Взаимодействие с НКЦКИ

В KUMA в рамках взаимодействия с Национальным координационным центром по компьютерным инцидентам (далее "НКЦКИ") можно выполнять следующие действия:

• экспортировать в НКЦКИ инциденты;
• при запросе НКЦКИ дополнять экспортированный инцидент данными;
• отправлять в НКЦКИ файлы;

  В случае если после обработки сообщения от НКЦКИ от вас требуется направить файл, то вам необходимо авторизоваться в веб-версии Личного кабинета ГосСОПКА, найти соответствующее сообщение от НКЦКИ и самостоятельно приложить к нему файл.

• обмениваться сообщениями со специалистами НКЦКИ;
• просматривать изменения в параметрах экспортированных инцидентов, сделанных в НКЦКИ;
• обрабатывать инциденты, автоматически созданные KUMA по результатам уведомления от НКЦКИ, с префиксом ALRT* .

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

Условия взаимодействия с НКЦКИ

Для взаимодействия с НКЦКИ должны выполняться следующие условия:

• лицензия программы включает модуль GosSOPKA;
• настроена интеграция с НКЦКИ;
• в параметрах пользователей, в обязанности которых входит взаимодействие с НКЦКИ, установлен флажок Может взаимодействовать с НКЦКИ.

Этапы взаимодействия с НКЦКИ

В KUMA экспорт и обработка инцидентов, экспортированных в НКЦКИ, проходит через следующие этапы:

1. Создание инцидента и проверка его на соответствие требованиям НКЦКИ

   Вы можете создать инцидент или получить его из дочернего узла KUMA. Перед отправкой данных в НКЦКИ необходимо убедиться, что категория инцидента соответствует требованиям НКЦКИ

2. Экспорт инцидента в НКЦКИ

   При успешном экспорте инцидента в НКЦКИ его параметр Экспорт в НКЦКИ принимает значение Экспортирован. В нижней части окна инцидента становится доступен раздел с чатом с сотрудниками НКЦКИ.

   В НКЦКИ полученному от вас инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ и в автоматических сообщениях чата.

   Если в НКЦКИ предоставлены все необходимые данные, инциденту присваивается статус Проверка НКЦКИ. Параметры инцидента в таком статусе доступны для изменения, однако обновленные сведения невозможно передать из KUMA в НКЦКИ. Вы можете просмотреть разницу между данными об инциденте в KUMA и в НКЦКИ.

3. Дополнение данных об инциденте

   Если сотрудникам НКЦКИ не хватает сведений для обработки инцидента, они могут присвоить ему статус Требуется дополнение. В KUMA этот статус отображается в окне инцидента в разделе Интеграция с НКЦКИ. Пользователи уведомляются об изменении статуса.

   К инцидентам с таким статусом можно прикрепить файл.

   Дополнение данных завершается повторным экспортом инцидента в НКЦКИ, при котором необходимо дополнить или изменить ранее отправленные сведения. Из родительского узла KUMA невозможно вносить изменения в инциденты дочерних узлов – это необходимо сделать сотрудникам дочернего узла KUMA.

   При успешном дополнении инцидента данными ему присваивается статус Проверка НКЦКИ.

4. Завершение обработки инцидента

   Когда сотрудники НКЦКИ обработают инцидент, в НКЦКИ ему будет присвоен статус Принято решение. В KUMA этот статус отображается в окне инцидента в разделе Интеграция с НКЦКИ.

   При получении этого статуса инцидент в KUMA автоматически закрывается. Взаимодействие с НКЦКИ по данному инциденту через KUMA становится невозможным.

Экспорт данных в НКЦКИ

Чтобы экспортировать инцидент в НКЦКИ:

1. В разделе Инциденты веб-интерфейса KUMA откройте инцидент, который вы хотите экспортировать.
2. Нажмите в нижней части окна на кнопку Экспорт в НКЦКИ.
3. Если вы не указали категорию и тип инцидента, укажите эти сведения в открывшемся окне и нажмите на кнопку Экспорт в НКЦКИ.

   Откроется окно с параметрами экспорта.
   Если вы указали категорию и тип инцидента в карточке инцидента, следует сохранить инцидент перед экспортом в НКЦКИ.

4. Укажите параметры на вкладке Основные окна Экспорт в НКЦКИ:
5. На вкладке Основные параметры, заполните обязательные поля:

   Название компании, Владелец актива, Категория инцидента, Тип инцидента, Описание, значение протокола TLP, Дата создания инцидента, Статус, Название информационной системы, Категория КИИ системы, Сфера деятельности компании, Местоположение.

   • Атомная энергетика
   • Банковская сфера и иные сферы финансового рынка
   • Горнодобывающая промышленность
   • Государственная/муниципальная власть
   • Здравоохранение
   • Металлургическая промышленность
   • Наука
   • Оборонная промышленность
   • Образование
   • Ракетно-космическая промышленность
   • Связь
   • СМИ
   • Топливно-энергетический комплекс
   • Транспорт
   • Химическая промышленность
   • Иная
   • WHITE – раскрытие не ограничено;
   • GREEN – раскрытие только для сообщества;
   • AMBER – раскрытие только для организаций;
   • RED – раскрытие только для круга лиц.
   • Если вы хотите предоставить информацию об утечке персональных данных, установите флажок Утечка ПД - вкладка Сведения об утечке ПД станет доступна для заполнения. По умолчанию флажок снят.

     Поля Наименование оператора, ИНН и Адрес оператора заполняются автоматически значениями, указанными при настройке интеграции с НКЦКИ. При этом значения полей доступны для редактирования при подготовке экспорта данных в НКЦКИ.

     Поля об утечке персональных данных доступны для категории Уведомление о компьютерном инциденте для следующих типов уведомлений:

     • Заражение ВПО
     • Компрометация учетной записи
     • Несанкционированное разглашение информации
     • Успешная эксплуатация уязвимости
     • Событие не связано с компьютерной атакой
   • Сведения о продукте (обязательно) – эта таблица становится доступна, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

     С помощью кнопки Добавить элемент можно добавить в таблицу строку. В столбце Название требуется указать название программы (например, MS Office), а в столбце Версия – версию программы (например, 2.4).

   • Идентификатор уязвимости – при необходимости укажите идентификатор обнаруженной уязвимости. Например, CVE-2020-1231.

     Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

   • Наименование и версия уязвимого продукта – при необходимости укажите наименование и версию уязвимого продукта. Например, Операционные системы Microsoft и их компоненты.

     Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

6. При необходимости укажите параметры на вкладке Дополнительно окна Экспорт в НКЦКИ.

   Набор параметров на вкладке зависит от выбранных категории и типа инцидента:

   • Средство обнаружения инцидента – укажите название продукта, с помощью которого был зарегистрирован инцидент. Например, KUMA 1.5.
   • Требуется привлечение сил ГосСОПКА – установите этот флажок, если вам требуется помощь сотрудников ГосСОПКА.
   • Время завершения инцидента – укажите дату и время восстановления штатного режима работы контролируемого информационного ресурса (объекта КИИ) после компьютерного инцидента, окончания компьютерной атаки или устранения уязвимости.
   • Влияние на доступность – оцените степень последствий инцидента для доступности системы:
     • Высокое
     • Низкое
     • Отсутствует
   • Влияние на целостность – оцените степень последствий инцидента для целостности системы:
     • Высокое
     • Низкое
     • Отсутствует
   • Влияние на конфиденциальность – оцените степень последствий инцидента для конфиденциальности информации:
     • Высокое
     • Низкое
     • Отсутствует
   • Иные последствия – укажите иные значимые последствия инцидента.
   • Город – укажите город, в котором находится ваша организация.
7. Если к инциденту прикреплены активы, можно указать их параметры на вкладке Технические данные.

   Эта вкладка становится активной, только если вы установили флажок Затронутая система имеет подключение к интернету.

   При необходимости изменить или дополнить сведения, ранее указанные на вкладке Технические данные, это следует делать в вашем личном кабинете ГосСОПКА, даже если сотрудники НКЦКИ запросили у вас дополнительные сведения и у вас есть возможность изменить экспортированный инцидент.

   Категории указываемых активов должны соответствовать категории затронутой КИИ системы.

8. Нажмите Экспорт.
9. Подтвердите экспорт.

Сведения об инциденте переданы в НКЦКИ, параметр инцидента Экспорт в НКЦКИ меняется на Экспортирован. В НКЦКИ полученному от вас инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ.

Изменить данные в экспортированном инциденте возможно, только если сотрудники НКЦКИ запросили у вас дополнительные сведения. Если дополнительные сведения запрошены не были, но вам требуется внести изменения в экспортированный инцидент, это следует делать в вашем личном кабинете ГосСОПКА.

После успешного экспорта инцидента в нижней части экрана отображается кнопка Сравнение инцидента KUMA с данными в НКЦКИ, при нажатии на которую открывается окно, где подсвечиваются различия в данных в инциденте между KUMA и НКЦКИ.

Дополнение данных об инциденте по запросу

Если сотрудникам НКЦКИ потребуются дополнительные сведения об инциденте, они могут их у вас запросить. В этом случае в окне инцидента в разделе Интеграция с НКЦКИ статус инцидента меняется на Требуется дополнение. При этом следующие пользователи KUMA получают по электронной почте уведомления об изменении статуса: пользователь, которому назначен инцидент, и пользователь, экспортировавший инцидент в НКЦКИ.

Если инциденту в НКЦКИ присвоен статус Требуется дополнение, в KUMA для этого инцидента становятся доступны следующие действия:

• Загрузка в НКЦКИ файлов.
• Повторный экспорт данных об инциденте в НКЦКИ с изменением или дополнением ранее указанных сведений. Выполнение этого действия завершает дополнение инцидента данными.

Отправка файлов в НКЦКИ

Если инцидент имеет статус НКЦКИ Требуется дополнение, вы можете приложить к нему файл. Файл будет доступен как в НКЦКИ, так и в веб-интерфейсе KUMA.

При иерархическом развертывании KUMA загружать файлы в НКЦКИ можно только из родительского узла KUMA. При этом в дочерних узлах KUMA видны журнальные записи о загрузке файла.

В журнале изменений инцидента добавляются сообщения о загрузке в НКЦКИ файлов пользователями KUMA. Сообщения о добавлении файлов со стороны НКЦКИ в журнал не заносятся.

Чтобы приложить файл к инциденту:

1. В разделе Инциденты веб-интерфейса KUMA откройте инцидент, к которому вы хотите приложить файл. Инцидент должен иметь статус НКЦКИ Требуется дополнение.
2. В разделе окна инцидента Интеграция с НКЦКИ выберите вкладку Файл и нажмите на кнопку Отправить файл в НКЦКИ.

   Откроется окно выбора файла.

3. Выберите нужный файл размером не более 50 МБ и подтвердите выбор.

Файл приложен к инциденту. Файл доступен и для сотрудников НКЦКИ, и для пользователей KUMA.

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

Обмен сообщениями с сотрудниками НКЦКИ

После успешного экспорта инцидента в НКЦКИ в нижней части окна инцидента становится доступен чат с сотрудниками НКЦКИ. Обмениваться сообщениями можно с момента успешного экспорта инцидента до его закрытия в НКЦКИ.

Окно чата с историей сообщений и полем для ввода новых сообщений доступно в разделе окна инцидента Интеграция с НКЦКИ на вкладке Чат.

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

Допустимые категории и типы инцидентов НКЦКИ

В таблице ниже перечислены категории и типы инцидентов, которые можно экспортировать в НКЦКИ:

Уведомления об изменении статуса инцидента в НКЦКИ

При некоторых изменениях статуса или данных инцидента в НКЦКИ пользователи KUMA получают следующие уведомления по электронной почте:

• Уведомление о получении сообщения от НКЦКИ.
• Уведомление о запросе дополнительных данных.
• Уведомление об изменении данных инцидента в НКЦКИ.
• Уведомление об автоматическом закрытии инцидента.

Уведомления получают следующие пользователи:

• Пользователь, которому был назначен инцидент.
• Пользователь, который экспортировал инцидент в НКЦКИ.