ГосСОПКА – Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Целью создания ГосСОПКА является защита критической информационной инфраструктуры (КИИ), владельцы объектов которой должны подключиться к ГосСОПКА. Также к ГосСОПКА можно подключиться и на добровольной основе для обеспечения более высокого уровня информационной безопасности и улучшения методов выявления и реагирования на инциденты.
В LogAn реализована возможность передачи отчётов о компьютерных атаках, инцидентах и уязвимостях в стандартизированном формате через личный кабинет ГосСОПКА.
Для отправки отчётов необходимо:
Самостоятельно подключиться к системе личных кабинетов ГосСОПКА.
Подключение необходимо для взаимодействия и автоматизации обмена информацией о зафиксированных инцидентах информационной безопасности и методах их предотвращения с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Добавить криптографический шлюз для организации межсетевого взаимодействия с сетью НКЦКИ (Национальный координационный центр по компьютерным инцидентам; главный центр ГосСОПКА).
Для самостоятельного подключения к ГосСОПКА используются аппаратно-программные комплексы компаний Инфотекс (ViPNet), Код безопасности (Континент), С-Терра (С-Терра Шлюз).
Для этого во вкладке Настройки веб-интерфейса LogAn перейдите в раздел Сеть ➜ Шлюзы и нажмите Добавить. Далее укажите необходимые данные (название, описание, IP-адрес и т.п.).
Добавить DNS-серверы для определения адреса системы личных кабинетов ГосСОПКА.
Во вкладке Настройки перейдите в раздел Консоль администратора ➜ Настройки ➜ Системные DNS-серверы. Добавьте серверы с адресами 10.0.100.49 и 10.0.100.50.
Настроить статический маршрут в сеть ГосСОПКА для обеспечения доступности DNS-серверов, указанных в пункте 3.
Добавление статических маршрутов производится во вкладке Настройки, раздел Сеть ➜ Маршруты. Нажмите Добавить и укажите данные:
Отметьте чекбокс Включено.
Название маршрута.
Описание (опционально).
Тип маршрута: unicast.
Адрес назначения: 10.0.100.0/24.
Шлюз: IP-адрес шлюза, через который доступна сеть.
Настроить подключение к личному кабинету ГосСОПКА с LogAn для возможности отправки отчёта.
Для настройки коннектора перейдите во вкладку Настройки в раздел Сенсоры ➜ Коннекторы. Используйте коннектор Gossopka, созданный в LogAn по умолчанию; необходимо указать:
FQDN личного кабинета, вместо указанного по умолчанию (значение по умолчанию отображает формат, в котором должно быть указано значение поля).
Логин/пароль.
Ключ API личного кабинета ГосСОПКА. Ключ API добавляется в поле HTTP заголовки.
Настроить шаблон отчёта.
Во вкладке Журналы и отчёты LogAn в разделе Отчёты инцидентов ➜ Шаблоны отчётов инцидентов по умолчанию создан шаблон Форма для ГОССОПКА, соответствующий требованиям ГосСОПКА к отчётам. Заполните поля формы; данная форма будет использоваться при формировании отчёта.
Наименование |
Описание |
---|---|
Организация |
Название организации. |
Категория |
Категория уведомления:
|
Тип события ИБ |
Тип события информационной безопасности:
|
Статус реагирования на инцидент |
Статус реагирования на инцидент:
|
Необходимость привлечения сил ГосСОПКА |
Отметьте чекбокс в случае необходимости привлечения сил ГосСОПКА. |
Краткое описание события ИБ |
Описание события информационной безопасности. |
Сведения о средстве или способе выявления инцидента |
Информация о способе и устройстве/ПО, посредством которого был выявлен инцидент. |
Дата и время выявления инцидента |
Дата и время выявления инцидента заполняются автоматически. |
Дата и время завершения инцидента |
Дата и время завершения инцидента заполняются автоматически. |
Ограничительный маркер TLP |
Маркировка конфиденциальной информации (Traffic Light Protocol). Возможны следующие маркировки:
|
Влияние на доступность |
Потенциальное влияние на доступность информационных ресурсов:
|
Влияние на целостность |
Потенциальное влияние на целостность ресурсов информационной системы:
|
Влияние на конфиденциальность |
Потенциальное влияние на конфиденциальность (ограничение доступа к информационным ресурсам, разрешения доступа к системе только авторизованным пользователям, предотвращение раскрытия информации неуполномоченным лицам):
|
Краткое описание иной формы последствий компьютерного инцидента |
Описание последствий инцидента, кроме тех, что были указаны ранее. |
Наименование контролируемого ресурса, на котором был выявлен компьютерный инцидент |
Наименование контролируемого информационного ресурса объекта КИИ, на котором выявлен компьютерный инцидент, компьютерная атака или уязвимость. |
Информация о категорировании ОКИИ |
Присвоенная объекту КИИ категория значимости:
|
Сфера функционирования субъекта |
Сфера функционирования объекта КИИ (например, банковская сфера, здравоохранение и т.п.). |
Наличие подключения к сети Интернет |
Наличие подключения к сети Интернет:
|
Страна/регион |
Код в соответствии с ISO-3166-2. |
Населенный пункт или геокоординаты |
Название населённого пункта или его географические координаты. Географические координаты указываются в формате: широта – С.Ш, долгота – В.Д. |
Сформировать и отправить отчёт об инциденте информационной безопасности.
Чтобы сформировать отчёт, перейдите во вкладку Инциденты. Выбрав в списке инцидентов необходимый, перейдите во вкладку с подробностями инцидента и нажмите Создать отчёт ➜ GOSSOPKA report.
Чтобы сформировать и отправить отчёт в систему личных кабинетов ГосСОПКА укажите коннектор, настроенный в пункте 5 и нажмите Послать через сеть.
Заполните необходимые поля формы (большинство заполнено в соответствии с шаблоном Форма для ГОССОПКА) и нажмите ОК. В случае успешного соединения сервер LogAn отправит отчёт на коннектор (в систему личных кабинетов ГосСОПКА).
Запись об отправке отчёта будет отображена в журнале событий LogAn (вкладка Журналы и отчёты раздел Журналы Log Analyzer ➜ Журнал событий).