Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Концепция информационной безопасности в сфере здравоохранения (приложение N 2 к протоколу президиума Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности от 10 марта 2022 г. N 7)
- Приложение IV. Эскизные решения построения системы реагирования на компьютерные атаки и инциденты информационной безопасности в информационных системах в сфере здравоохранения
Приложение IV. Эскизные решения построения системы реагирования на компьютерные атаки и инциденты информационной безопасности в информационных системах в сфере здравоохранения
Приложение IV
Эскизные решения построения системы реагирования на компьютерные атаки и инциденты информационной безопасности в информационных системах в сфере здравоохранения
В настоящем приложении приводится описание технической реализации функций и порядок взаимодействия сторон в рамках системы реагирования на компьютерные атаки и инциденты информационной безопасности в информационных системах в сфере здравоохранения.
1. Требования к технической реализации функций системы реагирования на компьютерные атаки и инциденты информационной безопасности в информационных системах в сфере здравоохранения
Технические и программно-аппаратные средства отраслевого центра информационной безопасности Минздрава России, информационных систем в сфере здравоохранения и систем защиты информации данных информационных систем, а также средства центров ГосСОПКА, в зону ответственности которых включаются информационные ресурсы организаций в сфере здравоохранения, должны полностью обеспечивать выполнение следующих функций системы реагирования на компьютерные атаки и инциденты информационной безопасности в информационных системах в сфере здравоохранения:
- предупреждение компьютерных атак;
- обнаружение компьютерных атак;
- ликвидация последствий компьютерных атак и инцидентов информационной безопасности.
1.1. Предупреждение компьютерных атак
1.1.1 Сбор и обработка сведений об инфраструктуре информационных систем в сфере здравоохранения
Целью сбора и обработки сведений об инфраструктуре информационной системы в сфере здравоохранения (инвентаризации) является получение и поддержание в актуальном состоянии сведений об информационных системах в сфере здравоохранения и информационно-телекоммуникационных сетях, обеспечивающих их функционирование, необходимых для выполнения функций по обнаружению, предупреждению и ликвидации последствий компьютерных атак. К таким сведениям относятся:
- сведения об архитектуре и объектах информационной системы в сфере здравоохранения (сетевые адреса и имена, наименования и версии используемого ПО);
- сведения о выполняющихся на объектах информационной системы в сфере здравоохранения сетевых службах;
- сведения об источниках событий информационной безопасности.
Инвентаризацию необходимо проводить для всех компонентов, входящих в каждый объект защиты. Сбор такого объема сведений с необходимой степенью детализации требует применения соответствующих инструментальных средств: специализированных средств инвентаризации (configuration management database, CMDB) или средств анализа защищенности, в которых реализована функция инвентаризации информационных ресурсов.
1.1.2 Сбор и обработка сведений об уязвимостях и недостатках в настройке программного обеспечения, используемого в информационной системе в сфере здравоохранения
Основным методом предупреждения компьютерных атак является устранение уязвимостей, которые могут быть использованы нарушителем для проведения атаки. Таким образом, целью анализа уязвимостей является выявление недостатков в обеспечении безопасности информационных ресурсов, которые могут быть использованы для осуществления компьютерных атак.
Для выявления уязвимостей могут использоваться следующие способы:
- сканирование компонентов объекта защиты средствами анализа защищенности;
- сравнение текущих параметров конфигурации компонентов объекта защиты с рекомендациями и руководствами по их безопасной настройке;
- лабораторное исследование программного и аппаратного обеспечения (фаззинг, статический анализ исходного кода, динамический анализ исходного кода);
- тестирование на проникновение*.
В качестве инструментов выявления уязвимостей должны применяться средства анализа защищенности (сканеры уязвимостей).
1.2. Обнаружение компьютерных атак
1.2.1 Прием сообщений об инцидентах информационной безопасности от персонала и пользователей информационной системы в сфере здравоохранения
Источниками сообщений о возможных событиях и инцидентах информационной безопасности могут являться:
- пользователи объекта защиты;
- уполномоченные лица центра ГосСОПКА;
- надзорные органы;
- прочие лица (например, исследователи, обнаружившие уязвимость общедоступного компонента информационной системы, или смежные организации, если инцидент, связанный с объектом защиты, сказывается на функционировании взаимодействующих с ним информационных систем).
При приеме сообщений о возможном инциденте и уточнении полученной информации рекомендуется ориентироваться на следующий состав сведений об инциденте:
- контактные данные;
- сведения об информационной системе в сфере здравоохранения, в которой произошел инцидент;
- дата и время обнаружения инцидента;
- описание инцидента;
- информация о принятых мерах по реагированию на инцидент.
При получении сообщения проводится проверка содержащихся в нем сведений. При подтверждении инцидента производится его регистрация и реагирование на него.
Для приема сообщений об инцидентах от пользователей и персонала информационных систем в сфере здравоохранения используются как общедоступные средства связи (почтовая связь, телефонная связь, электронная почта), так и специализированные программно-технические средства, входящие в инфраструктуру отраслевого центра информационной безопасности Минздрава России или центра ГосСОПКА. К таким средствам относятся средства учета и обработки инцидентов информационной безопасности, а также средства взаимодействия.
1.2.2 Сбор событий информационной безопасности
Сбор событий, связанных с нарушением информационной безопасности, необходим для осуществления анализа связанной с ними информации и выявления на основании полученных данных инцидентов информационной безопасности. События информационной безопасности регистрируются средствами операционных систем, средствами защиты информации, телекоммуникационным оборудованием и средствами и системами его мониторинга и управления, прикладными сервисами, а также иными средствами, эксплуатируемыми в составе информационных систем в сфере здравоохранения и информационно-телекоммуникационных систем, обеспечивающих их функционирование (далее - источники событий информационной безопасности).
Сбор событий производится путем сбора данных из журналов регистрации событий на источниках событий. В силу большого количества источников событий, а также собираемых данных их сбор требует применения автоматизированных средств (систем security information and event management, SIEM-систем). Такие средства сбора событий информационной безопасности должны включаться в состав системы защиты ИС в сфере здравоохранения.
1.2.3 Анализ событий информационной безопасности
В ходе анализа событий информационной безопасности осуществляются:
- отбор и фильтрация событий информационной безопасности;
- выявление последовательностей разнородных событий информационной безопасности, имеющих логическую связь, которые могут быть значимы для выявления возможных нарушений безопасности информации (корреляция) и объединения однородных данных о событиях информационной безопасности (агрегация);
- выявление компьютерных инцидентов, регистрация методов (способов) их обнаружения.
Анализ событий производится путем их агрегирования и сопоставления (корреляции) на основе правил, разрабатываемых в ходе анализа угроз. В силу большого потока таких событий их анализ требует применения автоматизированных средств (систем security information and event management, SIEM-систем). Такие средства должны включаться в состав отраслевого центра информационной безопасности Минздрава, а также центров ГосСОПКА.
При анализе событий информационной безопасности должны учитываться данные о существующих и потенциальных угрозах информационной безопасности и о способах их обнаружения. Получение таких данных, их обработку, накопление (хранение) и учет в составе отраслевого центра информационной безопасности и центров ГосСОПКА обеспечивают средства анализа и учета угроз информационной безопасности (threat intelligence).
1.3. Ликвидация последствий компьютерных атак
1.3.1 Учет и обработка инцидентов, взаимодействие с НКЦКИ и с операторами ИС
Учет и обработка инцидентов осуществляются с использованием автоматизированных средств учета и обработки инцидентов, соответствующих требованиям НКЦКИ. После проверки сведений о возможном инциденте (сообщение от персонала или пользователей информационной системы, предупреждения о срабатывании правил корреляции средств анализа событий информационной безопасности) производится их первичная проверка.
В случае если сведения о возможном инциденте подтверждаются хотя бы одним из лиц, ответственных за функционирование хотя бы одного из информационных ресурсов, инцидент признается подтвержденным и принимаются меры реагирования.
Реагирование на инцидент включает в себя:
- фиксацию состояния и анализ объектов информационных ресурсов, вовлеченных в инцидент;
- фиксацию и анализ сетевого трафика, циркулирующего в информационном ресурсе, вовлеченном в инцидент;
- определение причин инцидента и возможных его последствий для информационного ресурса;
- локализацию инцидента;
- сбор сведений для последующего установления причин инцидента;
- планирование мер по ликвидации последствий инцидента;
- ликвидацию последствий инцидента;
- контроль ликвидации последствий.
Определение причин инцидента проводится персоналом операторов информационных систем, специалистами центра ГосСОПКА. При необходимости для определения причин инцидента информационной безопасности могут привлекаться специалисты отраслевого центра информационной безопасности Минздрава России.
Сведения о подтвержденном инциденте направляются в НКЦКИ и ведомственный центр ГосСОПКА.
Для автоматизации процедур учета и обработки инцидентов информационной безопасности используются специализированные программно-технические средства, входящие в инфраструктуру отраслевого центра информационной безопасности и центров ГосСОПКА. К таким средствам относятся средства учета и обработки инцидентов, средства взаимодействия с ГосСОПКА и средства взаимодействия с операторами ИС в сфере здравоохранения.
Схема, представленная на рис. 2, в общем виде дает представление о составе и месте средств в системе реагирования на компьютерные атаки и инциденты информационной безопасности в информационных системах в сфере здравоохранения, а также о направлениях и сути взаимодействия между отраслевым центром информационной безопасности Минздрава России и участниками системы.
Сегменты архитектуры системы реагирования на компьютерные атаки и инциденты информационной безопасности в информационных системах в сфере здравоохранения для центра ГосСОПКА, в зону ответственности которого входят информационные системы в сфере здравоохранения, и для оператора информационной системы в сфере здравоохранения представлены на рис. 3 и 4 соответственно.
2. Взаимодействие сторон в рамках системы реагирования на компьютерные атаки и инциденты информационной безопасности в информационных системах в сфере здравоохранения
2.1. Взаимодействие отраслевого центра информационной безопасности Минздрава России и центров ГосСОПКА с организациями в сфере здравоохранения
Взаимодействие отраслевого центра информационной безопасности Минздрава России с организациями, являющимися операторами информационных систем в сфере здравоохранения, входящих в зону ответственности отраслевого центра информационной безопасности, в общем случае включает следующие функции:
- для отраслевого центра информационной безопасности:
- прием от организации сведений о составе и характеристиках информационных ресурсов, включенных в зону ответственности отраслевого центра информационной безопасности;
- прием информации от организации об инцидентах информационной безопасности;
- доведение до организации информации об угрозах безопасности информации и необходимых мерах по противодействию им;
- доведение до организации информации о проведении компьютерных атак и о методах их предупреждения, обнаружения и противодействия;
- оказание содействия в реагировании на компьютерные инциденты, обеспечение методической и экспертной поддержки по вопросам реагирования на компьютерные инциденты;
- обнаружение уязвимостей информационных систем в сфере здравоохранения организации;
- для организации:
- предоставление в отраслевой центр информационной безопасности сведений о составе и характеристиках информационных систем в сфере здравоохранения, а также актуализация таких сведений;
- предоставление в отраслевой центр информационной безопасности сведений о выявляемых компьютерных атаках и компьютерных инцидентах в информационных системах в сфере здравоохранения, а также информации о принятых мерах и результатах реагирования на такие инциденты;
- прием от отраслевого центра информационной безопасности информации об актуальных угрозах безопасности и признаках компьютерных инцидентов в информационных ресурсах в сфере здравоохранения и принятие мер по противодействию данным угрозам.
Функции и порядок взаимодействия отраслевого центра информационной безопасности и организаций, являющихся операторами информационных систем в сфере здравоохранения, определяются уровнем информатизации (информационной инфраструктуры) и наличием у таких организаций информационных систем, принадлежащих им на праве собственности или ином законном основании. В том случае, если в организации используется исключительно клиентский доступ к централизованным информационным системам в сфере здравоохранения, основные функции взаимодействия с отраслевым центром информационной безопасности включают:
- для отраслевого центра информационной безопасности:
- сбор сведений об информационных ресурсах организации;
- прием информации от организации об инцидентах информационной безопасности;
- участие в осуществлении мероприятий по реагированию на компьютерные инциденты и устранению последствий компьютерных атак;
- для организации:
- предоставление в отраслевой центр информационной безопасности сведений о выявляемых компьютерных атаках и инцидентах информационной безопасности в инфраструктуре организации.
Взаимодействие между отраслевым центром информационной безопасности и организацией осуществляется:
- по инициативе одной из сторон;
- в виде ответа на запрос;
- в соответствии с установленной периодичностью, согласованной сторонами;
- в автоматизированном режиме с использованием технической инфраструктуры отраслевого центра информационной безопасности.
Информационное взаимодействие отраслевого центра информационной безопасности и организаций, являющихся операторами информационных систем в сфере здравоохранения, может осуществляться в следующих формах:
- по телекоммуникационным каналам сети Интернет:
- с использованием автоматизированных средств технической инфраструктуры отраслевого центра информационной безопасности;
- направлением электронного письма;
- в письменном в виде с приложением электронных носителей информации (при необходимости);
- телефонным звонком на номера операторов отраслевого центра информационной безопасности и организации соответственно.
В целях выполнения требований Приказа ФСБ России от 19.06.2019 N 282 "Об утверждении порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значим