Эх, сколько было разговоров о том, что ЦБ договорился с ФСБ о роли ФинЦЕРТ как центра ГосСОПКА. Что банкам не надо будет дублировать информацию о компьютерных инцидентах в НКЦКИ. Смотрим последнюю версию проекта приказа ФСБ от 23.11.2018 и понимаем, что русский язык очень богат.
«5. В случае, если компьютерный инцидент связан с функционированием объекта критической информационной инфраструктуры, принадлежащего на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, информация о компьютерном инциденте наряду с НКЦКИ направляется в Банк России с использованием технической инфраструктуры Банка России в сроки, установленные пунктом 4 настоящего Порядка.
При отсутствии у субъекта критической информационной инфраструктуры, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, подключения к технической инфраструктуре Банка России информация передается субъектом критической информационной инфраструктуры в Банк России посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера), указанные на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу: "https://www.cbr.ru/fincert".»
Хочешь читай «банк информирует НКЦКИ через техническую инфраструктура ЦБ», а хочешь «наряду с НКЦКИ информируй ЦБ через его инфраструктуру».
Обратите внимание на вольность трактовки определения субъект и объект КИИ из 187-ФЗ, не объект функционирует в банковской сфере, а субъект осуществляет деятельность в банковской сфере!
П. 14 «Субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, осуществляющие деятельность в банковской сфере и в иных сферах финансового рынка, наряду с НКЦКИ информируют Банк России в соответствии с пунктом 5 настоящего Порядка.» ясности не сильно добавляет. Вообще непонятно зачем он добавлен.
Появились временные рамки для оповещения «4. Информация о компьютерном инциденте, связанном с функционированием значимого объекта критической информационной инфраструктуры, направляется субъектом критической информационной инфраструктуры в НКЦКИ незамедлительно, в срок не более 3 часов с момента обнаружения компьютерного инцидента, а в отношении других объектов критической информационной инфраструктуры - в срок не более 24 часов с того же момента.»
Остальные правки косметические.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
Проект Приказа ФСБ России "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации" (по состоянию на 23.11.2018) (подготовлен ФСБ России) |
|
Приложение. Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации |
Приложение. Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации |
1.
В
случае отсутствия подключения к данной технической инфраструктуре информация
технические
характеристики и состав значимых объектов
|
1. Настоящий
Порядок определяет порядок информирования ФСБ России субъектами
критической информационной инфраструктуры Российской Федерации (далее - критическая информационная инфраструктура) о
компьютерных инцидентах, а также реагирования на компьютерные инциденты и
принятия мер по ликвидации последствий компьютерных атак, проведенных в
отношении значимых объектов критической информационной инфраструктуры.
Настоящий Порядок также определяет порядок информирования
Банка России о компьютерных инцидентах субъектами критической информационной
инфраструктуры, которые осуществляют деятельность в банковской сфере и в иных
сферах финансового рынка.
2. Субъекты критической информационной инфраструктуры
информируют ФСБ России обо всех компьютерных инцидентах, связанных с
функционированием принадлежащих им на праве собственности, аренды или ином
законном основании объектов критической
информационной инфраструктуры.
3. Информирование осуществляется путем
направления информации в Национальный координационный центр по компьютерным
инцидентам (далее - НКЦКИ) в соответствии с определенными НКЦКИ форматами
представления информации о компьютерных инцидентах в государственную систему
обнаружения, предупреждения и ликвидации последствий компьютерных атак на
информационные ресурсы Российской Федерации с использованием технической
инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и
хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами
критической информационной инфраструктуры,
а также с иными, не являющимися
субъектами критической информационной
инфраструктуры, органами и организациями, в том числе иностранными и
международными.
В
случае отсутствия подключения к данной технической инфраструктуре информация передается субъектом критической информационной
инфраструктуры посредством почтовой,
факсимильной или электронной связи на
адреса (телефонные номера) НКЦКИ, указанные на официальном
сайте в информационно-телекоммуникационной сети "Интернет" по
адресу: "http://cert.gov.ru".
4. Информация о компьютерном инциденте, связанном с функционированием значимого объекта
критической информационной инфраструктуры, направляется субъектом критической информационной инфраструктуры в
НКЦКИ незамедлительно, в срок не более 3
часов с момента обнаружения компьютерного инцидента, а в отношении других
объектов критической информационной инфраструктуры - в срок не более 24 часов
с того же момента.
5. В случае, если компьютерный инцидент
связан с функционированием объекта критической
информационной инфраструктуры, принадлежащего на праве собственности,
аренды или ином законном основании субъекту критической
информационной инфраструктуры, который осуществляет деятельность в
банковской сфере и в иных сферах финансового рынка, информация о компьютерном инциденте наряду с НКЦКИ направляется в Банк России с использованием
технической инфраструктуры Банка России в сроки, установленные пунктом
4 настоящего Порядка.
При отсутствии у субъекта критической информационной
инфраструктуры, который осуществляет деятельность в банковской сфере и в иных
сферах финансового рынка, подключения к технической инфраструктуре Банка
России информация передается субъектом критической информационной
инфраструктуры в Банк России посредством почтовой, факсимильной или
электронной связи на адреса (телефонные номера), указанные на официальном
сайте Банка России в информационно-телекоммуникационной сети
"Интернет" по адресу: "https://www.cbr.ru/fincert".
6. Субъект критической информационной инфраструктуры
осуществляет реагирование на компьютерные инциденты, связанные с функционированием
принадлежащих ему на праве собственности, аренды или ином законном основании
значимых объектов критической информационной
инфраструктуры, и принимает меры по ликвидации последствий проведенных
в отношении этих объектов компьютерных атак силами подразделений и
должностных лиц, которые принимают участие в обнаружении, предупреждении и
ликвидации последствий компьютерных атак и в реагировании на компьютерные
инциденты (далее - силы субъекта критической
информационной инфраструктуры), а в случаях, предусмотренных
регламентом взаимодействия при реагировании на компьютерные инциденты и
принятии мер по ликвидации последствий компьютерных атак (далее - Регламент), - с привлечением подразделений и
должностных лиц ФСБ России.
7. В целях подготовки к реагированию на
компьютерные инциденты и принятию мер по ликвидации последствий компьютерных
атак субъектом критической информационной
инфраструктуры, которому на праве собственности, аренды или ином
законном основании принадлежат значимые объекты критической
информационной инфраструктуры, разрабатывается план реагирования на
компьютерные инциденты и принятия мер по ликвидации последствий компьютерных
атак (далее - План), включающий:
технические
характеристики и состав значимых объектов критической
информационной инфраструктуры;
|
силы
субъекта
|
силы
субъекта критической информационной
инфраструктуры, ответственные за проведение мероприятий по
реагированию на компьютерные инциденты и принятие мер по ликвидации
последствий компьютерных атак.
План, разрабатываемый субъектами критической
информационной инфраструктуры, которым на праве собственности, аренды или ином
законном основании принадлежат значимые объекты критической информационной
инфраструктуры, осуществляющими деятельность в банковской сфере и в иных
сферах финансового рынка, дополнительно включает условия привлечения
подразделений и должностных лиц Банка России к проведению мероприятий по
реагированию на компьютерные инциденты и принятию мер по ликвидации
последствий компьютерных атак и согласовывается с Банком России.
8. Субъект критической
информационной инфраструктуры, которому на праве собственности, аренды
или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры,
не реже одного раза в год организует и проводит тренировки по отработке
мероприятий Плана. По результатам тренировок в План вносятся необходимые коррективы.
9. Для организации мероприятий по
реагированию на компьютерные инциденты и принятию мер по ликвидации
последствий компьютерных атак с привлечением подразделений и должностных лиц
ФСБ России субъектом критической
информационной инфраструктуры, которому на праве собственности, аренды
или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры,
во взаимодействии с НКЦКИ разрабатывается, согласовывается с Центром защиты информации и специальной связи ФСБ
России и утверждается Регламент.
10. В Регламенте определяются:
|
порядок
проведения субъектом
первичный
анализ компьютерных инцидентов, установление их связи с компьютерными
атаками;
|
порядок
проведения субъектом критической
информационной инфраструктуры, которому на праве собственности, аренды
или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры,
совместно с привлекаемыми подразделениями и должностными лицами ФСБ России к проведению мероприятий по реагированию на
компьютерные инциденты и принятию мер по ликвидации последствий компьютерных
атак в отношении значимых объектов критической
информационной инфраструктуры.
11. Субъект критической информационной инфраструктуры,
которому на праве собственности, аренды или ином законном основании
принадлежат значимые объекты критической
информационной инфраструктуры, в ходе реагирования на компьютерные
инциденты и принятия мер по ликвидации последствий компьютерных атак
осуществляет:
первичный
анализ компьютерных инцидентов (включая
приоритезацию), установление их связи с компьютерными атаками;
|
определение
в соответствии с Регламентом необходимости привлечения к реагированию на
компьютерные инциденты и принятию мер по ликвидации последствий компьютерных
атак
очередность
значимых объектов
состав
сил субъекта
возможность
восстановления функционирования значимого объекта
|
определение
в соответствии с Регламентом необходимости привлечения подразделений и должностных лиц ФСБ России к
реагированию на компьютерные инциденты и принятию мер по ликвидации
последствий компьютерных атак.
12. Непосредственно перед принятием мер
по ликвидации последствий компьютерных атак субъект критической информационной инфраструктуры, которому на праве
собственности, аренды или ином законном основании принадлежат значимые
объекты критической информационной
инфраструктуры, определяет:
очередность
значимых объектов критической информационной
инфраструктуры (их структурных элементов), в отношении которых будут
приниматься меры по ликвидации последствий компьютерных атак;
состав
сил субъекта критической информационной
инфраструктуры и их задачи в рамках принимаемых мер;
возможность
восстановления функционирования значимого объекта критической информационной инфраструктуры;
|
13. В ходе ликвидации последствий
компьютерных атак субъектом критической
информационной инфраструктуры, которому на праве собственности, аренды
или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры,
принимаются меры по восстановлению функционирования и проверке
работоспособности значимого объекта критической
информационной инфраструктуры.
14. О результатах мероприятий по
реагированию на компьютерные инциденты и принятию мер по ликвидации
последствий компьютерных атак субъект критической
информационной инфраструктуры, которому на праве собственности, аренды
или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры,
информирует НКЦКИ в срок не более 48
часов после завершения таких мероприятий в соответствии с пунктом 3
настоящего Порядка.
|
|
<фрагмент не существовал> |
Субъекты критической информационной инфраструктуры,
которым на праве собственности, аренды или ином законном основании
принадлежат значимые объекты критической информационной инфраструктуры,
осуществляющие деятельность в банковской сфере и в иных сферах финансового
рынка, наряду с НКЦКИ информируют Банк России в соответствии с пунктом
5 настоящего Порядка.
|
По-моему, вольности трактовки понятий субъект и объект КИИ в рассматриваемом документе нет. Если смотреть букву Закона, то для понятия объект КИИ сфера функционирования вообще никак не характерна, это должны быть некие ИС/ИТС/АСУ, принадлежащие субъекту (и все). Но вот субъект КИИ уже должен иметь хотя бы одну ИС/ИТС/АСУ из ряда сфер. Т.е. логика вполне понятная: если организация функционирует в кредитно-финансовой сфере, то ряд ИС/ИТС неотвратимо будут тоже функционировать в этой же сфере, а уж что организация назначит объектами КИИ - это проблемы комиссии по категорированию.
ОтветитьУдалитьКонечно, ввиду некоторой рассогласованности Закона и ПП-127 ФСТЭК пытается что-то вложить в головы заинтересованных лиц посредством толкования (например, что ОКИИ - это только те ИС/ИТС/АСУ, что попали в Перечень ОКИИ, подлежащих категорированию) определенную точку мировоззрения, но при этом, во-первых, сами же и утверждают, что толковать ничего не имеют права, а, во-вторых, делают это устно, что к делу и не пришьешь.
Но тем не менее, если смотреть в Закон, то сфера функционирования характерна для субъекта КИИ (и ФСТЭК это подтверждает, побуждая оперировать ОКВЭД, Уставами, а это характеристики не ИС/ИТС/АСУ, а организации-субьекта), а объекту КИИ достаточно просто принадлежать субъекту, тем самым вольностей в трактовке этих понятий нет.
В проекте приказа используется формулировка "осуществляет деятельность", которая вообще для определения субъектов в 187-фз не используется.
ОтветитьУдалитьТут все проще, эта формулировка прописана в ст.9 п.2 187-фз, но там она логично смотрится, а в проекте приказа выглядит криво
ОтветитьУдалитьЛично для меня такое словосочетание представляется необходимым, так как даёт понять, что сия норма распространяется не на всех субъектов, а только для определённого круга, охарактеризованного конкретной сферой функционирования.
ОтветитьУдалить