среда, 19 декабря 2018 г.

ФинЦЕРТ & НКЦКИ


     Эх, сколько было разговоров о том, что ЦБ договорился с ФСБ о роли ФинЦЕРТ как центра ГосСОПКА. Что банкам не надо будет дублировать информацию о компьютерных инцидентах в НКЦКИ. Смотрим последнюю версию проекта приказа ФСБ от 23.11.2018 и понимаем, что русский язык очень богат.


«5. В случае, если компьютерный инцидент связан с функционированием объекта критической информационной инфраструктуры, принадлежащего на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, информация о компьютерном инциденте наряду с НКЦКИ направляется в Банк России с использованием технической инфраструктуры Банка России в сроки, установленные пунктом 4 настоящего Порядка.

При отсутствии у субъекта критической информационной инфраструктуры, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, подключения к технической инфраструктуре Банка России информация передается субъектом критической информационной инфраструктуры в Банк России посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера), указанные на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу: "https://www.cbr.ru/fincert".»

     Хочешь читай «банк информирует НКЦКИ через техническую инфраструктура ЦБ», а хочешь «наряду с НКЦКИ информируй ЦБ через его инфраструктуру».
     Обратите внимание на вольность трактовки определения субъект и объект КИИ из 187-ФЗ, не объект функционирует в банковской сфере, а субъект осуществляет деятельность в банковской сфере!

П. 14 «Субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, осуществляющие деятельность в банковской сфере и в иных сферах финансового рынка, наряду с НКЦКИ информируют Банк России в соответствии с пунктом 5 настоящего Порядка.» ясности не сильно добавляет. Вообще непонятно зачем он добавлен.

     Появились временные рамки для оповещения «4. Информация о компьютерном инциденте, связанном с функционированием значимого объекта критической информационной инфраструктуры, направляется субъектом критической информационной инфраструктуры в НКЦКИ незамедлительно, в срок не более 3 часов с момента обнаружения компьютерного инцидента, а в отношении других объектов критической информационной инфраструктуры - в срок не более 24 часов с того же момента.»

    Остальные правки косметические.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite


Проект Приказа ФСБ России
"Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
(по состоянию на 23.11.2018)
(подготовлен ФСБ России)
 

Приложение. Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации


Приложение. Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации

1. Субъекты критической информационной инфраструктуры Российской Федерации (далее - КИИ) информируют ФСБ России обо всех компьютерных инцидентах, связанных с функционированием принадлежащих им на праве собственности, аренды или ином законном основании объектов КИИ.
2. Информирование осуществляется путем направления субъектом КИИ информации в Национальный координационный центр по компьютерным инцидентам (далее - НКЦКИ) в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ, а также с иными не являющимися субъектами КИИ органами и организациями, в том числе иностранными и международными.
В случае отсутствия подключения к данной технической инфраструктуре информация направляется посредством факсимильной, электронной и телефонной связи на адреса (телефонные номера) НКЦКИ, указанные на сайте в информационно-телекоммуникационной сети "Интернет" по адресу: "http://cert.gov.ru".
3. Информация о компьютерном инциденте направляется субъектом КИИ в НКЦКИ незамедлительно.
4. В случае, если компьютерный инцидент связан с функционированием объекта КИИ, принадлежащего на праве собственности, аренды или ином законном основании субъекту КИИ, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, одновременно с информированием ФСБ России о таком компьютерном инциденте также информируется Центральный банк Российской Федерации.
5. Субъект КИИ осуществляет реагирование на компьютерные инциденты, связанные с функционированием принадлежащих ему на праве собственности, аренды или ином законном основании значимых объектов КИИ, и принимает меры по ликвидации последствий проведенных в отношении этих объектов компьютерных атак силами подразделений и должностных лиц, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты (далее - силы субъекта КИИ), а в случаях, предусмотренных регламентом взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак (далее - Регламент) - с привлечением подразделений и должностных лиц ФСБ России.
6. В целях подготовки к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектом КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, разрабатывается план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (далее - План), включающий:
технические характеристики и состав значимых объектов КИИ;
1. Настоящий Порядок определяет порядок информирования ФСБ России субъектами критической информационной инфраструктуры Российской Федерации (далее - критическая информационная инфраструктура) о компьютерных инцидентах, а также реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры.
Настоящий Порядок также определяет порядок информирования Банка России о компьютерных инцидентах субъектами критической информационной инфраструктуры, которые осуществляют деятельность в банковской сфере и в иных сферах финансового рынка.
2. Субъекты критической информационной инфраструктуры информируют ФСБ России обо всех компьютерных инцидентах, связанных с функционированием принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры.
3. Информирование осуществляется путем направления информации в Национальный координационный центр по компьютерным инцидентам (далее - НКЦКИ) в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами критической информационной инфраструктуры, а также с иными, не являющимися субъектами критической информационной инфраструктуры, органами и организациями, в том числе иностранными и международными.
В случае отсутствия подключения к данной технической инфраструктуре информация передается субъектом критической информационной инфраструктуры посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: "http://cert.gov.ru".
4. Информация о компьютерном инциденте, связанном с функционированием значимого объекта критической информационной инфраструктуры, направляется субъектом критической информационной инфраструктуры в НКЦКИ незамедлительно, в срок не более 3 часов с момента обнаружения компьютерного инцидента, а в отношении других объектов критической информационной инфраструктуры - в срок не более 24 часов с того же момента.
5. В случае, если компьютерный инцидент связан с функционированием объекта критической информационной инфраструктуры, принадлежащего на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, информация о компьютерном инциденте наряду с НКЦКИ направляется в Банк России с использованием технической инфраструктуры Банка России в сроки, установленные пунктом 4 настоящего Порядка.
При отсутствии у субъекта критической информационной инфраструктуры, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, подключения к технической инфраструктуре Банка России информация передается субъектом критической информационной инфраструктуры в Банк России посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера), указанные на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу: "https://www.cbr.ru/fincert".
6. Субъект критической информационной инфраструктуры осуществляет реагирование на компьютерные инциденты, связанные с функционированием принадлежащих ему на праве собственности, аренды или ином законном основании значимых объектов критической информационной инфраструктуры, и принимает меры по ликвидации последствий проведенных в отношении этих объектов компьютерных атак силами подразделений и должностных лиц, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты (далее - силы субъекта критической информационной инфраструктуры), а в случаях, предусмотренных регламентом взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак (далее - Регламент), - с привлечением подразделений и должностных лиц ФСБ России.
7. В целях подготовки к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектом критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, разрабатывается план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (далее - План), включающий:
технические характеристики и состав значимых объектов критической информационной инфраструктуры;
силы субъекта КИИ, ответственные за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.
7. Субъект КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, не реже одного раза в год организует и проводит тренировки по отработке мероприятий Плана. По результатам тренировок в План вносятся необходимые коррективы.
8. Для организации мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак с привлечением подразделений и должностных лиц ФСБ России субъектом КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, во взаимодействии с НКЦКИ разрабатывается, согласовывается с 8 Центром ФСБ России и утверждается Регламент.
9. В Регламенте определяются:
силы субъекта критической информационной инфраструктуры, ответственные за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.
План, разрабатываемый субъектами критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, осуществляющими деятельность в банковской сфере и в иных сферах финансового рынка, дополнительно включает условия привлечения подразделений и должностных лиц Банка России к проведению мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак и согласовывается с Банком России.
8. Субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, не реже одного раза в год организует и проводит тренировки по отработке мероприятий Плана. По результатам тренировок в План вносятся необходимые коррективы.
9. Для организации мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак с привлечением подразделений и должностных лиц ФСБ России субъектом критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, во взаимодействии с НКЦКИ разрабатывается, согласовывается с Центром защиты информации и специальной связи ФСБ России и утверждается Регламент.
10. В Регламенте определяются:
порядок проведения субъектом КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, совместно с привлекаемыми подразделениями и должностными лицами ФСБ России мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак в отношении значимых объектов КИИ.
10. Субъект КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак осуществляет:
первичный анализ компьютерных инцидентов, установление их связи с компьютерными атаками;
порядок проведения субъектом критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, совместно с привлекаемыми подразделениями и должностными лицами ФСБ России к проведению мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак в отношении значимых объектов критической информационной инфраструктуры.
11. Субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак осуществляет:
первичный анализ компьютерных инцидентов (включая приоритезацию), установление их связи с компьютерными атаками;
определение в соответствии с Регламентом необходимости привлечения к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак подразделений и должностных лиц ФСБ России.
11. Непосредственно перед принятием мер по ликвидации последствий компьютерных атак субъект КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, определяет:
очередность значимых объектов КИИ (их структурных элементов), в отношении которых будут приниматься меры по ликвидации последствий компьютерных атак;
состав сил субъекта КИИ и их задачи в рамках принимаемых мер;
возможность восстановления функционирования значимого объекта КИИ;
определение в соответствии с Регламентом необходимости привлечения подразделений и должностных лиц ФСБ России к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак.
12. Непосредственно перед принятием мер по ликвидации последствий компьютерных атак субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, определяет:
очередность значимых объектов критической информационной инфраструктуры (их структурных элементов), в отношении которых будут приниматься меры по ликвидации последствий компьютерных атак;
состав сил субъекта критической информационной инфраструктуры и их задачи в рамках принимаемых мер;
возможность восстановления функционирования значимого объекта критической информационной инфраструктуры;
12. В ходе ликвидации последствий компьютерных атак субъектом КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, принимаются меры по восстановлению функционирования и проверке работоспособности значимого объекта КИИ.
13. О результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъект КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, информирует НКЦКИ в срок не позднее 48 часов после завершения таких мероприятий в соответствии с пунктом 2 настоящего Порядка.
13. В ходе ликвидации последствий компьютерных атак субъектом критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, принимаются меры по восстановлению функционирования и проверке работоспособности значимого объекта критической информационной инфраструктуры.
14. О результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, информирует НКЦКИ в срок не более 48 часов после завершения таких мероприятий в соответствии с пунктом 3 настоящего Порядка.

<фрагмент не существовал>
 
Субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, осуществляющие деятельность в банковской сфере и в иных сферах финансового рынка, наряду с НКЦКИ информируют Банк России в соответствии с пунктом 5 настоящего Порядка.

4 комментария:

  1. По-моему, вольности трактовки понятий субъект и объект КИИ в рассматриваемом документе нет. Если смотреть букву Закона, то для понятия объект КИИ сфера функционирования вообще никак не характерна, это должны быть некие ИС/ИТС/АСУ, принадлежащие субъекту (и все). Но вот субъект КИИ уже должен иметь хотя бы одну ИС/ИТС/АСУ из ряда сфер. Т.е. логика вполне понятная: если организация функционирует в кредитно-финансовой сфере, то ряд ИС/ИТС неотвратимо будут тоже функционировать в этой же сфере, а уж что организация назначит объектами КИИ - это проблемы комиссии по категорированию.
    Конечно, ввиду некоторой рассогласованности Закона и ПП-127 ФСТЭК пытается что-то вложить в головы заинтересованных лиц посредством толкования (например, что ОКИИ - это только те ИС/ИТС/АСУ, что попали в Перечень ОКИИ, подлежащих категорированию) определенную точку мировоззрения, но при этом, во-первых, сами же и утверждают, что толковать ничего не имеют права, а, во-вторых, делают это устно, что к делу и не пришьешь.
    Но тем не менее, если смотреть в Закон, то сфера функционирования характерна для субъекта КИИ (и ФСТЭК это подтверждает, побуждая оперировать ОКВЭД, Уставами, а это характеристики не ИС/ИТС/АСУ, а организации-субьекта), а объекту КИИ достаточно просто принадлежать субъекту, тем самым вольностей в трактовке этих понятий нет.

    ОтветитьУдалить
  2. В проекте приказа используется формулировка "осуществляет деятельность", которая вообще для определения субъектов в 187-фз не используется.

    ОтветитьУдалить
  3. Тут все проще, эта формулировка прописана в ст.9 п.2 187-фз, но там она логично смотрится, а в проекте приказа выглядит криво

    ОтветитьУдалить
  4. Лично для меня такое словосочетание представляется необходимым, так как даёт понять, что сия норма распространяется не на всех субъектов, а только для определённого круга, охарактеризованного конкретной сферой функционирования.

    ОтветитьУдалить