4.2. Организация взаимодействия с центрами ГосСОПКА (справочно)
4.2.1. Общие положения
144. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) обеспечивает сбор, накопление, систематизацию и анализ информации, получаемой от субъектов критической информационной инфраструктуры. Основным назначением ГосСОПКА является обеспечение защищенности информационных ресурсов Российской Федерации от компьютерных атак и штатного функционирования данных ресурсов в условиях возникновения компьютерных инцидентов, вызванных компьютерными атаками.
145. Основной организационно-технической составляющей ГосСОПКА являются центры обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее - Центры), организованные по ведомственному и территориальному принципам. Главным центром является Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Министерство здравоохранения Российской Федерации может создать ведомственный Центр ГосСОПКА.
Общая структура Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) приведена в Приложении 20.
146. В рамках взаимодействия с ГосСОПКА организация сферы здравоохранения имеет право:
- получать информацию об угрозах безопасности информации, обрабатываемой объектами критической информационной инфраструктуры, функционирующими в сфере здравоохранения, и уязвимости программного обеспечения, оборудования и технологий, используемых на таких объектах КИИ;
- получать информацию о средствах и способах проведения компьютерных атак, а также о методах их предупреждения и обнаружения;
- за свой счет приобретать, арендовать, устанавливать и обслуживать средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;
147. Организации сферы здравоохранения обязаны незамедлительно информировать о компьютерных инцидентах НКЦКИ в установленном порядке <70>.
--------------------------------
<70> Приказ ФСБ России от 24.07.2018 N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами КИИ Российской Федерации, между субъектами КИИ Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами КИИ Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения".
148. Организация взаимодействия с ГосСОПКА предполагает выполнение следующих процедур:
- выбор центра ГосСОПКА, заключение договора;
- уведомление НКЦКИ о вхождении в зону ответственности центра ГосСОПКА;
- разработку Регламентов взаимодействия и реагирования;
- организацию сбора информации об инцидентах ИБ.
Состав процедур организации взаимодействия с ГосСОПКА приведен в Приложении 18.
4.2.2. Выбор Центра ГосСОПКА
149. Организация сферы здравоохранения может организовать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации:
- непосредственно через НКЦКИ;
- через ведомственный Центр ГосСОПКА, взаимодействующий с НКЦКИ (при условии его создания);
- через коммерческие (корпоративные) центры ГосСОПКА, созданные на территории региона расположения организации сферы здравоохранения.
150. Взаимодействие организации сферы здравоохранения с Центрами ГосСОПКА осуществляется на договорной основе. После заключения договора на обслуживание с выбранным Центром ГосСОПКА организация сферы здравоохранения уведомляет НКЦКИ о вхождении в зону ответственности центра ГосСОПКА.
151. Взаимодействие организации сферы здравоохранения с Центром ГосСОПКА осуществляется в рамках разрабатываемого Регламента взаимодействия.
4.2.3. Организация сбора и обмена информацией о компьютерных инцидентах
152. Обязательным для организации сферы здравоохранения является обмен информацией о компьютерных инцидентах с НКЦКИ <71> и создаваемым ведомственным Центром ГосСОПКА Министерства здравоохранения Российской Федерации (при условии его создания). Круг иных субъектов КИИ, с которыми осуществляется такой обмен, организации сферы здравоохранения определяют самостоятельно. При направлении информации о компьютерных инцидентах в ведомственный Центр ГосСОПКА Министерства здравоохранения Российской Федерации (при условии его создания) организации сферы здравоохранения обязаны параллельно информировать об этом НКЦКИ.
--------------------------------
<71> Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации".
153. Обмен информацией о компьютерных инцидентах осуществляется в сроки, достаточные для своевременного проведения мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. Обмен информацией о компьютерных инцидентах осуществляется путем направления уведомлений в соответствии с установленными форматами <72>.
--------------------------------
<72> Приказ ФСБ России от 24.07.2018 N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
154. Взаимодействие с НКЦКИ возможно следующими способами:
- с использованием технической инфраструктуры НКЦКИ (при наличии подключения), предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ;
- посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в сети "Интернет" по адресу: http://cert.gov.ru.
155. Состав информации, передаваемой в рамках взаимодействия с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), приведен в Приложении 21.