“Нормативы по анализу угроз часто воспринимают как скучную бюрократию, но на самом деле это свод тактик, проверенных на практике. Умение читать эти документы — это умение понимать, что и за чем атакуют. Реальная безопасность строится на их синтезе с текущим ландшафтом угроз, а не на формальном закрытии списка требований.”
Как нормативы формируют поле боя при атаке на объект КИИ
Рассмотрим сценарий атаки на объект критической информационной инфраструктуры. В этот момент в действие вступает не только технологический, но и строго регламентированный процесс реагирования. Уклонение от любого этапа приводит к административной и даже уголовной ответственности.
| Этап инцидента | Нормативный драйвер | Практическое действие и сроки |
|---|---|---|
| Обнаружение | ФЗ-187 «О безопасности КИИ», ст. 13 | Обязательное уведомление ГосСОПКА в течение 1 часа с момента обнаружения. |
| Анализ и локализация | Приказ ФСТЭК №239, Приказ ФСТЭК №31 (для АСУ ТП) | Сбор индикаторов компрометации, их передача в систему обмена, изоляция зараженных сегментов. |
| Ликвидация последствий | Методические рекомендации ГосСОПКА | Восстановление штатной работы ИТ-сервисов с документированием каждого шага для последующего отчёта. |
| Отчётность | Форма НКЦКИ 01/2021 | Подготовка детального отчёта с указанием тактик, техник и процедур злоумышленника, а также применённых индикаторов. Срок — 3 рабочих дня. |
Роль ГосСОПКА: не просто регулятор, а оперативный центр
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак — это централизованный механизм, который выполняет три ключевые функции.
- Обнаружение и предупреждение: Мониторинг трафика субъектов КИИ на предмет аномалий и известных сигнатур угроз.
- Оперативное реагирование: Координация действий при крупных инцидентах, предоставление рекомендаций по блокировке.
- Анализ и распространение данных об угрозах: Формирование и рассылка актуальных индикаторов компрометации (IoC) на основе обработанных инцидентов.
Важный практический аспект: публичные отчёты и предупреждения ГосСОПКА становятся предметом изучения не только для защищающихся. Противоположная сторона анализирует их, чтобы понять, на какие методы реагирования расчёт, и искать организации, где эти методы могут быть реализованы формально или с ошибками.
Связь между нормативами ФСТЭК и векторами атак
Требования регулятора часто прямо указывают на наиболее уязвимые или критичные точки, которые автоматически попадают в фокус злоумышленников. Вот как ключевые приказы ФСТЭК соотносятся с реальными угрозами.
| Нормативный документ (ФСТЭК) | Сфера регулирования | Практический контекст для атакующего |
|---|---|---|
| Приказ №117 | Защита государственных информационных систем (ГИС) | ГИС высшего класса защищённости (УЗ-1) требуют аппаратных средств защиты и строгой двухфакторной аутентификации. Атакующие ищут ГИС более низких классов, где эти меры могут быть ослаблены или внедрены с изъянами. |
| Приказ №21 | Защита персональных данных (ПДн) | Системы обработки ПДн — цель номер один для вымогателей и инсайдеров. Высокие штрафы за утечку создают дополнительный рычаг давления на организацию, увеличивая вероятность выплаты выкупа. |
| Приказ №31 | Безопасность автоматизированных систем управления технологическими процессами (АСУ ТП) | АСУ ТП, особенно устаревшие, часто имеют прямые подключения к интернету, что обнаруживается через специализированные поисковики. Это делает их лёгкой первоначальной точкой входа для последующей атаки на промышленную сеть. |
| Приказ №239 | Безопасность значимых объектов КИИ | Объекты высокой значимости — приоритет для целевых атак, направленных на максимальный социально-экономический ущерб. Атакующие изучают отраслевые реестры и публичную документацию для выбора цели. |
Индикаторы компрометации: от нормативного требования к инструменту защиты
Работа с IoC — это не абстрактное требование Приказа №239, а ежедневная практика. Разные типы индикаторов требуют разных инструментов для их применения.
| Тип индикатора (IoC) | Пример | Где и как используется для защиты |
|---|---|---|
| Хэши файлов (MD5, SHA256) | a1b2c3d4e5f6… | Загрузка в антивирусные движки и системы EDR для блокировки выполнения вредоносного файла. |
| IP-адреса и сетевые диапазоны | 185.123.45.67 | Добавление в чёрные списки межсетевых экранов, систем предотвращения вторжений для блокировки командных серверов. |
| Доменные имена | malicious-domain.tld | Блокировка через DNS-фильтрацию, веб-прокси или средства безопасности шлюза. |
| Артефакты ОС (ключи реестра, пути) | HKLMSoftwareMicrosoftWindowsCurrentVersionRunBadService | Использование в правилах корреляции SIEM для поиска следов закрепления в системе, ручные проверки на конечных точках. |
Итог: нормативы как тактическое руководство
Нормативная база — это не набор бюрократических препон, а структурированное описание уязвимостей и методов защиты, составленное на основе анализа реальных инцидентов. Её изучение позволяет не просто «пройти проверку», а понять логику потенциального противника и выстроить оборону, которая будет работать в условиях, предписанных законом. Игнорирование этой связи ведёт к ситуации, когда защита существует на бумаге, но не способна противостоять реальной атаке.