Требования ГосСОПКА

Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) создана в соответствии с Указом Президента Российской Федерации от 15 января 2013 г. N 31с. Нормативные требования к средствам ГосСОПКА установлены Приказом ФСБ России от 6 мая 2019 г. N 196, который был заменен Приказом ФСБ России от 26 декабря 2025 г. N 554.

KOMRAD Enterprise SIEM выступает средством ГосСОПКА, реализуя функции обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Нормативная база

Основные нормативные правовые акты, определяющие требования к средствам ГосСОПКА:

• Федеральный закон от 26 июля 2017 г. N 187-ФЗ -- «О безопасности критической информационной инфраструктуры Российской Федерации»
• Приказ ФСБ России от 24 июля 2018 г. N 366 -- «О Национальном координационном центре по компьютерным инцидентам» (НКЦКИ)
• Приказ ФСБ России от 24 июля 2018 г. N 367 -- Перечень информации, представляемой в ГосСОПКА
• Приказ ФСБ России от 26 декабря 2025 г. N 554 -- Требования к средствам ГосСОПКА (действующий, заменил приказ N 196)

Классификация средств ГосСОПКА

Согласно действующим требованиям, к средствам ГосСОПКА относятся:

1. Средства обнаружения -- технические, программные, программно-аппаратные средства для обнаружения компьютерных атак
2. Средства предупреждения -- средства для предупреждения компьютерных атак
3. Средства ликвидации последствий -- средства для ликвидации последствий компьютерных атак
4. Средства ППКА в сетях электросвязи -- средства поиска признаков компьютерных атак в сетях электросвязи
5. Средства ППКА -- средства, предназначенные для поиска признаков компьютерных атак
6. Средства обмена -- средства обмена информацией между субъектами КИИ и органами (организациями)
7. Средства криптографической защиты -- криптографические средства защиты информации

Требования к средствам обнаружения

KOMRAD Enterprise SIEM реализует функции средства обнаружения, обеспечивая:

Сбор и первичная обработка событий ИБ

• Удаленный и локальный сбор событий ИБ от операционных систем, средств обнаружения вторжений, межсетевых экранов, средств предотвращения утечек данных, антивирусного ПО, телекоммуникационного оборудования, прикладных сервисов и иных источников
• Сбор событий ИБ в непрерывном режиме функционирования либо по расписанию
• Возобновление сбора событий после восстановления связи с источниками
• Обработка и сохранение результатов обработки событий ИБ
• Сохранение информации о событиях ИБ, в том числе в исходном виде
• Сбор информации непосредственно от источников событий ИБ, из файлов и посредством агентов
• Встроенная поддержка различных источников событий ИБ и возможность разработки дополнительных модулей

Автоматический анализ событий ИБ

• Отбор и фильтрация событий ИБ
• Выявление последовательностей разнородных событий ИБ, имеющих логическую связь (корреляция), и объединение однородных данных (агрегация)
• Выявление компьютерных инцидентов, регистрация методов их обнаружения
• Корреляция для распределенных по времени и месту возникновения событий ИБ
• Корреляция для последовательности событий ИБ
• Просмотр и редактирование правил корреляции, обновление и загрузка новых правил
• Автоматическое назначение приоритетов событиям ИБ

Повторный анализ ранее зарегистрированных событий

• Выявление связей между зарегистрированными событиями ИБ и новой справочной информацией
• Выявление связей между событиями ИБ и новыми методами обнаружения компьютерных инцидентов
• Выявление связей между событиями ИБ и сведениями о состоянии защищенности
• Настройка параметров проводимого анализа
• Поиск ранее не обнаруженных компьютерных инцидентов с использованием новых методов
• Хранение агрегированных событий ИБ не менее 6 месяцев

Требования к средствам предупреждения

KOMRAD Enterprise SIEM обеспечивает выполнение следующих функций средства предупреждения:

• Сбор и обработка сведений об уязвимостях и недостатках в настройке ПО
• Сбор и обработка сведений об индикаторах компрометации, вредоносном ПО
• Обработка сведений о репутации сетевых адресов, доменных имен
• Обработка информации о тактиках, техниках и процедурах проведения компьютерных атак
• Поддержка актуальности данных путем проверки обновлений не реже одного раза в 24 часа
• Поддержка структурированной передачи данных киберразведки
• Наличие программного интерфейса приложений (API)

Требования к средствам ликвидации последствий

KOMRAD Enterprise SIEM реализует функции средства ликвидации последствий:

Учет и обработка компьютерных инцидентов

• Создание и изменение карточек компьютерных инцидентов с определением типов и состава полей
• Автоматическое создание карточки инцидента на основе уведомления или при выявлении события с признаками компьютерных атак
• Формирование записи о текущей стадии процесса реагирования (прием сообщения, сбор первичных сведений, локализация, сбор сведений для расследования)
• Присвоение категорий опасности и определение приоритетов компьютерных инцидентов
• Регистрация, фильтрация, сортировка и поиск карточек компьютерных инцидентов
• Объединение карточек компьютерных инцидентов

Взаимодействие с НКЦКИ

• Автоматизированный обмен информацией о компьютерных атаках и инцидентах в форматах, определенных НКЦКИ
• Автоматизированное получение информации об угрозах безопасности информации
• Учет карточек компьютерных инцидентов в соответствии с идентификацией НКЦКИ

Информационно-аналитическое сопровождение

• Формирование выборок данных на основе значений полей карточек компьютерных инцидентов
• Анализ уведомлений об актуальных угрозах безопасности информации
• Обработка и визуализация справочной информации

Функции безопасности средств ГосСОПКА

В соответствии с главой IX приказа N 554 KOMRAD Enterprise SIEM реализует следующие функции безопасности:

Идентификация и аутентификация

• Аутентификация пользователей с использованием паролей (в том числе временного действия) и аппаратных средств аутентификации
• Хранение паролей в хешированном виде
• Автоматическое информирование о необходимости смены паролей

Разграничение прав доступа

• Создание, редактирование и удаление пользовательских ролей с настройкой прав доступа
• Блокирование сессии доступа при превышении времени отсутствия активности
• Блокирование и повторная активация учетных записей
• Уведомление о неудачных попытках доступа
• Запись всех действий пользователей с момента авторизации в электронный журнал

Регистрация событий ИБ

• Определение перечня событий ИБ, подлежащих регистрации, с возможностью корректировки сроков хранения
• Регистрация идентификатора пользователя, времени авторизации, запуска и завершения программ, команд управления, неудачных попыток аутентификации, данных о сбоях

Обновление программных компонентов

• Обновление без потери информации о компьютерных инцидентах и событиях ИБ
• Обновление только пользователями, ответственными за администрирование
• Восстановление работоспособности в случае сбоя процесса обновления с предварительным резервным копированием

Резервирование и восстановление

• Создание резервной копии конфигурационных данных на внешнем носителе
• Создание резервной копии программного обеспечения на внешнем носителе

Контроль целостности ПО

• Проверка целостности ПО и конфигурационных файлов при загрузке, во время функционирования и по команде пользователя
• Штатное самотестирование ПО в процессе функционирования
• Регистрация результатов проведения контроля целостности в электронном журнале

Требования к визуализации и отчетности

KOMRAD Enterprise SIEM обеспечивает:

• Визуализацию в виде таблиц, списков, схем, графиков и диаграмм сведений о событиях ИБ, обнаруженных инцидентах, уязвимостях и инфраструктуре контролируемых ресурсов
• Построение сводных отчетов с выбором параметров визуализации
• Экспорт отчетов
• Автоматическое формирование отчетов по расписанию с направлением назначаемым адресатам
• Хранение загружаемой информации в течение установленного периода с постоянным доступом и возможностью экспорта