Открыть сервис

CERT/CSIRT

CERT/CSIRT (от англ. Computer Emergency Response Team / Computer Security Incident Response Team — команда реагирования на компьютерные инциденты / группа реагирования на инциденты информационной безопасности) — это специализированное подразделение или организация, обеспечивающая централизованное управление инцидентами информационной безопасности, включая их обнаружение, анализ, локализацию и устранение последствий. Основной функцией CERT/CSIRT является координация действий по противодействию кибератакам, снижение ущерба от них и предотвращение повторных инцидентов.

История

Первая команда реагирования на компьютерные инциденты была создана в 1988 году в Университете Карнеги — Меллона (США) по инициативе Агентства перспективных оборонных исследовательских проектов (DARPA) после червя Морриса — одной из первых массовых атак на интернет. Эта команда получила название CERT Coordination Center (CERT/CC). Впоследствии термин «CERT» стал нарицательным, и аналогичные структуры начали появляться в других странах, университетах, корпорациях и государственных органах.

В России первые национальные CERT/CSIRT появились в начале 2000-х годов. В 2003 году был создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который выполняет функции государственной CSIRT. В настоящее время в России действует несколько десятков команд реагирования различного уровня — от корпоративных (например, CERT-GIB, созданный компанией Group-IB, которая признана в РФ иностранным агентом) до отраслевых и региональных.

Классификация

CERT/CSIRT классифицируются по масштабу, сфере ответственности и организационной структуре:

  • Национальные (государственные) CERT/CSIRT — действуют на уровне страны, координируют реагирование на инциденты, затрагивающие критическую информационную инфраструктуру (КИИ) и государственные информационные системы. Пример: НКЦКИ (Россия), CERT-EU (Европейский союз).
  • Отраслевые CERT/CSIRT — обслуживают определённую отрасль экономики или сферу деятельности (финансы, энергетика, транспорт, здравоохранение). Пример: FinCERT Банка России — для кредитно-финансовой сферы.
  • Корпоративные CERT/CSIRT — создаются внутри крупных компаний и организаций для защиты собственной ИТ-инфраструктуры. Могут быть как внутренними подразделениями, так и аутсорсинговыми сервисами.
  • Региональные CERT/CSIRT — обслуживают определённый регион (область, город, федеральный округ).
  • Международные CERT/CSIRT — координируют действия между национальными командами разных стран. Пример: FIRST (Forum of Incident Response and Security Teams) — глобальная ассоциация, объединяющая более 600 команд по всему миру.

Функции и задачи

Основные функции CERT/CSIRT включают:

  • Приём и обработка сообщений об инцидентах — от сотрудников, партнёров, внешних источников (включая автоматизированные системы мониторинга).
  • Анализ и классификация инцидентов — определение типа атаки, вектора проникновения, масштаба ущерба.
  • Локализация и нейтрализация угрозыблокировка вредоносного трафика, изоляция заражённых узлов, отключение скомпрометированных учётных записей.
  • Восстановление работоспособности систем — очистка от вредоносного ПО, восстановление данных из резервных копий, устранение уязвимостей.
  • Форензика (цифровая криминалистика) — сбор и анализ цифровых доказательств для последующего разбирательства или судебного преследования.
  • Профилактика и предотвращение инцидентов — разработка рекомендаций по усилению защиты, проведение аудитов безопасности, обучение персонала.
  • Обмен информацией — публикация бюллетеней безопасности, оповещение о новых угрозах, взаимодействие с другими CERT/CSIRT через доверенные каналы (MISP, FIRST, TF-CSIRT).

Организационная структура

Типовая структура CERT/CSIRT включает следующие роли:

  • Руководитель (Manager) — отвечает за стратегию, ресурсы, отчётность и взаимодействие с руководством организации.
  • Аналитики (Analysts) — выполняют технический анализ инцидентов, мониторинг угроз, расследование атак.
  • Специалисты по реагированию (Incident Responders) — непосредственно занимаются локализацией и нейтрализацией инцидентов, работой с системами защиты.
  • Форензики (Forensic Specialists) — проводят цифровую криминалистику, извлечение и анализ данных.
  • Специалисты по киберразведке (Threat Intelligence) — собирают и анализируют информацию о новых угрозах, уязвимостях и тактиках злоумышленников.
  • Координаторы (Coordinators) — управляют процессами приёма заявок, распределения задач и взаимодействия с внешними сторонами.

Техническое оснащение

CERT/CSIRT используют специализированное программное обеспечение и платформы:

  • SIEM-системы (Security Information and Event Management) — для сбора и корреляции событий безопасности (Splunk, ArcSight, MaxPatrol SIEM).
  • SOAR-платформы (Security Orchestration, Automation and Response) — для автоматизации процессов реагирования (например, Phantom, Demisto, R-Vision SOAR).
  • Системы управления инцидентами (IRP) — для ведения учёта, документирования и отслеживания статуса инцидентов (ServiceNow, Jira Service Management, собственные разработки).
  • Песочницы (Sandbox) — для безопасного анализа подозрительных файлов и ссылок.
  • Инструменты форензики — EnCase, FTK, Volatility, Autopsy.
  • Платформы обмена угрозами — MISP (Malware Information Sharing Platform), OpenCTI.

Взаимодействие и стандарты

CERT/CSIRT действуют в соответствии с международными и национальными стандартами:

  • ISO/IEC 27035 — стандарт по управлению инцидентами информационной безопасности.
  • NIST SP 800-61 — руководство по реагированию на компьютерные инциденты (США).
  • RFC 2350 — документ, описывающий ожидаемые действия и контактную информацию CSIRT.
  • ГОСТ Р 56545-2015 — российский стандарт по управлению инцидентами.
  • Методические рекомендации ФСТЭК России — по организации реагирования на компьютерные инциденты в КИИ.

Для координации между командами используются доверенные каналы связи (TCR — Trusted Circle of Relationships), шифрованная электронная почта, закрытые форумы и системы PGP.

CERT/CSIRT в России

В Российской Федерации деятельность CERT/CSIRT регулируется рядом нормативных актов, в первую очередь Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Согласно этому закону, субъекты КИИ обязаны создавать собственные подразделения по реагированию на компьютерные инциденты или заключать договоры с уполномоченными организациями.

Основным национальным координационным центром является Национальный координационный центр по компьютерным инцидентам (НКЦКИ), созданный в 2018 году при ФСБ России. НКЦКИ обеспечивает взаимодействие между государственными органами, субъектами КИИ и международными организациями. Он ведёт единую базу инцидентов, публикует бюллетени безопасности, проводит учения и аттестацию команд.

Другие значимые российские CERT/CSIRT:

  • FinCERT — подразделение Банка России, координирует реагирование на инциденты в финансовом секторе.
  • CERT-GIB — коммерческая команда, созданная компанией Group-IB (признана иностранным агентом в РФ), предоставляет услуги по реагированию на инциденты и киберразведке.
  • CERT-ФСБ — подразделение ФСБ России, занимающееся расследованием киберпреступлений и защитой государственных информационных систем.
  • CERT-Минцифры — команда Министерства цифрового развития, связи и массовых коммуникаций РФ, обеспечивающая защиту государственных информационных систем.

Проблемы и критика

Несмотря на важность CERT/CSIRT, их деятельность сопряжена с рядом проблем:

  • Нехватка квалифицированных кадров — дефицит специалистов по информационной безопасности, особенно в регионах.
  • Бюрократизация — в государственных структурах процессы реагирования могут быть замедлены из-за излишних согласований и отчётности.
  • Фрагментация — отсутствие единого стандарта взаимодействия между разными командами, особенно на международном уровне.
  • Недостаточное финансирование — особенно для корпоративных CSIRT в среднем бизнесе.
  • Юридические риски — при расследовании инцидентов CERT/CSIRT могут сталкиваться с ограничениями доступа к данным (персональные данные, коммерческая тайна).
  • Проблема ложных срабатываний — большое количество инцидентов, не требующих вмешательства, загружает аналитиков и снижает эффективность работы.

Источники

  1. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  2. ГОСТ Р 56545-2015 «Защита информации. Управление инцидентами информационной безопасности».
  3. RFC 2350 — Expectations for Computer Security Incident Response.
  4. NIST Special Publication 800-61 Rev. 2 — Computer Security Incident Handling Guide.
  5. ISO/IEC 27035:2016 — Information technology — Security techniques — Information security incident management.
  6. Методические рекомендации ФСТЭК России по организации реагирования на компьютерные инциденты (2020 г.).
  7. Материалы Национального координационного центра по компьютерным инцидентам (НКЦКИ).
  8. Доклад FIRST (Forum of Incident Response and Security Teams) — Annual Report 2023.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →