Кцопл что это такое
Средства ГоcСОПКА. Переводим терминологию
Если вы работаете в компании, которая попадает под действие №187-ФЗ («О безопасности критической информационной инфраструктуры Российской Федерации»), то вам не нужно объяснять, что такое ГосСОПКА и зачем она нужна. Для остальных поясним: ГосСОПКА расшифровывается как Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Архитектурно она представляет собой единый территориально распределенный комплекс центров различного масштаба, обменивающихся информацией о кибератаках. Такие центры обязаны создать все компании, которым принадлежат объекты критической информационной инфраструктуры (такие компании называют субъектами КИИ). Цель всей этой масштабной государственной инициативы – создать между важнейшими организациями страны систему обмена информацией о ведущихся кибератаках и тем самым обеспечить возможность превентивной защиты.
Иерархия взаимодействия центров ГосСОПКА
Известны попытки построения центров ГосСОПКА исключительно на IDS-системах. Встречаются на рынке и вендоры, позиционирующие IDS или СОА как универсальное решение проблемы. У субъектов КИИ было много вопросов было относительно функционала и требований к SIEM-системам, которые многие компкании считали чуть ли не единственным инструментом, необходимым для создания центра ГосСОПКА.
Сейчас, с появлением документа «Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» появляется первая ясность в отношении фактических требований регулятора к инструментам центра.
В документе обозначены пять основных подсистем центра ГосСОПКА:
Средства обнаружения, но не СОА. Четыре буквы
На наш взгляд, данный пункт является одним из наиболее важных с точки зрения урегулирования споров о средствах, которые можно использовать, поскольку дискуссии «а нужен ли SIEM, или достаточно просто подсистемы СОА» ведутся постоянно и не утихают.
Давайте же подробнее вчитаемся в документ:
В первую очередь речь идет о средстве, осуществляющем сбор событий информационной безопасности. Не инцидентов (итогов работы средств защиты), не сырого трафика или его копии, а именно событий. Это дает нам достаточно прозрачный намек на то, что необходим функционал обработки журналов.
В примечании к этому пункту еще и приведен достаточно детальный и широкий список потенциальных источников, которые должны эти события отдавать. В перечень попали не только классические средства защиты (межсетевые экраны, СОА, антивирусы), но и инфраструктурные источники (сетевое оборудование и операционные системы), а также прикладные системы управления сетевым оборудованиям, системами мониторинга качества обслуживания и т.д.
Все это, а также упоминаемые в функциональных требованиях слова «корреляция и аггрегация событий», на наш взгляд, достаточно точно определяет целевую технологию пункта как платформу SIEM.
Это достаточно полно следует вышедшим ранее методическим рекомендациям, ведь для того, чтобы в полной мере выявлять компьютерные инциденты категорий «несанкционированный доступ», «подбор пароля» и «ВПО», одного активного средства защиты будет недостаточно.
Любая ли платформа, позиционируемая на рынке как SIEM, будет одинаково подходящей? На наш взгляд, нет, так как в тексте обозначены еще, как минимум, два достаточно важных требования:
Предупреждай или инвентаризируй это
Следующий раздел — средства предупреждения — значительно ближе и понятнее для безопасника и формулировками, и подходами. На средства предупреждения возлагаются следующие функции:
Задача управления активами и уязвимостями, при всей кажущейся простоте, таит в себе огромное количество подводных камней. Но обсуждение этих деталей не является частью текущего материала и, возможно, появится в наших дальнейших статьях. Хочется лишь отметить, что практически все компании оснащены средствами, требуемыми для решения задачи, поскольку схожие требования уже фигурировали и в разных распоряжениях и приказах ФСТЭК, и даже в законе о персональных данных. Ключевая задача – «оживить» существующее средство и запустить процессы в реальности, а не на бумаге.
Ликвидация как совместная работа по устранению
Здесь и название средства, и требования к нему получили достаточно неожиданную интерпретацию. В качестве средства ликвидации мы решение, по функциональным задачам близкое к к платформе управления инцидентами, которая в ИТ-мире носит название service desk, а в ИБ горделиво именуется Incident Response Platform (правда у IRP есть и специализированный функционал). По сути, основные задачи подсистемы — это:
Выбор решений и технологий, созданных специально для задач ИБ, на рынке еще весьма ограничен. Но в документе нет прямых ограничений на использование для этих целей общей IT системы (в стандартном или индивидуальном исполнении) с некоторыми доработками под задачи ИБ. Обычно системы service desk представляют собой хорошо кастомизируемый конструктор, поэтому доработка не должна составить труда.
Прочие средства центра ГосСОПКА
Требования к подсистемам обмена и криптографической защите каналов связи также достаточно привычны и, наверное, не требуют дополнительных пояснений.
В качестве короткого резюме – выход данного документа расставил очень много точек над I в отношении инструментов и технологий, которыми необходимо оснащать центр ГосСОПКА. Теперь у каждого заказчика есть формальный список требований, который пригодится как для сравнения вендоров, так и для принятия решения об покупке/замене технологии. А появление ясности в таких вопросах всегда положительно влияет на эффективность и скорость шагов, предпринимаемых конкретными субъектами для подключения, равно как и на общую защищенность критических информационных инфраструктур.
Корпоративный Центр Обнаружения, Предупреждения и Ликвидации последствий компьютерных атак (КЦОПЛ)
2018: Предотвращено 322 хакерских атаки на предприятия Ростеха
15 марта 2019 года «Ростех» сообщил, что «РТ-Информ» в 2018 году предотвратила 322 хакерские атаки на предприятия Госкорпорации. Всего в 2018 году было зафиксировано более полутора миллионов инцидентов в сфере информационной безопасности.
Попытки нападений выявлены и отражены корпоративным центром по обнаружению, предупреждению и ликвидации последствий компьютерных атак (КЦОПЛ), действующим на базе «РТ-Информ». Центр обладает экспертизой в области ИТ-безопасности и способен оперативно реагировать на возникающие угрозы. КЦОПЛ взаимодействует с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Специалисты по информационной безопасности Ростеха отслеживают аномалии в работе компьютеров предприятий, пресекают несанкционированный доступ к информации и обмениваются данными об инициаторах атак с соответствующими службами.
2017: Зафиксировано и устранено влияние 224 инцидентов ИБ
Команда, занимающаяся мониторингом информационной безопасности «РТ-Информ» сообщила в конце 2017 года о том, что в 2017 года собраны данные о внешнем периметре практически всех предприятий Ростеха, на контроль поставлено 386 предприятий (более 24 000 внешних ip-адресов). Всего за 2017 год было зафиксировано и устранено влияние 224 инцидентов.
В мае 2017 г «РТ-ИНФОРМ» подписал соглашение с Центром мониторинга Центрального банка (ФинЦЕРТ) о взаимном обмене информацией.
Ростех отразил в прошлом году более 300 кибератак
Компания «РТ-Информ», входящая в Ростех, в 2018 году предотвратила 322 хакерские атаки на предприятия Госкорпорации. Всего в прошлом году было зафиксировано более полутора миллионов инцидентов в сфере информационной безопасности.
Попытки нападений выявлены и отражены корпоративным центром по обнаружению, предупреждению и ликвидации последствий компьютерных атак (КЦОПЛ), действующим на базе «РТ-Информ». Центр обладает экспертизой в области ИТ-безопасности и способен оперативно реагировать на возникающие угрозы. КЦОПЛ взаимодействует с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
«Внедрение информационных систем на предприятиях напрямую сопряжено с необходимостью создания и развития средств киберзащиты. В Ростехе разработана и функционирует многоуровневая система информационной безопасности. В случае если угроза преодолела штатные средства, установленные на предприятиях и в холдингах, в работу включается КЦОПЛ. Центр обладает необходимой экспертизой и постоянно актуализирует перечень средств защиты информации в соответствии с потенциальными угрозами. На текущий момент под совместной защитой центра и системы ГосСОПКА работает 479 предприятий и более 30 000 IP-адресов Ростеха», – рассказал руководитель направления информационной безопасности «РТ-Информ» Дмитрий Латышев.
Специалисты по информационной безопасности Ростеха отслеживают аномалии в работе компьютеров предприятий, пресекают несанкционированный доступ к информации и обмениваются данными об инициаторах атак с соответствующими службами.
События, связанные с этим
«РТ-Информ» выступил на образовательном форуме для школьников «Лети в IT»
ИТ-решение Ростеха включено в единый реестр российских программ
Ростех отразил в прошлом году более 300 кибератак
Выручка «РТ-Информ» за три года выросла в 75 раз
Ростех повышает кибербезопасность на оборонных предприятиях
Ростех внедряет новую систему кибербезопасности на предприятиях, связанных с выполнением гособоронзаказа. До конца года Госкорпорация потратит на киберзащиту своих оборонных предприятий 800 млн рублей, что на 16 % превышает показатели прошлого года.
Новая система функционирует в формате Корпоративного центра обнаружения, предупреждения и ликвидации последствий компьютерных атак (КЦОПЛ), созданного осенью 2016 года на базе «РТ-Информ».
В течение текущего года к системе уже подключились предприятия таких холдингов, как «Росэлектроника», «Высокоточные комплексы», «Техмаш» и Объединенная двигателестроительная корпорация (ОДК). В ближайшее время планируется произвести подключение компаний, входящих в холдинг «Вертолеты России». До 2018 года к системе присоединятся до 100 предприятий Корпорации, а основная волна подключений завершится к 2020 году, отмечают в «РТ-Информ».
«Речь идет о принципиально новой централизованной системе, которая позволяет подключенным предприятиям использовать ресурсы квалифицированных специалистов по информационной безопасности, комплекс специализированного оборудования и программного обеспечения. Тем не менее, подключение к этой системе не освобождает предприятия от необходимости применения внутренних обязательных средств защиты, в частности, антивирусов, криптографической защиты и других», – рассказал генеральный директор «РТ-Информ» Камиль Газизов.
Основные киберугрозы
Всего за 2017 год специалисты КЦОПЛ смогли выявить более 200 компьютерных атак, сообщил Камиль Газизов.
По его словам, наибольшую опасность для Госкорпорации представляет промышленный шпионаж. «Распознать и оперативно пресечь такие вмешательства проблематично. Злоумышленник может долгое время находиться в системе, считывая необходимую информацию, и при этом никак себя не проявлять», – заявил глава «РТ-Информ».
Собрав данные, хакер способен нанести серьезный ущерб организации вплоть до вмешательства в технологический процесс с последующей остановкой производства, подчеркивают специалисты. «Достаточно вспомнить вывод из строя в результате хакерской атаки электростанции в Киеве или вирус Stuxnet, заразивший программное обеспечение промышленных предприятий Ирана, включая завод по обогащению урана», – рассказал Камиль Газизов.
Другая угроза – финансовое мошенничество, то есть попытки вывода денег со счетов предприятия. Как отмечают в «РТ-Информ», с этим видом хакерской атаки наиболее часто сталкиваются в Ростехе.
ГосСОПКА: что такое, зачем нужна и как устроена
Введение
1 января 2018 года вступил в силу федеральный закон №187-ФЗ от 26.07.2017 г. «О безопасности критической информационной инфраструктуры Российской Федерации» (далее ФЗ-187). Хотя с момента вступления закона в силу прошло уже больше года, он по-прежнему вызывает большое количество вопросов в стиле «а что именно имелось в виду в абзаце X статьи Y?» И если по вопросам, касающимся категорирования объектов критической информационной инфраструктуры и выполнения требований ФСТЭК России по ее защите, уже наработана определенная практика, то все, что касается государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), для многих субъектов, подпавших под действие закона, остается загадкой.
Почему появилась ГосСОПКА
Как хакерам удается взламывать информационные системы? Наглядный ответ на этот вопрос дает хронология эпидемии WannaCry. 14 марта 2017 года Microsoft опубликовало обновление MS17-010, устраняющее удаленно эксплуатируемую уязвимость SMB, 14 апреля 2017 в публичный доступ был выложен эксплойт EternalBlue, использующий эту уязвимость, а 12 мая 2017 начал свое победоносное шествие сетевой червь, использующий этот эксплойт. Точно такую же картину мы увидим и в других известных эпидемиях: Conficker, MSBlast и т. п. Предотвратить эпидемию можно было простой установкой обновления, и это — элементарная мера защиты, которая понятна любому ИТ-специалисту. И тем не менее во многих корпоративных сетях установка обновлений не проводится.
Этот пример демонстрирует общую тенденцию: каждый опубликованный разбор инцидента и почти каждое тестирование на проникновение демонстрируют наличие в ИТ-инфраструктуре атакованной организации целый комплекс очевидных недостатков: типовые уязвимости веб-приложений, словарные пароли, отсутствие элементарной защиты от перехвата трафика в локальных сетях и т. п. Эти недостатки обнаруживаются практически в каждой организации, независимо от формы собственности, государственной или отраслевой принадлежности. Такие недостатки в равной степени присутствуют и в коммерческой компании, которая имеет полное право игнорировать проблемы собственной безопасности, и в органе власти, который теоретически должен добросовестно выполнять строгие требования ФСТЭК России в области безопасности информации.
Таким образом, если государство ставит перед собой задачу защитить от хакерских атак критически важные информационные системы, то при решении этих задач приходится учитывать несколько аксиом. Во-первых, из-за организационных и технических ошибок в любой информационной системе в любой момент времени могут присутствовать уязвимости, позволяющие атаковать эту систему. На сегодняшний день нет эффективных способов избежать появления таких ошибок. Во-вторых, развитие технологий приводит к появлению новых способов проведения атак, и только через некоторое время после их возникновения появляются эффективные способы противодействия им. То есть всегда есть риск того, что в момент проведения атаки защищающаяся сторона окажется неспособна ей противодействовать из-за отсутствия необходимых знаний, опыта или технических средств. В-третьих, в каждой отдельной организации инциденты, связанные с хакерскими атаками, случаются крайне редко. В то же время для эффективного реагирования на такие атаки требуются люди с крайне редкими специальностями: реверсеры, вирусные аналитики, компьютерные криминалисты и т. п. Ни одна организация не может позволить себе держать в штате таких специалистов, если они востребованы только один-два раза в год.
Такая особенность предметной области диктует свой подход к решению проблемы. Если применяемые меры защиты не могут гарантированно предотвратить атаку, значит, одновременно с принятием превентивных мер необходимо готовиться к реагированию на такую атаку. Если невозможно обеспечить все предприятия, входящие в критическую информационную инфраструктуру, специалистами с нужными компетенциями, значит нужно создавать центры компетенции, которые будут непосредственно подключаться к противодействию атакам. Этот подход и был заложен в концепцию ГосСОПКА.
История создания ГосСОПКА
Одним из первых примеров такого противодействия стала программа EINSTEIN Агентства национальной безопасности США. По замыслу авторов программы, для эффективного противодействия хакерским атакам достаточно разместить на каналах связи систему сенсоров, сочетающих в себе сигнатурные методы выявления атак с выявлением аномалий сетевого трафика. Атаки, выявляемые с помощью сигнатур, должны блокироваться оборудованием интернет-провайдеров, а анализ аномалий сетевого трафика должен позволить специалистам US-CERT выявлять новые атаки и разрабатывать сигнатуры для них.
Идея казалась очень перспективной: все компьютерные атаки включают в себя или удаленную эксплуатацию уязвимостей, или передачу по каналам связи эксплойтов, используемых при локальной эксплуатации уязвимостей, а значит, анализ сетевого трафика способен их обнаруживать. При этом все манипуляции проводятся только на внешних каналах связи, никак не зависят от архитектуры и специфики защищаемых информационных систем и не требуют вмешательства в их функционирование. В результате в 2008-2010 годах в ряде российских ведомств были начаты работы по созданию ведомственных систем обнаружения и предупреждения компьютерных атак (СОПКА), основанных на централизованном использовании IDS/IPS.
К моменту, когда задача стала актуальной для РФ, стала очевидной неэффективность такого решения. Рост протестных движений по всему миру привел к резкому всплеску политически мотивированных атак на органы государственной власти, в том числе — на информационные ресурсы правительства США. Результаты этих атак показали, что возможности хакеров и последствия этих атак сильно недооцениваются (достаточно вспомнить 5,6 млн отпечатков пальцев в личных делах государственных служащих, компрометация которых в U.S. Office of Personnel Management была обнаружена в марте 2014 г.), а методы противодействия им сильно переоценены. И действительно, аудит системы EINSTEIN, который провел в 2015 году U.S. Government Accountability Office, выявил в ней целый ряд проблем: система неспособна выявлять атаки на веб-приложения из-за того, что в них не применяются известные эксплойты, а также из-за шифрования трафика она неспособна обнаруживать передачу вредоносных файлов в протоколах HTTPS и SMTPS. Таким образом, система практически непригодна для обнаружения самых распространенных и эффективных способов проведения атак: атак на интернет-порталы и атак на сотрудников организаций с применением методов социальной инженерии.
В результате создание ведомственных СОПКА было признано недостаточным для решения задачи, и при разработке концепции ГосСОПКА был принят принципиально иной подход. Государство не берет на себя обязанность защитить кого-либо от атак, такая защита по-прежнему остается проблемой владельца защищаемой информационной системы. Вместо этого создается система государственных и частных центров компетенции (центров ГосСОПКА), которые обслуживают субъектов критической информационной инфраструктуры. Такой центр берет на себя часть функций безопасности, необходимых для противодействия атакам на информационные системы субъектов критической информационной инфраструктуры. Как правило, к таким функциям относится:
Чтобы уметь выполнять такую работу, подобные центры тесно интегрируются с защищаемыми информационными системами: они получают полные инвентаризационные данные информационных систем (вплоть до проверки установленных обновлений и отдельных параметров настройки операционных систем и приложений), контролируют их защищенность и анализируют события, регистрируемые их программным и аппаратным обеспечением. При этом они не заменяют собой собственные системы защиты информационных систем: в нормальных условиях все то же самое владельцы объектов КИИ должны делать самостоятельно, а центр ГосСОПКА своей деятельностью лишь компенсирует возможные ошибки.
ГосСОПКА в контексте ФЗ «О безопасности критической информационной инфраструктуры РФ»
Описанная выше компенсационная роль ГосСОПКА отражена в нормативных документах о безопасности КИИ. С одной стороны, владельцы значимых объектов КИИ обязаны выполнять требования ФСТЭК России по обеспечению безопасности этих объектов (ч. 3 статьи 9 ФЗ-187) и создавать системы защиты этих объектов (статья 10 ФЗ). В соответствии с требованиями ФСТЭК (Приказ ФСТЭК России от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации») в системе защиты должны быть реализованы базовые меры, многие из которых непосредственно направлены на противодействие компьютерным атакам:
При этом владелец имеет право самостоятельно решать, как именно будут реализованы эти меры защиты (ч. 1 статьи 9 ФЗ-187). Более того, эти меры защиты являются всего лишь базовыми, то есть необходимыми, но не достаточными для обеспечения безопасности объекта КИИ. В соответствии с процедурой, описанной в приказе №239, владелец такого объекта должен самостоятельно провести анализ угроз, актуальных для объекта, самостоятельно определить, как должны быть реализованы базовые меры защиты, а если их окажется недостаточно для защиты от угроз — самостоятельно усилить базовые меры защиты или разработать дополнительные.
В нормативной базе КИИ отсутствует привычное по государственным информационным системам требование об обязательной сертификации средств защиты — такое требование установлено только для государственных информационных систем, являющихся объектами КИИ. Остальные организации вправе использовать любые средства защиты при условии, что их соответствие требованиям безопасности проверено в результате испытаний или приемки, которые субъект КИИ может провести самостоятельно. Исчезло также понятие аттестации информационной системы на соответствие требованиям безопасности информации — подобная аттестация часто воспринимается владельцами информационных как индульгенция на случай инцидента. Вместо этого, в соответствии все с тем же приказом №239, перед вводом информационной системы в эксплуатацию ее владелец должен провести анализ уязвимостей (в том числе тестирование на проникновение) и убедиться, что все уязвимости устранены или не могут быть использованы нарушителем для реализации угроз.
Но это не является его обязанностью: в нормативных документах подобного требования нет. К обязанностям, установленным законом, относятся необходимость информировать НКЦКИ об инцидентах (в том числе телефонным звонком и официальным письмом) и оказывать содействие сотрудникам этого ведомства. Все это субъекты КИИ могут делать и не становясь субъектами ГосСОПКА. Субъектов ГосСОПКА можно разделить на несколько видов, у каждого из которых свои мотивы принимать участие в ГосСОПКА:
Таким образом, в контексте ФЗ-187 ГосСОПКА охватывает три категории организаций:
Функции центров ГосСОПКА
Центр ГосСОПКА создается как структурное подразделение организации, ориентированное на решение определенного набора задач по противодействию компьютерным атакам. К таким задачам относятся:
Выявление уязвимостей является, наверное, ключевым элементом противодействия атакам, и речь идет не только об устранении предпосылки для проведения атаки, использующей такую уязвимость. Не всякую уязвимость можно устранить в короткие сроки: иногда для этого требуется заменить уязвимые устройства, и таких устройств в инфраструктуре могут быть десятки тысяч. Знание уязвимости позволяет определить возможные способы ее использования нарушителем, следы, которые он при этом оставит, а главное — заранее спланировать действия по реагированию.
Выявление уязвимостей требует хорошего знания защищаемой инфраструктуры, и для этого требуется инвентаризация. Инвентаризация предусматривает сбор подробной технической информации о каждом сервере, каждом персональном компьютере и каждом телекоммуникационном устройстве в защищаемой инфраструктуре, включая определение моделей аппаратного обеспечения, состава установленных программных средств и установленных обновлений безопасности. Такая информация позволяет быстро реагировать на некоторые виды атак: например, при появлении публикаций о новом сетевом черве можно сразу же определить все узлы сети, потенциально подверженные такой атаке, и принять необходимые меры.
Анализ угроз также является необходимой составляющей подготовки к реагированию. Не секрет, что при создании информационных систем разработка моделей угроз сводится к простой формальности, и многие актуальные угрозы при создании системы защиты не рассматриваются. Центр ГосСОПКА оценивает архитектуру и состав защищаемых информационных систем с позиций нападающей стороны и определяет, какие атаки могут быть проводиться на них при их текущем состоянии. Для этого используются как результаты выявления уязвимостей, так и опыт, накопленный в реагировании на атаки, проводившиеся ранее на другие информационные системы.
При реагировании на атаки центр ГосСОПКА сочетает в себе роли координатора и экспертной группы. Для атак, с которыми центру уже приходилось сталкиваться, разрабатываются сценарии реагирования (плейбуки), определяющие необходимые действия персонала по локализации атаки и ликвидации ее последствий. Если с атакой раньше сталкиваться не приходилось, центр формирует рабочую группу из представителей персонала защищаемой системы и своих экспертов, и решения вырабатываются непосредственно в процессе реагирования.
Не на каждую атаку удается отреагировать адекватно. Решения, принятые в спешке в случае неизвестной атаки, не всегда оказываются удачными, даже в случае известных атак готовые плейбуки не всегда оказываются адекватными. Поэтому после каждого реагирования проводится разбор полетов, по итогам которого принимаются решения о совершенствовании защиты информационных систем и работы собственно центра ГосСОПКА.
Таким образом, работа центра ГосСОПКА строится на принципах самосовершенствования: допустима неудача в реагировании на отдельный инцидент, но каждая такая неудача должна приводить к совершенствованию защиты.
Взаимодействие субъекта КИИ с ГосСОПКА
Путаница в понятии «субъект» («субъект КИИ» или «субъект ГосСОПКА») порождает путаницу в вопросах взаимодействия субъектов КИИ с ГосСОПКА.
Таким образом, центры ГосСОПКА, обслуживая своих клиентов, выступают в роли посредников между субъектами КИИ и НКЦКИ.
Выводы
Структура ГосСОПКА порождает своеобразное частно-государственное партнерство в вопросах противодействия компьютерным атакам. Угроза хакерских атак актуальна и для органов власти, и для бизнеса, но в сферах, определенных законом, они представляют особую опасность для общества. Самостоятельно защищаться от таких атак способны далеко не все. В рамках ГосСОПКА обеспечивается концентрация компетенций, необходимых для предотвращения атак и реагирования на них, и воспользоваться такими компетенциями могут как представители крупного бизнеса, так и небольшие компании и даже индивидуальные предприниматели. При этом государство в лице НКЦКИ выступает гарантом добросовестности центров ГоСОПКА, устанавливая требования к их деятельности, осуществляя надзор этой деятельностью и даже непосредственно участвуя в реагировании на некоторые атаки.