В рамках исполнения Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» субъектам критической информационной инфраструктуры (далее по тексту - КИИ) необходимо обеспечить взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА). В рамках данной статьи автор рассказывает о наиболее часто встречающихся в его практике проблемных вопросах указанного взаимодействия и дает ответы на них.
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее по тексту – ГосСОПКА) представляет собой единый централизованный, территориально распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак. Силы обнаружения – подразделения и специально выделенные сотрудники, а также Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ), осуществляющий координацию сил обнаружения. Средства – технологии, технические, программные, правовые и организационных средства субъектов ГосСОПКА. Субъекты ГосСОПКА:
Основным назначением ГосСОПКА является обеспечение защищенности информационных ресурсов Российской Федерации от компьютерных атак и штатного функционирования данных ресурсов в условиях возникновения компьютерных инцидентов, вызванных компьютерными атаками.
Взаимодействие субъекта КИИ с ГосСОПКА возможно в двух вариантах:
Одним из первых проблемных вопросов, стоящих перед субъектом КИИ, является вопрос об обязательности подключения к технической инфраструктуре НКЦКИ для обмена информацией с ГосСОПКА. В явном виде действующее законодательство не предусматривает обязанности по подключению субъекта КИИ к технической инфраструктуре НКЦКИ. Часть 2 статьи 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» предусматривает лишь обязанность субъекта КИИ информировать о компьютерных инцидентах ФСБ России (по сути - НКЦКИ) и (или) Центральный банк Российской Федерации (в случае, если субъект КИИ осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в установленном ими порядке.
Порядок информирования определен приказом ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации» (далее – Приказ ФСБ России № 282).
Согласно Приказу ФСБ России № 282, информирование осуществляется путем направления информации в НКЦКИ в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в ГосСОПКА с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ, а также с иными, не являющимися субъектами КИИ, органами и организациями, в том числе иностранными и международными.
В случае отсутствия подключения к данной технической инфраструктуре информация передается субъектом КИИ посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети «Интернет» по адресу: http://cert.gov.ru.
Таким образом, Приказ ФСБ России № 282 делает акцент на необходимости использования при информировании технической инфраструктуры НКЦКИ и допускает в качестве «запасного варианта» альтернативные способы предоставления информации в ГосСОПКА.
Кроме того, для значимых объектов КИИ субъекту необходимо создать и обеспечить функционирование системы безопасности, одной из задач которой является непрерывное взаимодействие с ГосСОПКА (п. 4 ч. 2 ст. 10 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»).
Помимо нормативных требований следует учитывать, что обнаруживать и предотвращать компьютерные атаки, а также хранить, накапливать, защищать информацию об инцидентах и передавать ее в ГосСОПКА целесообразнее с использованием технических средств. Также, следует отметить, что ГосСОПКА не только собирает информацию, но и предоставляет актуальную информацию об атаках на ресурсы субъекта и другую необходимую для обеспечения безопасности объектов КИИ информацию, которую лучше получать оперативно.
Поскольку взаимодействие субъекта КИИ с ГосСОПКА осуществляется, в том числе, в целях исполнения обязанности по информированию о компьютерных инцидентах, произошедших на объектах КИИ, то возникает вопрос все объекты КИИ попадают под данное требование или только значимые?
Приказ ФСБ России № 282 устанавливает срок, в который субъект КИИ должен передать информацию в ГосСОПКА (проинформировать НКЦКИ):Защищенное подключение может быть осуществлено одним из следующих способов:
Технически, взаимодействие с FinCERT строится следующим образом:
Передача информации в ГосСОПКА осуществляется с использованием форматов передачи данных, утвержденных ФСБ России.
При этом, следует учесть, что в соответствии с Приказом ФСБ России № 282 субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка обязаны информировать о компьютерных инцидентах на принадлежащих им объектах КИИ Центральный банк и НКЦКИ. При этом, как было отмечено, FinCERT предоставляет техническую возможность для передачи информации в ГосСОПКА.
Следующим вопросом, который встает перед субъектом КИИ, является вопрос об обязательности лицензий в области защиты информации.Для взаимодействия с ГосСОПКА лицензии не требуются, оно осуществляется в рамках исполнения обязанностей, возложенных на субъекта КИИ статьей 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Если субъект КИИ намерен создать корпоративный (ведомственный) центр ГосСОПКА для собственных нужд (только в рамках своего юридического лица), никаких лицензий также не требуются.
В рамках работы в холдинговых структурах или для предоставления коммерческих услуг:
Однако, помимо преимуществ, аутсорсинг услуг центра мониторинга и реагирования на инциденты имеет и недостатки. Основной недостаток в том, что ответственность перед государством несет субъект КИИ, а не подрядчик, и это необходимо понимать. Другой недостаток – это утрата компетенций в случае отказа от подрядчика, однако данный недостаток не столь существенен, т.к. рынок данных услуг высококонкурентен и выбор имеется.
В заключении следует отметить, что в указанной статье рассмотрены лишь наиболее распространенные, исходя из практики автора, проблемные вопросы, возникающие у субъектов КИИ в рамках организации взаимодействия с ГосСОПКА. Бесспорно, количество проблемных моментов, наблюдаемых в настоящее время в виду «свежести» нормативно-правовых актов, регулирующих данную сферу общественных отношений, гораздо больше, чем может быть рассмотрено в рамках данной статьи в силу ограниченности ее объема.
Источник: журнал Информационная безопасность, №4, 2019
Наши специалисты рассмотрят заявку и свяжутся с вами в ближайшее время
Наши специалисты рассмотрят заявку и свяжутся с вами в ближайшее время
Наши специалисты рассмотрят заявку и свяжутся с вами в ближайшее время
Наши специалисты рассмотрят заявку и свяжутся с вами в ближайшее время