Содержание
- Взаимодействие с НКЦКИ
- Особенности экспорта в НКЦКИ из иерархической структуры KUMA
- Экспорт данных в НКЦКИ
- Дополнение данных об инциденте по запросу
- Отправка файлов в НКЦКИ
- Отправка в НКЦКИ инцидентов, связанных с утечкой персональных данных
- Обмен сообщениями с сотрудниками НКЦКИ
- Допустимые категории и типы инцидентов НКЦКИ
- Уведомления об изменении статуса инцидента в НКЦКИ
Взаимодействие с НКЦКИ
В KUMA в рамках взаимодействия с Национальным координационным центром по компьютерным инцидентам (далее "НКЦКИ") можно выполнять следующие действия:
- экспортировать в НКЦКИ инциденты;
- при запросе НКЦКИ дополнять экспортированный инцидент данными;
- отправлять в НКЦКИ файлы;
- обмениваться сообщениями со специалистами НКЦКИ;
- просматривать изменения в параметрах экспортированных инцидентов, сделанных в НКЦКИ.
Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.
Условия взаимодействия с НКЦКИ
Для взаимодействия с НКЦКИ должны выполняться следующие условия:
- лицензия программы включает модуль GosSOPKA;
- настроена интеграция с НКЦКИ;
- в параметрах пользователей, в обязанности которых входит взаимодействие с НКЦКИ, установлен флажок Может взаимодействовать с НКЦКИ.
Этапы взаимодействия с НКЦКИ
В KUMA экспорт и обработка инцидентов, экспортированных в НКЦКИ, проходит через следующие этапы:
- Создание инцидента и проверка его на соответствие требованиям НКЦКИ
Вы можете создать инцидент или получить его из дочернего узла KUMA. Перед отправкой данных в НКЦКИ необходимо убедиться, что категория инцидента соответствует требованиям НКЦКИ
- Экспорт инцидента в НКЦКИ
При успешном экспорте инцидента в НКЦКИ его параметр Экспорт в НКЦКИ принимает значение Экспортирован. В нижней части окна инцидента становится доступен раздел с чатом с сотрудниками НКЦКИ.
В НКЦКИ полученному от вас инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ и в автоматических сообщениях чата.
Если в НКЦКИ предоставлены все необходимые данные, инциденту присваивается статус Проверка НКЦКИ. Параметры инцидента в таком статусе доступны для изменения, однако обновленные сведения невозможно передать из KUMA в НКЦКИ. Вы можете просмотреть разницу между данными об инциденте в KUMA и в НКЦКИ.
- Дополнение данных об инциденте
Если сотрудникам НКЦКИ не хватает сведений для обработки инцидента, они могут присвоить ему статус Требуется дополнение. В KUMA этот статус отображается в окне инцидента в разделе Интеграция с НКЦКИ. Пользователи уведомляются об изменении статуса.
К инцидентам с таким статусом можно прикрепить файл.
Дополнение данных завершается повторным экспортом инцидента в НКЦКИ, при котором необходимо дополнить или изменить ранее отправленные сведения. Из родительского узла KUMA невозможно вносить изменения в инциденты дочерних узлов – это необходимо сделать сотрудникам дочернего узла KUMA.
При успешном дополнении инцидента данными ему присваивается статус Проверка НКЦКИ.
- Завершение обработки инцидента
Когда сотрудники НКЦКИ обработают инцидент, в НКЦКИ ему будет присвоен статус Принято решение. В KUMA этот статус отображается в окне инцидента в разделе Интеграция с НКЦКИ.
При получении этого статуса инцидент в KUMA автоматически закрывается. Взаимодействие с НКЦКИ по данному инциденту через KUMA становится невозможным.
Особенности экспорта в НКЦКИ из иерархической структуры KUMA
Если в вашей организации развернуто несколько узлов KUMA, которые объединены в иерархическую структуру, вы можете из родительских узлов KUMA передавать в НКЦКИ инциденты, полученные из дочерних узлов KUMA. Для этого должны выполняться следующие условия:
- В родительском и дочернем узле KUMA настроена интеграция с НКЦКИ. При этом для родительского узла параметры URL и Токен в разделе Параметры → НКЦКИ являются обязательными, а для дочернего – нет.
- В обоих узлах не отключена интеграция с НКЦКИ.
При такой настройке взаимодействие с НКЦКИ осуществляется только на уровне узла, экспортировавшего инцидент в НКЦКИ.
Из родительского узла KUMA невозможно изменить параметры инцидента, полученного из дочернего узла KUMA. Если для экспорта в НКЦКИ не хватает каких-то данных, инцидент необходимо изменить на дочернем узле KUMA, а затем уже экспортировать его в НКЦКИ из родительского узла KUMA.
В началоЭкспорт данных в НКЦКИ
Невозможно экспортировать в НКЦКИ закрытие в KUMA инциденты, если у них на момент закрытия не было заполнено поле Описание.
Чтобы экспортировать инцидент в НКЦКИ:
- В разделе Инциденты веб-интерфейса KUMA откройте инцидент, который вы хотите экспортировать.
- Нажмите в нижней части окна на кнопку Экспорт в НКЦКИ.
- Если вы не указали категорию и тип инцидента, укажите эти сведения в открывшемся окне и нажмите на кнопку Экспорт в НКЦКИ.
Откроется окно с параметрами экспорта.
- Укажите параметры в закладке Основные окна Экспорт в НКЦКИ:
- Категория инцидента и Тип инцидента – укажите тип и категорию инцидента. В НКЦКИ можно экспортировать только инциденты определенных категорий и типов.
- TLP (обязательно) – присвойте инциденту маркер протокола Traffic Light, определяющий характер сведений об инциденте. По умолчанию используется значение RED. Доступные значения:
- WHITE – раскрытие не ограничено;
- GREEN – раскрытие только для сообщества;
- AMBER – раскрытие только для организаций;
- RED – раскрытие только для круга лиц.
- Название информационной системы (обязательно) – укажите название информационного ресурса, в котором произошел инцидент. В поле можно ввести до 500 000 символов.
- Категория КИИ системы (обязательно) – укажите категорию критической информационной структуры (КИИ) вашей организации. Если у вашей организации нет категории КИИ, выберите пункт Информационный ресурс не является объектом КИИ.
- Сфера деятельности компании (обязательно) – укажите сферу деятельности вашей организации. По умолчанию используется значение, указанное в параметрах интеграции с НКЦКИ.
- Местоположение (обязательно) – выберите в раскрывающемся списке местоположение вашей организации.
- Затронутая система имеет подключение к интернету – установите этот флажок, если активы, относящиеся к инциденту, имеют подключение к интернету. По умолчанию этот флажок снят.
Если этот флажок установлен, в окне становится доступна для заполнения закладка Технические сведения, на которой отображаются сведения об относящихся к инциденту активах. Подробнее см. ниже.
- Сведения о продукте (обязательно) – эта таблица становится доступна, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.
С помощью кнопки Добавить элемент можно добавить в таблицу строку. В столбце Название требуется указать название программы (например,
MS Office
), а в столбце Версия – версию программы (например,2.4
). - Идентификатор уязвимости – при необходимости укажите идентификатор обнаруженной уязвимости. Например,
CVE-2020-1231
.Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.
- Наименование и версия уязвимого продукта – при необходимости укажите наименование и версию уязвимого продукта. Например,
Операционные системы Microsoft и их компоненты
.Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.
- При необходимости укажите параметры в закладке Дополнительно окна Экспорт в НКЦКИ.
Набор параметров в закладке зависит от выбранных категории и типа инцидента:
- Средство обнаружения инцидента – укажите название продукта, с помощью которого был зарегистрирован инцидент. Например,
KUMA 1.5
. - Требуется привлечение сил ГосСОПКА – установите этот флажок, если вам требуется помощь сотрудников ГосСОПКА.
- Время завершения инцидента – укажите дату и время восстановления штатного режима работы контролируемого информационного ресурса (объекта КИИ) после компьютерного инцидента, окончания компьютерной атаки или устранения уязвимости.
- Влияние на доступность – оцените степень последствий инцидента для доступности системы:
- Высокое
- Низкое
- Отсутствует
- Влияние на целостность – оцените степень последствий инцидента для целостности системы:
- Высокое
- Низкое
- Отсутствует
- Влияние на конфиденциальность – оцените степень последствий инцидента для конфиденциальности информации:
- Высокое
- Низкое
- Отсутствует
- Иные последствия – укажите иные значимые последствия инцидента.
- Город – укажите город, в котором находится ваша организация.
- Средство обнаружения инцидента – укажите название продукта, с помощью которого был зарегистрирован инцидент. Например,
- Если к инциденту прикреплены активы, можно указать их параметры в закладке Технические данные.
Эта закладка становится активной, только если вы установили флажок Затронутая система имеет подключение к интернету.
При необходимости изменить или дополнить сведения, ранее указанные в закладке Технические данные, это следует делать в вашем личном кабинете ГосСОПКА, даже если сотрудники НКЦКИ запросили у вас дополнительные сведения и у вас есть возможность изменить экспортированный инцидент.
Категории указываемых активов должны соответствовать категории затронутой КИИ системы.
- Нажмите Экспорт.
- Подтвердите экспорт.
Сведения об инциденте переданы в НКЦКИ, параметр инцидента Экспорт в НКЦКИ меняется на Экспортирован. В НКЦКИ полученному от вас инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ.
Изменить данные в экспортированном инциденте возможно, только если сотрудники НКЦКИ запросили у вас дополнительные сведения. Если дополнительные сведения запрошены не были, но вам требуется внести изменения в экспортированный инцидент, это следует делать в вашем личном кабинете ГосСОПКА.
После успешного экспорта инцидента в нижней части экрана отображается кнопка Сравнение инцидента KUMA с данными в НКЦКИ, при нажатии на которую открывается окно, где подсвечиваются различия в данных в инциденте между KUMA и НКЦКИ.
В началоДополнение данных об инциденте по запросу
Если сотрудникам НКЦКИ потребуются дополнительные сведения об инциденте, они могут их у вас запросить. В этом случае в окне инцидента в разделе Интеграция с НКЦКИ статус инцидента меняется на Требуется дополнение. При этом следующие пользователи KUMA получают по электронной почте уведомления об изменении статуса: пользователь, которому назначен инцидент, и пользователь, экспортировавший инцидент в НКЦКИ.
Если инциденту в НКЦКИ присвоен статус Требуется дополнение, в KUMA для этого инцидента становятся доступны следующие действия:
- Загрузка в НКЦКИ файлов.
- Повторный экспорт данных об инциденте в НКЦКИ с изменением или дополнением ранее указанных сведений. Выполнение этого действия завершает дополнение инцидента данными.
Отправка файлов в НКЦКИ
Если инцидент имеет статус НКЦКИ Требуется дополнение, вы можете приложить к нему файл. Файл будет доступен как в НКЦКИ, так и в веб-интерфейсе KUMA.
При иерархическом развертывании KUMA загружать файлы в НКЦКИ можно только из родительского узла KUMA. При этом в дочерних узлах KUMA видны журнальные записи о загрузке файла.
В журнале изменений инцидента добавляются сообщения о загрузке в НКЦКИ файлов пользователями KUMA. Сообщения о добавлении файлов со стороны НКЦКИ в журнал не заносятся.
Чтобы приложить файл к инциденту:
- В разделе Инциденты веб-интерфейса KUMA откройте инцидент, к которому вы хотите приложить файл. Инцидент должен иметь статус НКЦКИ Требуется дополнение.
- В разделе окна инцидента Интеграция с НКЦКИ выберите закладку Файл и нажмите на кнопку Отправить файл в НКЦКИ.
Откроется окно выбора файла.
- Выберите нужный файл размером не более 50 МБ и подтвердите выбор.
Файл приложен к инциденту. Файл доступен и для сотрудников НКЦКИ, и для пользователей KUMA.
Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.
В началоОтправка в НКЦКИ инцидентов, связанных с утечкой персональных данных
В KUMA 2.1.х отсутствует отдельный раздел с параметрами инцидентов для передачи в НКЦКИ сведений об утечке персональных данных. Поскольку такие инциденты возникают и есть необходимость передавать сведения в НКЦКИ, воспользуйтесь следующим решением.
Чтобы передать инциденты, связанные с утечкой персональных данных:
- В веб-интерфейсе KUMA в разделе Инциденты при создании инцидента, связанного с утечкой персональных данных, в поле Категория инцидента выберите Уведомление о компьютерном инциденте.
- В поле Тип инцидента выберите один из вариантов, подразумевающих предоставление сведений об утечке персональных данных:
- Заражение ВПО.
- Компрометация учетной записи.
- Несанкционированное разглашение информации.
- Успешная эксплуатация уязвимости.
- Событие не связано с компьютерной атакой.
- В поле Описание укажите "Инцидент связан с утечкой персональных данных. Прошу установить статус "Требуется дополнение"".
- Нажмите Сохранить.
- Выполните экспорт инцидента в НКЦКИ.
После того, как сотрудники НКЦКИ установят статус "Требуется дополнение" и вернут инцидент для дальнейшего редактирования, в личном кабинете НКЦКИ вы сможете дополнить информацию в разделе Сведения об утечке персональных данных.
В началоОбмен сообщениями с сотрудниками НКЦКИ
После успешного экспорта инцидента в НКЦКИ в нижней части окна инцидента становится доступен чат с сотрудниками НКЦКИ. Обмениваться сообщениями можно с момента успешного экспорта инцидента до его закрытия в НКЦКИ.
Окно чата с историей сообщений и полем для ввода новых сообщений доступно в разделе окна инцидента Интеграция с НКЦКИ в закладке Чат.
Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.
Допустимые категории и типы инцидентов НКЦКИ
В таблице ниже перечислены категории и типы инцидентов, которые можно экспортировать в НКЦКИ:
Категория инцидента |
Тип инцидента |
Уведомление о компьютерном инциденте |
Вовлечение контролируемого ресурса в инфраструктуру ВПО |
Замедление работы ресурса в результате DDoS-атаки |
|
Заражение ВПО |
|
Захват сетевого трафика |
|
Использование контролируемого ресурса для фишинга |
|
Компрометация учетной записи |
|
Несанкционированное изменение информации |
|
Несанкционированное разглашение информации |
|
Публикация на ресурсе запрещенной законодательством РФ информации |
|
Рассылка спам-сообщений с контролируемого ресурса |
|
Успешная эксплуатация уязвимости |
|
Уведомление о компьютерной атаке |
DDoS-атака |
Неудачные попытки авторизации |
|
Попытки внедрения ВПО |
|
Попытки эксплуатации уязвимости |
|
Публикация мошеннической информации |
|
Сетевое сканирование |
|
Социальная инженерия |
|
Уведомление о наличии уязвимости |
Уязвимый ресурс |
Уведомления об изменении статуса инцидента в НКЦКИ
При некоторых изменениях статуса или данных инцидента в НКЦКИ пользователи KUMA получают следующие уведомления по электронной почте:
- Уведомление о получении сообщения от НКЦКИ.
- Уведомление о запросе дополнительных данных.
- Уведомление об изменении данных инцидента в НКЦКИ.
- Уведомление об автоматическом закрытии инцидента.
Уведомления получают следующие пользователи:
- Пользователь, которому был назначен инцидент.
- Пользователь, который экспортировал инцидент в НКЦКИ.