Обязательность подключения к ГосСОПКА
Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.
Нетрудно понять производителей средств, которые могут использоваться для подключения к ГосСОПКА, в их попытке не то чтобы обмануть или ввести заказчиков в заблуждение, а скорее - не совсем корректно расставить акценты в обосновании обязательности использования их решений.
Вот примерно такие рассуждения можно порой встретить в презентациях, статьях и на вебинарах:
…многие предприятия %ОТРАСЛЬ_ПРОМЫШЛЕННОСТИ% попали под действие 187-ФЗ и должны будут подключаться к системе ГосСОПКА. %КЛАСС_СИСТЕМ% — это основные системы, которые будут категорироваться как объекты КИИ, и в ГосСОПКА необходимо будет отправлять инциденты в первую очередь из них. %НАЗВАНИЕ_ПРОДУКТА% тут незаменим.
Между прочим, в третьей серии вебинаров УЦСБ про безопасность КИИ (на 26 минуте) есть тоже весьма неоднозначный слайд по этой теме:
Тут, правда, хотя бы речь про 1 и 2 категорию значимости, но опять же: “Обязательно”. Давайте разбираться, что и кто имеет (должен иметь) в виду на самом деле.
Начать разумнее всего, понятно, с самого Федерального закона 187-ФЗ “О безопасности КИИ”, где и определена ГосСОПКА (статья 5 часть 1):
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. В целях настоящей статьи под информационными ресурсами Российской Федерации понимаются информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации.
Впрочем, для поставленного вопроса не так важно, что такое ГосСОПКА: важнее понять, какие обязанности есть у субъектов КИИ в отношении неё. Обязанности эти определены в статье 9 того же 187-ФЗ и определены для всех субъектов КИИ в части 2 и субъектов КИИ с значимыми объектами в части 3 (ниже выдержка конкретно про ГосСОПКА):
2. Субъектыкритической информационной обязаны: 1) незамедлительно информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также Центральный банк Российской Федерации (в случае, если субъект критической информационной инфраструктуры осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в установленном указанным федеральным органом исполнительной власти порядке (в банковской сфере и в иных сферах финансового рынка указанный порядок устанавливается по согласованию с Центральным банком Российской Федерации)
3. Субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, наряду с выполнением обязанностей, предусмотренных частью 2 настоящей статьи, также обязаны: 1) соблюдать требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;
С частью 2 (пункт 1) всё понятно: “обязаны незамедлительно информировать о компьютерных инцидентах”, - речь явно про ГосСОПКА. А вот часть 3 (тоже пункт 1) для его связи с ГосСОПКА надо дополнить ещё цитатами - из статьи 10 187-ФЗ:
1. В целях обеспечения безопасности значимого объекта критической информационной инфраструктуры субъект критической информационной инфраструктуры в соответствии с требованиями к созданию систем безопасности таких объектов и обеспечению их функционирования, утвержденными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, создает систему безопасности такого объекта и обеспечивает ее функционирование.
2. Основными задачами системы безопасности значимого объекта критической информационной инфраструктуры являются:
…
4) непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Итак, все субъекты обязаны информировать о компьютерных инцидентах в установленном порядке (статья 9 часть 2), а субъекты с значимыми объектами КИИ обязаны создать систему безопасности, одной из задач которой является непрерывное взаимодействие с ГосСОПКА (статья 10 часть 3 и статья 10 части 1 и 2).
Для начала определимся с тем, какой именно порядок установлендля информирования о компьютерных инцидентах. Устанавливать его должен федеральный орган исполнительной власти (ФОИВ), уполномоченный в области ГосСОПКА - т.е. ФСБ России (статья 6 часть 4 пункты 5 и 6 187-ФЗ).
Данный ФОИВ возложенную на него задачу выполнил, издав Приказ ФСБ России №367 от 24.07.2018 «Об утверждении Перечня информации, представляемой в ГосСОПКА и Порядка представления информации в ГосСОПКА».
В Приложении №1 (Перечень…) к этому приказу в пункте 5 речь идёт как раз про информацию “о компьютерных инцидентах, связанных с функционированием объектов критической информационной инфраструктуры”, а в Приложении №2 в пункте 3 в свою очередь с одной стороны действительно написано:
3. Информация, указанная в пункте 5 Перечня, представляется субъектами критической информационной инфраструктуры в ГосСОПКА путем ее направления в НКЦКИ в соответствии с определенными НКЦКИ форматами с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения и запросов в рамках информационного взаимодействия критической информационной инфраструктуры, а также являющимися субъектами критической информационной уведомлений с субъектами с иными не инфраструктуры органами и организациями, в том числе иностранными и международными (далее - техническая инфраструктура НКЦКИ).
Но в следующем же пункте сразу сделано послабление:
4. В случае отсутствия подключения к технической инфраструктуре НКЦКИ информация направляется посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети «Интернет» по адресу: «http://cert.gov.ru».
Таким образом получается, что информировать можно как через техническую инфраструктуру НКЦКИ (“подключение к ГосСОПКА”), так и без неё.
Хорошо - абсолютно всем субъектам КИИ подключаться к ГосСОПКА не надо, с частью 2 статьи 9 разобрались. Теперь можно вернуться к части 3 статьи 9 и статье 10, где речь про субъектов КИИ с значимымим объектами.
Как уже приводилось выше, непосредственно в самом 187-ФЗ есть только требование по непрерывному взаимодействию с ГосСОПКА. Можно только предполагать, что законодатель скрыл за этим требованием. Формально, выделенный человек, отправляющий письма об инцидентах с задержкой не менее, чем в 24 часа, как это установлено в Приказе ФСБ №367, а также регулярно читающий информационные рассылки (или какой там механизм будет предусмотрен для обратной связи от ГосСОПКА?), вполне может считаться вариантом непрерывного взаимодействия. Хотя, конечно, ситуация с ручным выполнением этих операций уже начинает выглядеть несколько надуманной и натянутой.
Ещё более очевидной необходимость использовать именно технические средства становится при изучении приказов ФСТЭК, устанавливающих требования к созданию систем безопасности (Приказ ФСТЭК №235) и требования по обеспечению безопасности (Приказ ФСТЭК №239) значимых объектов КИИ.
Приказ №235 ещё раз фиксирует, что:
6. Системы безопасности должны обеспечивать:…непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, которое осуществляется в соответствии со статьей 5 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».
А в Приказе №239 в свою очередь можно найти целый ряд требований, которые логичнее/целесообразнее/удобнее (подберите нужное слово) выполнять именно техническими средствами:
Собственно, вот и вся разгадка про обязательность подключения к ГосСОПКА. Как всё на том же упоминавшемся выше вебинаре ответил мой коллега Константин Саматов, “грубо говоря, для объектов первой и второй категории необходимо организовать подключение к техническим средствам ГосСОПКа”: https://youtu.be/thrZPNf5WCI?t=2604 (с 43 минуты 24 секунды).
Резюме: В текущих версиях опубликованных нормативно-правовых актов нет однозначного требования об обязательности подключения к ГосСОПКА и использования для взаимодействия с нею каких-либо технических средств. Вместе с тем для эффективной реализации требований по непрерывности взаимодействия для сколько-нибудь крупных объектов КИИ, а особенно для реализации мер из состава набора мер в Приказе ФСТЭК №239 для значимых объектов 1 и 2 категории, на практике использовать технические средства скорее всего всё равно придётся.
Кстати, на встрече ФСТЭК с блогерами прозвучало, что “у нас в стране всё теперь средства ГоСОПКА” =) Действительно, прочтите ещё раз определение из части 3 статьи 5 187-ФЗ и попробуйте подобрать какое-либо средство защиты информации, под него не попадающее:
3. Средствами, предназначенными для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, являются технические, программные, программно-аппаратные и иные средства для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации.
Комментарии из Telegram
Комментарии ВКонтакте