Основные шаги по реализации требований ФЗ-187 субъектами КИИ с помощью решений «Лаборатории Касперского»

Если вам не хватает информации, вы можете запросить ее, заполнив форму «Получить консультацию»

  • Для всех субъектов КИИ
  • Для субъектов КИИ, имеющих значимые объекты КИИ
  • Для субъектов КИИ, не имеющих значимые объекты КИИ
Первичный сбор данных

Проводимые работы

Подготовка перечней информационных систем, автоматизированных систем управления технологическими процессами, информационно-телекоммуникационными систем и определение сфер функционирования каждой из них.

Результаты

Вывод о необходимости (или отсутствии необходимости) выполнения организацией требований 187-ФЗ.

Проведение категорирования

Проводимые работы

1. Создание комиссии по категорированию.
2. Определение объектов категорирования.
3. Определение категорий значимости для объектов КИИ.

Результаты

Организация создает комиссию по категорированию, определяет объекты категорирования, а затем определяет категории значимости для объектов КИИ. После этого она согласует со ФСТЭК России перечень объектов КИИ с присвоенными (либо не присвоенными) категориями значимости.

Разработка мероприятий по взаимодействию со ФСБ России.

В том числе это относится к организациям, у которых нет значимых объектов КИИ, так как организация должна обеспечить соответствие 9 статьи ФЗ-187 (часть 2), в частности незамедлительно информировать о компьютерных инцидентах федеральные органы исполнительной власти.

Проводимые работы

1. Разработать и утвердить регламент информирования НКЦКИ об инцидентах.
2. Реализовать подключение к технической инфраструктуре НКЦКИ (при выборе данного способа информирования).

Решения «Лаборатории Касперского»

KUMA (Kaspersky Unified Monitoring & Analysis Platform), подключенная к технической инфраструктуре НКЦКИ для автоматизированного взаимодействия в соответствии с требованиями 187-ФЗ, приказами ФСБ РФ №367, №3681 (при выборе данного способа информирования).

Результаты

1. Утвержденный регламент информирования НКЦКИ об инцидентах.
2. Внедренное средство мониторинга и реагирования на инциденты интегрированное с технической инфраструктурой НКЦКИ.

 

_________

1 Функциональность KUMA по подключению к технической инфраструктуре НКЦКИ выйдет в официальном релизе в 2021 году.

Подробнее о начальных шагах по реализации ФЗ-187 читайте в нашей инструкции
Разработка плана реагирования на компьютерные инциденты (КИ) и принятия мер по ликвидации последствий компьютерных атак (КА) в соответствии с требованиями приказа ФСБ России №282.

Проводимые работы

1. Разработать план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (самостоятельно или совместно с НКЦКИ, Банка России, либо через ведомственный/корпоративный центр ГосСОПКА).
2. Согласовать план с ФСБ России, если предполагается привлечение НКЦКИ к проведению мероприятий.
3. Согласовать план с Банком России, если субъект относится к банковской сфере или иным сферам финансового рынка.

Решения «Лаборатории Касперского»

При самостоятельном реагировании (без ведомственного/стороннего корпоративного центров ГосСОПКА):

·       Kaspersky Endpoint Detection and Response (KEDR) – для реагирования на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак в части защиты конечных точек. Решение используется собственной службой ИБ либо привлеченной сторонней организации (внешний SOC, НКЦКИ – в соответствии с согласованным планом реагирования).

·       Kaspersky Managed Detection and Response (Kaspersky MDR) – для круглосуточного мониторинга, обнаружения и приоритизации компьютерных инцидентов в части защиты конечных точек, автоматизированного и управляемого реагирования на компьютерные инциденты, проактивного поиска угроз. Решение используется при отсутствии ресурсов службы ИБ, необходимых для проактивного поиск угроз и реагирования на инциденты.

·       Kaspersky Incident Response – сервисы реагирования на инциденты, которые могут быть включены в план реагирования и быть востребованы по мере возникновения компьютерных инцидентов.

·     Kaspersky Unified Monitoring & Analysis Platform (KUMA ) – единая консоль мониторинга и реагирования на все компьютерные инциденты (не только на уровне конечных точек). Функциональность KUMA по подключению к технической инфраструктуре НКЦКИ выйдет в официальном релизе в 2021 году.

Результаты

1. Утвержденный план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.
2. Внедренные программное обеспечение, необходимое для реализации плана реагирования (KEDR, KUMA) и/или сервисы (Kaspersky MDR, Kaspersky Incident Response), предусмотренные планом реагирования.

Создание системы безопасности значимых объектов КИИ в соответствии с требованиями приказов ФСТЭК России №235, 239.

Проводимые работы

1. Установить требования.

2. Разработать организационные и технические меры.

3. Внедрить организационные и технические меры.

 

Решения «Лаборатории Касперского»

·       Kaspersky Unified Monitoring and Analysis Platform

·       Kaspersky Security Center

·       Kaspersky Security для бизнеса

·       Kaspersky Web Traffic Security

·       Kaspersky Secure Mail Gateway

·       Kaspersky Endpoint Detection and Response

·       Kaspersky Anti Targeted Attack

·       Kaspersky Security для систем хранения данных

·       Kaspersky Sandbox

·       Kaspersky Security Awareness

 

Результаты

Введенная в эксплуатацию система безопасности значимых объектов КИИ, а именно:

1. Комплект ОРД ЗОКИИ.

2. Внедренные решения по ИБ, реализующие технические меры обеспечения безопасности ЗОКИИ.

3. Персонал, обученный и работающий в соответствии с утвержденной ОРД ЗОКИИ.

Выбор способа реализации функций субъекта ГосСОПКА

Проводимые работы

Выбрать один из следующих вариантов:

1. Если КИИ относится к органу государственной власти, то он должен подключиться к соответствующему ведомственному центру ГосСОПКА.

2. Подключение к внешнему (коммерческому) центру ГосСОПКА, который оказывает соответствующие услуги.

3. Самостоятельное подключение к центру ГосСОПКА.

 

Для реализации вариантов 1 и 2 субъекту КИИ необходимо подключить источники событий к соответствующему центру ГосСОПКА, согласовать формат и регламент взаимодействия, в том числе в части своевременных уведомлений об изменениях в инфраструктуре.

Для реализации варианта 3 субъекту КИИ необходимо:

- создать центр мониторинга ИБ с учетом требований нормативных документов (ФСБ, ФСТЭК, других);

- внедрить технические средства и решения, соответствующие методическим рекомендациям ФСБ РФ;

- осуществлять взаимодействие с НКЦКИ в соответствии с регламентом взаимодействия подразделений ФСБ РФ и субъектов ГосСОПКА;

- выполнять требования к подразделениям и должностным лицам субъектов ГосСОПКА.

Решения «Лаборатории Касперского»

Дополнительно рекомендуемые средства обнаружения:

1) Kaspersky Anti Targeted Attack – сбор и углубленный анализ событий сетевого трафика, их корреляции, анализ событий в изолированной среде («песочница»).

2) Kaspersky Endpoint Detection and Response – сбор и углубленный анализ событий с конечных устройств, их корреляции, анализ событий в изолированной среде («песочница»), реагирование на КИ.

3) Kaspersky Threat Intelligence – потоковое «обогащение» событий ИБ контекстной информацией.

4) Kaspersky Threat Lookup – «обогащение» событий по запросу.

5) Kaspersky Managed Detection and Response – для круглосуточного мониторинга, обнаружения и приоритизации КИ в части защиты конечных точек, автоматизированного и управляемого реагирования на КИ, проактивного поиска угроз.

Перечисленные решения имеют бесшовную интеграцию с решением Kaspersky Unified Monitoring and Analysis Platform «из коробки», сертификаты ФСТЭК РФ.

 

Средства обнаружения:

1) Kaspersky Unified Monitoring and Analysis Platform – сбор и первичная обработка событий, анализ событий ИБ и выявление КИ, хранение событий ИБ (не менее 6 месяцев).

Решение Kaspersky Unified Monitoring and Analysis Platform является рекомендуемым ФСБ РФ средством обнаружения для субъектов КИИ.

Дополнительно рекомендуемые средства обнаружения:

2) Kaspersky Anti Targeted Attack – сбор и углубленный анализ событий сетевого трафика, их корреляции, анализ событий в изолированной среде («песочница»).

3) Kaspersky Endpoint Detection and Response – сбор и углубленный анализ событий с конечных устройств, их корреляции, анализ событий в изолированной среде («песочница»), реагирование на КИ.

4) Kaspersky Data Feeds, Kaspersky CyberTrace – потоковое «обогащение» событий ИБ контекстом из БД ЛК об угрозах и взаимосвязях.

5) Kaspersky Threat Lookup – «обогащение» событий по запросу.

6) Kaspersky Managed Detection and Response – для круглосуточного мониторинга, обнаружения и приоритизации КИ в части защиты конечных точек, автоматизированного и управляемого реагирования на КИ, проактивного поиска угроз.

Перечисленные решения имеют «бесшовную» интеграцию с решением Kaspersky Unified Monitoring and Analysis Platform «из коробки», сертификаты ФСТЭК РФ.

 

Средства предупреждения

1) Kaspersky Unified Monitoring and Analysis Platform – автоматический сбор информации о конечных точках для инвентаризации информационных ресурсов1 (в том числе сведения об уязвимостях на рабочих станциях), а также любых изменениях, произошедших с ними.

2) Для полноценной реализации требований к средствам предупреждения потребуются дополнительные решения для инвентаризации прочих информационных ресурсов (не конечных точек), сбора и обработки сведений об уязвимостях, учета угроз безопасности (в том числе по уведомлениям НКЦКИ).

 

Средства ликвидации последствий

1) Kaspersky Unified Monitoring and Analysis Platform – учет и обработка компьютерных инцидентов, автоматизированное или полуавтоматизированное реагирование на компьютерные инциденты2, взаимодействие с НКЦКИ3.

2) Kaspersky Incident Response – для сбора событий ИБ на конечных устройствах, реагирования на компьютерные инциденты.

 

Дополнительно рекомендуемые решения «Лаборатория Касперского»

Kaspersky Incident Response – сервисы реагирования на инциденты, которые могут быть включены в план реагирования и быть востребованы по мере возникновения компьютерных инцидентов.

__________

1 Требуется установка агента Kaspersky Endpoint Security на конечные устройства.

2 Совместно с решением KEDR.

3 Функционал взаимодействия посредством технической инфраструктуры НКЦКИ будет доступен в продуктивной версии во второй половине 2021 года.

Разработка мероприятий по взаимодействию со ФСБ России.

В том числе это относится к организациям, у которых нет значимых объектов КИИ, так как организация должна обеспечить соответствие 9 статьи ФЗ-187 (часть 2), в частности незамедлительно информировать о компьютерных инцидентах федеральные органы исполнительной власти. 

Проводимые работы

1. Разработать и утвердить регламент информирования НКЦКИ об инцидентах.
2. Реализовать подключение к технической инфраструктуре НКЦКИ (при выборе данного способа информирования).

Решения «Лаборатории Касперского»

SIEM-система Kaspersky Unified Monitoring & Analysis Platform, подключенная к технической инфраструктуре НКЦКИ для автоматизированного взаимодействия в соответствии с требованиями 187-ФЗ, приказами ФСБ РФ №367, №3681 (при выборе данного способа информирования).

Результаты

1. Утвержденный регламент информирования НКЦКИ об инцидентах.
2. Внедренное средство мониторинга и реагирования на инциденты, интегрированное с технической инфраструктурой НКЦКИ.

__________

Функциональность KUMA по подключению к технической инфраструктуре НКЦКИ выйдет в официальном релизе в 2021 году.

КОНСУЛЬТАЦИЯ
Оставьте заявку на бесплатную консультацию

Свяжитесь с нами, чтобы узнать больше о том, как обеспечить соответствие вашей организации требованиям российского законодательства.

Получить консультацию