
Ведущий эксперт по защите информации

673

В рамках работы ФСБ России по совершенствованию защиты информационных систем от кибератак совершенствуется система ГосСоПКА. Эта аббревиатура расшифровывается как государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. По своей сути ГосСОПКА — это своеобразная антихакерская структура, хранилище данных о компьютерных инцидентах, уязвимостях и хакерских атаках, а также разработчик рекомендаций и мер безопасности для своих участников в плане защиты информационных сетей.

Цель создания этой структуры — аккумуляция всей информации о разнообразных компьютерных инцидентах, выработка мер по противодействию подобным внешним атакам, а также рекомендации по ликвидации или уменьшению последствий, связанных с действиями киберпреступников. В основу идеи легли подобные решения других государств, которые предоставляли возможность специалистам централизованно собирать и анализировать данные, а на основе анализа разрабатывать решения для защиты критически важных информационных систем.

Первоначально СОПКА существовала для защиты критически важных систем и данных, принадлежащих ФСБ. Позднее по тому же принципу начала действовать более масштабная ГосСОПКА, которая распространилась сразу на сеть информационных объектов. Анализу подвергались лишь те инциденты, которые произошли в системах органов власти либо подведомственных им организациях и госкорпорациях, а также в крупнейших банках. В 2015 году к ГосСОПКА было подключено 10 госорганов, в 2016 начали подключаться корпоративные участники. Сейчас это довольно масштабная структурированная система, количество присоединённых органов и корпораций постоянно растёт.

Помимо накопления и обработки данных об инцидентах, произошедших в компьютерных системах подключенных субъектов, ГосСОПКА позволяет контролировать уровень защищённости критически важных информационных систем, прогнозировать возможные вредоносные посягательства на ИС, а также обеспечивает взаимодействие между участниками. Это важно, ведь скорость обмена сведениями о совершённых посягательствах, их характере и основных признаках позволят владельцам объектов информатизации эффективнее и быстрее предотвратить возможные атаки.

Структура ГосСОПКИ

Антихакерская система контролируется ФСБ и построена по иерархическому (ведомственному и территориальному) принципу, который практически ничем не отличается от системы безопасности на предприятии. На нижнем уровне находятся компании, ведомства, организации и госорганы, которые силами собственной службы безопасности выявляют любые инциденты или подозрительную активность с собственной ИС и периодически составляют сводный отчёт.

Отчёты обо всех обнаруженных атаках и инцидентах передаётся на второй уровень — в территориальные или региональные центры ГосСОПКА субъекта РФ. Оттуда сведения передаются в главный центр ГосСОПКА — именно сюда стекается информация обо всех компьютерных инцидентах со всей страны.

Так же, как и в территориальной иерархии, действует передача данных об инцидентах по ведомственной линии: все частные и государственные компании, а также органы власти на местах передают информацию вышестоящей организации, которая обязана направить отчёт в главный центр ГосСОПКА.

Может показаться, что задача «промежуточных звеньев» — ведомственных центров — состоит лишь в передаче информации выше. На самом деле, они не только собирают и анализируют полученные данные, но и контролируют состояние защищённости информационных систем подведомственных организаций, а также содействуют в выстраивании эффективных систем защиты, анализируют вероятность тех или иных инцидентов и информируют об этом нижестоящие центры.

Помимо центров в ГосСОПКА на высшем уровне входит еще одна структурная единица — национальный координационный центр по компьютерным инцидентам — сокращённо НКЦКИ. Его задача — скоординировать действия заинтересованных структурных единиц в предотвращении, обнаружении и устранении последствий кибератак. Его роль больше аналитическая: здесь суммируется и изучается информация об инцидентах, выявляются характерные признаки, разрабатываются рекомендации по защите информации.

Нужна ли ГосСОПКА частным компаниям?

На практике именно недостаток информации и вопрос «Что делать?» приводят к существенным негативным последствиям. Чтобы решить, нужно ли подключаться к системе и стоит ли создавать соответствующий центр, стоит взвесить риски и последствия возможных атак и преимущества, которые даёт ГосСОПКА. Конечно, техническая реализация соответствующего центра, услуги специалистов с лицензией ФСТЭК на ТЗКИ, содержание персонала и определённые обязанности потребуют существенных затрат. С другой стороны, негативные последствия от кибератаки или хищения информации могут причинить гораздо больший вред.

Например, если фирма с лицензией ФСБ работает с гостайной на постоянной основе или компания предоставляет услуги по защите гостайны, им в первую очередь целесообразно подключиться к системе ГосСОПКА, чтобы оперативно узнавать информацию о возможных кибератаках на ИС и правильно реагировать на инциденты.

Сейчас к системе подключены все федеральные органы госвласти, с принятием ФЗ-187 к ГосСОПКА подключаются субъекты КИИ. Вопрос о подключении информационных систем муниципальных и региональных органов власти, а также иных

компаний, должен быть урегулирован в ближайшее время принятием соответствующих НПА.

Нужна консультация по новости?

Проконсультироваться