Уведомления в ГосСОПКА
ГосСОПКА — это государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Она создаётся для обмена информацией о кибератаках на информационные системы, нарушение или прекращение работы которых крайне негативно скажется на экономике страны или безопасности граждан. Основные функции контроля в области обеспечения безопасности объектов КИИ, включая нормативно-правовое регулирование, возложены на ФСТЭК России и ФСБ России.
-
ФСТЭК России отвечает за ведение реестра значимых объектов КИИ, формирование и контроль реализации требований по обеспечению их безопасности
-
ФСБ России обеспечивает регулирование и координацию деятельности субъектов КИИ по развёртыванию сил и средств ОПЛ КА, осуществляет сбор информации о компьютерных инцидентах и оценку безопасности КИИ, а также разрабатывает требования к средствам обнаружения, предупреждения и ликвидации последствий компьютерных атак
-
НКЦКИ координация мероприятий по реагированию на компьютерные инциденты и непосредственное участие в них
После обращения к регулятору со списком объектов КИИ предоставляется доступ во внутреннюю сеть ГосСОПКА посредством:
-
VipNet компании Инфотекс
-
АПКШ "Континент" компании Код Безопасности
-
ПАК С-Терра Шлюз компании С-Терра
Необходимо проверить доступность сайта lk.cert.gov.ru/
При наличии доступа необходимо настроить защищённое прокcирование в вашу сеть канала связи с lk.cert.gov.ru/
Настройка проксирования при использовании систем VipNet или АПКШ "Континент" с использованием утилиты WAF_proxy
Настройка интеграции в KOMRAD Enterprise SIEM. Данную настройку может выполнить только пользователь с правами администратора. В дальнейшем Вы можете указать в директиве настройки категории и типы для автоматической отправки в ГосСОПКА. Ещё один вариант - это не ставить чек-бокс отправки, а во вкладке инцидента заполнить необходимые поля и нажать "Отправить", инцидент поменяет "Статус отправки в ГосСОПКА"
-
Для настройки необходимо зайти в Администрирование → ГосСОПКА
-
В открывшейся форме необходимо указать настройки подключения к ГосСОПКА
| Поле | Пример заполнения | Источник |
|---|---|---|
Передача в ГосСОПКА |
false/true |
Настройка в системе |
Токен для API ГосСОПКА |
eyJhbGcadsadsafASsInR5cCI6IkpXVCJ9 |
ГосСОПКА |
URL для API ГосСОПКА |
https://192.168.1.10:9090/api/v2/ |
Преднастройка |
Адрес прокси (при указании адреса в URL данная настройка не требуется) |
- |
Преднастройка |
Использовать сертификат до прокси |
false/true |
Преднастройка |
Корневой сертификат |
server.pem |
Преднастройка |
Небезопасное соединение |
false/true |
Преднастройка |
Статус реагирования на инцидент |
Проводятся мероприятия по реагированию |
Соответствующее поле в системе ГосСОПКА |
Информация о категорировании ОКИИ |
Объект Кии без категории значимости |
Соответствующее поле в системе ГосСОПКА |
Сфера функционирования субъекта |
Банковская сфера и иные сферы финансового рынка |
Соответствующее поле в системе ГосСОПКА |
Наименование контролируемого ресурса, на котором был выявлен компьютерный инцидент |
ДБО ФЛ |
Соответствующее поле в системе ГосСОПКА |
Сокращенное наименование организации |
АО "Пример" |
Соответствующее поле в системе ГосСОПКА |
Владелец информационного ресурса |
АО "Пример" |
Соответствующее поле в системе ГосСОПКА |
Сведения о средстве или способе выявления инцидента |
WAF |
Соответствующее поле в системе ГосСОПКА |
Влияние на целостность. Значение передается строго из справочника |
Низкое |
Соответствующее поле в системе ГосСОПКА |
Влияние на доступность. Значение передается строго из справочника |
Низкое |
Соответствующее поле в системе ГосСОПКА |
Влияние на конфиденциальность. Значение передается строго из справочника |
Низкое |
Соответствующее поле в системе ГосСОПКА |
Краткое описание иной формы последствий компьютерного инцидента |
Присвоили информацию |
Соответствующее поле в системе ГосСОПКА |
Страна/регион.Значение из справочника ISO-3166-2 |
RU |
Соответствующее поле в системе ГосСОПКА |
Населенный пункт или геокоординаты |
Москва |
Соответствующее поле в системе ГосСОПКА |
Ограничительный маркер TLP |
TLP:Amber |
Соответствующее поле в системе ГосСОПКА |
| Данные поля становятся полями по умолчанию в случае, если Вы не заполните их в инциденте, который вы собираетесь отправить в ГосСопка |
-
После нажатия кнопки «Сохранить» высветится уведомление о проверке подключения и успешном сохранении настроек.
| Обеспечения возможности отправки необходимо активировать флаг «Передача в ГосСОПКА» |
-
Передан неверный токен (код 400)
-
Указан неверный адрес подключения. (код 404)
-
Передан неверный сертификат. (код 500)
При обработке запроса произошла ошибка, детали доступны администратору в логах приложения: gossopka connection failed (код 500)