ГосСОПКА – Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Целью создания ГосСОПКА является защита критической информационной инфраструктуры (КИИ), владельцы объектов которой должны подключиться к ГосСОПКА. Также к ГосСОПКА можно подключиться и на добровольной основе для обеспечения более высокого уровня информационной безопасности и улучшения методов выявления и реагирования на инциденты.
В LogAn реализована возможность передачи отчётов о компьютерных атаках, инцидентах и уязвимостях в стандартизированном формате через личный кабинет ГосСОПКА.
Для отправки отчётов необходимо:
-
Самостоятельно подключиться к системе личных кабинетов ГосСОПКА.
Подключение необходимо для взаимодействия и автоматизации обмена информацией о зафиксированных инцидентах информационной безопасности и методах их предотвращения с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.
-
Добавить криптографический шлюз для организации межсетевого взаимодействия с сетью НКЦКИ (Национальный координационный центр по компьютерным инцидентам; главный центр ГосСОПКА).
Для самостоятельного подключения к ГосСОПКА используются аппаратно-программные комплексы компаний Инфотекс (ViPNet), Код безопасности (Континент), С-Терра (С-Терра Шлюз).
Для этого во вкладке Настройки веб-интерфейса LogAn перейдите в раздел Сеть ➜ Шлюзы и нажмите Добавить. Далее укажите необходимые данные (название, описание, IP-адрес и т.п.).
Примечание Не указывайте криптографический шлюз в качестве шлюза по умолчанию.
-
Добавить DNS-серверы для определения адреса системы личных кабинетов ГосСОПКА.
Во вкладке Настройки перейдите в раздел Консоль администратора ➜ Настройки ➜ Системные DNS-серверы. Добавьте серверы с адресами 10.0.100.49 и 10.0.100.50.
Примечание В список системных DNS-серверов можно добавить не более трёх серверов. Серверы ГосСОПКА не могут быть использованы для преобразования доменных имён в сети Интернет.
-
Настроить статический маршрут в сеть ГосСОПКА для обеспечения доступности DNS-серверов, указанных в пункте 3.
Добавление статических маршрутов производится во вкладке Настройки, раздел Сеть ➜ Маршруты. Нажмите Добавить и укажите данные:
-
Отметьте чекбокс Включено.
-
Название маршрута.
-
Описание (опционально).
-
Тип маршрута: unicast.
-
Адрес назначения: 10.0.100.0/24.
-
Шлюз: IP-адрес шлюза, через который доступна сеть.
-
Настроить подключение к личному кабинету ГосСОПКА с LogAn для возможности отправки отчёта.
Для настройки коннектора перейдите во вкладку Настройки в раздел Сенсоры ➜ Коннекторы. Используйте коннектор Gossopka, созданный в LogAn по умолчанию; необходимо указать:
-
FQDN личного кабинета, вместо указанного по умолчанию (значение по умолчанию отображает формат, в котором должно быть указано значение поля).
-
Логин/пароль.
-
Ключ API личного кабинета ГосСОПКА. Ключ API добавляется в поле HTTP заголовки.
-
Настроить шаблон отчёта.
Во вкладке Журналы и отчёты LogAn в разделе Отчёты инцидентов ➜ Шаблоны отчётов инцидентов по умолчанию создан шаблон Форма для ГОССОПКА, соответствующий требованиям ГосСОПКА к отчётам. Заполните поля формы; данная форма будет использоваться при формировании отчёта.
|
Наименование
|
Описание
|
|
Организация
|
Название организации.
|
|
Категория
|
Категория уведомления:
-
Уведомление о компьютерном инциденте.
-
Уведомление о компьютерной атаке.
-
Уведомление о наличии уязвимости.
|
|
Тип события ИБ
|
Тип события информационной безопасности:
-
Вовлечение контролируемого ресурса в инфраструктуру ВПО.
-
Замедление работы ресурса в результате DDoS-атаки.
-
Заражение ВПО.
-
Захват сетевого трафика.
-
Использование контролируемого ресурса для фишинга.
-
Компрометация учётной записи.
-
Несанкционированное изменение информации.
-
Несанкционированное разглашение информации.
-
Публикация на ресурсе запрещённой законодательством РФ информации.
-
Рассылка спам-сообщений с контролируемого ресурса.
-
Успешная эксплуатация уязвимости.
|
|
Статус реагирования на инцидент
|
Статус реагирования на инцидент:
|
|
Необходимость привлечения сил ГосСОПКА
|
Отметьте чекбокс в случае необходимости привлечения сил ГосСОПКА.
|
|
Краткое описание события ИБ
|
Описание события информационной безопасности.
|
|
Сведения о средстве или способе выявления инцидента
|
Информация о способе и устройстве/ПО, посредством которого был выявлен инцидент.
|
|
Дата и время выявления инцидента
|
Дата и время выявления инцидента заполняются автоматически.
|
|
Дата и время завершения инцидента
|
Дата и время завершения инцидента заполняются автоматически.
|
|
Ограничительный маркер TLP
|
Маркировка конфиденциальной информации (Traffic Light Protocol). Возможны следующие маркировки:
-
RED: информация является крайне конфиденциальной.
-
AMBER: информацией можно поделиться в рамках своей организации, при условии, что этой информацией нужно поделиться.
-
GREEN: информация может быть широко распространена в пределах определённого сообщества.
-
WHITE: информация в свободном распространении, но не нарушает авторские права.
|
|
Влияние на доступность
|
Потенциальное влияние на доступность информационных ресурсов:
-
Отсутствует.
-
Низкое.
-
Высокое.
|
|
Влияние на целостность
|
Потенциальное влияние на целостность ресурсов информационной системы:
-
Отсутствует.
-
Низкое.
-
Высокое.
|
|
Влияние на конфиденциальность
|
Потенциальное влияние на конфиденциальность (ограничение доступа к информационным ресурсам, разрешения доступа к системе только авторизованным пользователям, предотвращение раскрытия информации неуполномоченным лицам):
-
Отсутствует.
-
Низкое.
-
Высокое.
|
|
Краткое описание иной формы последствий компьютерного инцидента
|
Описание последствий инцидента, кроме тех, что были указаны ранее.
|
|
Наименование контролируемого ресурса, на котором был выявлен компьютерный инцидент
|
Наименование контролируемого информационного ресурса объекта КИИ, на котором выявлен компьютерный инцидент, компьютерная атака или уязвимость.
|
|
Информация о категорировании ОКИИ
|
Присвоенная объекту КИИ категория значимости:
-
Информационный ресурс не является объектом КИИ.
-
Объект КИИ без категории значимости (объект признан незначимым).
-
Объект КИИ третьей категории значимости (самая низкая).
-
Объект КИИ второй категории значимости.
-
Объект КИИ первой категории значимости (самая высокая).
|
|
Сфера функционирования субъекта
|
Сфера функционирования объекта КИИ (например, банковская сфера, здравоохранение и т.п.).
|
|
Наличие подключения к сети Интернет
|
Наличие подключения к сети Интернет:
|
|
Страна/регион
|
Код в соответствии с ISO-3166-2.
|
|
Населенный пункт или геокоординаты
|
Название населённого пункта или его географические координаты.
Географические координаты указываются в формате: широта – С.Ш, долгота – В.Д.
|
-
Сформировать и отправить отчёт об инциденте информационной безопасности.
Чтобы сформировать отчёт, перейдите во вкладку Инциденты. Выбрав в списке инцидентов необходимый, перейдите во вкладку с подробностями инцидента и нажмите Создать отчёт ➜ GOSSOPKA report.
Чтобы сформировать и отправить отчёт в систему личных кабинетов ГосСОПКА укажите коннектор, настроенный в пункте 5 и нажмите Послать через сеть.
Заполните необходимые поля формы (большинство заполнено в соответствии с шаблоном Форма для ГОССОПКА) и нажмите ОК. В случае успешного соединения сервер LogAn отправит отчёт на коннектор (в систему личных кабинетов ГосСОПКА).
Запись об отправке отчёта будет отображена в журнале событий LogAn (вкладка Журналы и отчёты раздел Журналы Log Analyzer ➜ Журнал событий).
