понедельник, 26 августа 2019 г.

Лотерея от ФСБ для субъектов КИИ.



   Не только ФСТЭК вносит азарт в жизнь субъекта КИИ.
   Скоро 1 сентября, скоро в ФСТЭК все субъекты КИИ в лице государственных органов и учреждений подадут в ФСТЭК перечни объектов, подлежащих категорированию.
   Чем примечателен этот момент? А тем, что с момента утверждения этого перечня объектов, у субъекта КИИ возникает зафиксированная в документах обязанность по взаимодействию с ФСБ в части реагирования и противодействия компьютерным атакам на объекты, включенные в этот самый перечень.
    И вот тут возникают они. А они – это коммерческие предложения по предоставлению услуг корпоративных центров ГосСОПКА, SOC  и т.д. от сторонних организаций.


Важные уточнения:
1.       КИИ и ГосСОПКА это разные сущности. Деятельность ГосСОПКА при обеспечении безопасности КИИ прямо прописана в ст. Статья 5. «Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» 187-ФЗ. Заметка исключительно о взаимоотношениях ГосСОПКА и субъекта КИИ.
2.       Обсуждаемые в заметке вопросы не зависят от категории значимости ОКИИ. Относится и к незначимым ОКИИ и к ЗОКИИ. Рассматриваем общие требования к субъекту КИИ.
3.       Вопрос нестыковки НПА по ГосСОПКА и КИИ я уже описывал ранее. В данной заметке я этого не касаюсь. Аргументация исключительно по 187-ФЗ и подзаконным актам к нему.

Исходная информация:

Ст.5 187-ФЗ
2. К силам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, относятся:
1) подразделения и должностные лица ФСБ России;
2) НКЦКИ;
3) подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.
*Замечу, что в 187-ФЗ  НКЦКИ не относится к подразделениям ФСБ России.
4.       Средствами, предназначенными для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, являются технические, программные, программно-аппаратные и иные средства для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации.
5.       В ГосСОПКА осуществляются сбор, накопление, систематизация и анализ информации, которая поступает в данную систему через средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак, информации, которая представляется субъектами КИИ и ФСТЭК, в соответствии с перечнем информации и в порядке, определяемыми ФСБ, а также информации, которая может представляться иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными.
    Выводы из ст.5 187-ФЗ:
1.       Состав сил ГосСОПКА в КИИ прописан однозначно и конечен. Отнесение организаций –лицензиатов к силам ГосСОПКА в 187-ФЗ не предусмотрено.
2.       Организации-лицензиаты имеют право только на представление информации в ГосСОПКА, в одну сторону.
3.       Законный вариант для коммерческой организации предоставить услуги субъекту КИИ только один – самой стать субъектом КИИ.

Ст. 9 187-ФЗ
    Субъект КИИ имеет право на:
2) в порядке, установленном ФСБ России, получать от указанного органа информацию о средствах и способах проведения компьютерных атак, а также о методах их предупреждения и обнаружения;
3) при наличии согласия ФСБ России, за свой счет приобретать, арендовать, устанавливать и обслуживать средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
     Субъект КИИ обязан:
1) незамедлительно информировать о компьютерных инцидентах ФСБ России;
2) оказывать содействие должностным лицам ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
3) в случае установки на объектах КИИ средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность.
    Выводы из ст.9 187-ФЗ:
4.       Средства ГосСОПКА покупает за свой счет субъект КИИ. Не предусмотрено 187-ФЗ использование на ОКИИ средств обнаружения, предупреждения и ликвидации последствий компьютерных атак, принадлежащих другим организациям за исключением аренды. То есть, организация-лицензиат не может размещать свои технические средства для обнаружения КА на объекте КИИ без заключения отдельного договора на аренду.
5.       Подключение средств обнаружения КА к инфраструктуре организации-лицензиата потребует наличие лицензии ФСБ на СКЗИ и выполнение все соответствующей бюрократии. Обоснование «для собственных нужд» не пройдет, так как подключается чужое оборудование (оборудование передали в аренду).
6.       Содействие оказывать обязаны только должностным лицам ФСБ, на  должностных лиц НКЦКИ требование закона не распространяется.

     Теперь смотрим подзаконные акты к 187-ФЗ.
   - Приказ ФСБ России от 19.06.2019 № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации».
   Возможно привлечение организации-лицензиата исключительно для установки, настройки, проверки работоспособности и подключение средств, предназначенных для обнаружения атак.    Возможно привлечение организаций лицензиатов к эксплуатации и техническому обслуживанию средств, принадлежащих субъекту КИИ.
  - Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации», обязанность по информированию обо всех компьютерных инцидентах возложена исключительно на субъект КИИ. Информирование требуется осуществлять путем направления информации от субъекта КИИ в НКЦКИ. Никакого расширения трактовки авторы приказов не допускали. Акцентирую специально внимание на формулировке замечания: речь про взаимодействие НКЦКИ с центрами ГосСОПКА, а не про взаимодействие субъектов КИИ с центрами ГосСОПКА .(См. историческую справку ниже)
    - Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», обязанность по информированию обо всех компьютерных инцидентах возложена исключительно на субъект КИИ. Информирование требуется осуществлять путем направления информации субъектом КИИ в НКЦКИ.
   - Приказ ФСБ России от 24.07.2018 № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения», субъект КИИ вправе самостоятельно обмениваться информацией о компьютерных инцидентах исключительно с субъектами КИИ, во всех остальных случаях – только через НКЦКИ. Опять же, вариант для организации-лицензиата остается один – становится субъектом КИИ.

    Выводы из приказов ФСБ:
7.       Возможность делегирования прав и обязанностей субъекта КИИ сторонним организациям в приказах ФСБ не предусмотрена.
8.        Субъект КИИ может привлекать для исполнения своих обязанностей организацию-лицензиат, причем в конкретно заданных видах работ.
9.       Возможность использования организации-лицензиата для информационного взаимодействия с НКЦКИ, выявление и реагирование на КИ, ликвидация последствий КА не предусмотрена.


   Итог: Законные основания для выполнения требований по обнаружению, предупреждению и ликвидации последствий компьютерных атак силами сторонних организаций у субъекта КИИ отсутствуют. Возможно привлечение организаций-лицензиатов для установки, настройки, проверке, эксплуатации и технического обслуживания части технических средств субъекта КИИ, предназначенных для выполнения требований 187-ФЗ.
    И если, для коммерческих субъектов КИИ это не столь критично, то для государственных субъектов КИИ это проблема. Если обосновать затраты на услуги внешней организации через требования 187-ФЗ, то можно получить при проверке контрольно-счетных органов обвинение в нецелевом расходе бюджетных средств, а это уже очень серьезно. Речь не про претензию к субъекту КИИ от ФСБ за информирование НКЦКИ "неуставным" способом через центры ГоСОПКА, думаю, что да такого все-таки не дойдет. А НКЦКИ возражать точно не будет против такого формата взаимодействия. Речь про претензии к обоснованию затрат субъекта КИИ.

P.S. Замечу, что и со стороны НКЦКИ единственный вариант привлечь организацию-лицензиата  только один «5.4. Привлекать к реагированию на компьютерные инциденты организации и экспертов, осуществляющих деятельность в данной области.». То есть, даже НКЦКИ не может привлечь со своей стороны организацию-лицензиат для обнаружения КИ.

              И историческая справка, в которой официально зафиксирована позиция авторов приказов ФСБ:

Сводка предложений по результатам общественного обсуждения проекта приказа ФСБ России «О Национальном координационном центре по компьютерным инцидентам»



 Положении не предусмотрена возможность взаимодействия НКЦКИ с центрами обнаружения, предупреждения и ликвидации последствий компьютерных атак, организованными по ведомственному, территориальному и корпоративному принципам с учетом Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (утверждена Президентом Российской Федерации 12 декабря 2014 г. № К 1274).
Положение разработано в целях реализации положений Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», которым не предусмотрены центры, организованные по ведомственному,территориальному и корпоративному принципам, в связи с чем их включение в проект Положения нецелесообразно.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

31 комментарий:

  1. Вот с этим: " Чем примечателен этот момент? А тем, что с момента утверждения этого перечня объектов, у субъекта КИИ возникает зафиксированная в документах обязанность по взаимодействию с ФСБ в части реагирования и противодействия компьютерным атакам на объекты, включенные в этот самый перечень." Вы погорячились. Перечень объектов подлежащих категорированию обязывает только к проведению категорирования и направлению результатов в ФСТЭК. И даже после категорирования, в отношении объектов, которым категория не присвоена, ФСТЭК самостоятельно направляет письмо в ФСБ об объектах в отношении которых данные об инцидентах не будут передаваться в ФСБ. Субъекту КИИ также направляется соответствующее письмо. Сгущаете краски, однако...

    ОтветитьУдалить
    Ответы
    1. Перечень никак на категорирование не влияет, он в 127пп вставлен как инородное. Не понятно откуда и не понятно зачем. В работе комиссии никак не задействован. И ни к чему не обязывает субьекта

      Удалить
  2. "Содействие оказывать обязаны только должностным лицам ФСБ, на должностных лиц НКЦКИ требование закона не распространяется." В НКЦКИ проходят службу такие же должностные лица ФСБ. Уверен, что их служебное удостоверение ничем не отличается от служебного удостоверения иных сотрудников (военнослужащих) ФСБ России, а потому оказывать содействие им тоже придется.

    ОтветитьУдалить
  3. У НКЦКИ своя эмблема и свой бланк, не могут у них удостоверения быть ФСБ.

    ОтветитьУдалить
  4. У российского Национального центрального бюро Интерпола тоже своя эмблема и свои бланки, однако все проходящие там службу имеют удостоверения сотрудников МВД России.

    ОтветитьУдалить
  5. Так национальное бюро - это структурные подразделение центрального аппарата МВД, на уровне управления.

    ОтветитьУдалить
  6. Об этом прямо написано в п. 1 положения, в отличии от НКЦКИ в приказе ФСБ

    ОтветитьУдалить
  7. Приказ ФСБ №366:
    6. Информационно-аналитическое, организационное и материально-техническое обеспечение НКЦКИ осуществляется Центром защиты информации и специальной связи ФСБ России.
    7. НКЦКИ возглавляет директор НКЦКИ, которым является заместитель руководителя Научно-технической службы - начальник Центра защиты информации и специальной связи ФСБ России.

    НКЦКИ по факту является подразделением ФСБ, никого другого, кроме своих сотрудников, они туда работать не пустят.

    ОтветитьУдалить
  8. "Перечень никак на категорирование не влияет, он в 127пп вставлен как инородное"

    Странное заявление. Составление Перечня - это этап категорирования. Именно объекты, попавшие в Перечень, подлежат категорированию. Нет Перечня - непонятно, каким объектам присваивать категорию.
    Более того: отсчет максимального срока категоирования объектов начинается как раз от даты утверждения Перечня объектов (см. Постановление 127).

    ОтветитьУдалить
  9. В п. 14.2 "ж" указано каким объектам устанавливается категория. Перечень не упоминается. Более того, итогом работы комиссии являются исключительно предложения по включёнию обьектов в перечень. То есть, сама комиссия перечнем никак не руководствуется в своей работе.

    ОтветитьУдалить
  10. п.5. Категорирование включает в себя:
    ................
    г) формирование перечня объектов критической информационной инфраструктуры, подлежащих категорированию (далее - перечень объектов);


    п.11. Для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается постоянно действующая комиссия по категорированию...

    Вы считаете, что выполнять нужно только пункт 14.2, остальные можно пропустить?

    ОтветитьУдалить
  11. Нет, не считаю. Смотрите "е" в п. 5. Перечень не упоминается.

    ОтветитьУдалить
  12. П. 14 определяет действия именно комиссии. То есть, перечень составляет у субъекта иное лицо,но с учётом предложений комиссии.

    ОтветитьУдалить
  13. Более того, я считаю, что составление перечня объектов должно быть до этапа категорирования. В 187-фз чётко задана область действия пп127 и выявление объектов КИИ в эту область не включено.

    ОтветитьУдалить
    Ответы
    1. А разве категорирование проходит ДО утверждения перечня? В ПП127 прописаны сроки, в которые проводится категорирование, после утверждения Перечня

      Удалить
    2. Не так, там указан максимальный срок категорирования. Никто не запрещает выпустить акт категорирования до утверждения перечня.

      Удалить
  14. ж) устанавливает каждому из объектов критической информационной инфраструктуры одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости
    Так они на основании перечня устанавливаю категорию значимости! Или они эти объекты из воздуха берут?
    В перечне прописаны объекты КИИ, на основании этого перечня они эти объекты рассматривают.

    ОтветитьУдалить
  15. Интересная трактовка.

    А по-моему все проще: для проведения категорирования назначается комиссия. Она, занимаясь категорированием (п.5), в том числе формирует Перечень (см. пп. "г"). И далее для тех объектов, которые попали в Перечень, определяется их категория (подпункты "д" и "е").

    ОтветитьУдалить
  16. Нет никакого упоминания в пп127 о том, что комиссия берет объекты из перечня. Комиссия не формирует перечень и никак в своей работе не использует.

    ОтветитьУдалить
    Ответы
    1. в) выявляет объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов
      Так они эти мероприятия проводят и объекты берут из воздуха что ли? Просто захотели и взяли любой объект или все же на основании перечня!?

      Удалить
    2. Они идут через процессы. Смотрят какая ИС какой процесс обеспечивает. Наличие перечня вообще на это не влияет.

      Удалить
  17. "Более того, я считаю, что составление перечня объектов должно быть до этапа категорирования"

    Считать, конечно, Вы можете. Просто в ПП-127 ясно сказано, что категорирование включает в себя формирование Перечня (п.5.).

    ОтветитьУдалить
  18. По 187-фз категорируются ВСЕ объекты КИИ, а не только обеспечивающие критические процессы

    ОтветитьУдалить
    Ответы
    1. Комиссия откуда берет эти объекты? Наугад? или все таки из Перечня

      Удалить
    2. Лучше спросить у авторов Пп127, а как организации узнать необходимость выполнения пп127, если в ней ещё не сформирован перечень объектов КИИ? Ведь по 187фз субъектом становятся через владение обьектами.

      Удалить
  19. Про "ВСЕ" в законе не сказано, это Вы сами придумали. В законе не установлен порядок категорирования, в законе установлена обязанность категорирования. Порядок установлен ПП-127.

    Ст.7., ч.4. "Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры".

    ОтветитьУдалить
  20. Что такое категорирование прописано в п. 1 статьи 7.

    ОтветитьУдалить
    Ответы
    1. Т.е. присваивать категорию нужно ВСЕМ объектам, независимо ни от чего? Не значимых объектов быть не может?

      Удалить
    2. Почему? Решение об отсутствии необходимости присвоения одной их категорий--это то же результат категорирования. Речь про другое, что не может быть объектов не подлежащих оценке.

      Удалить
  21. Правильно ли я понимаю, что Перечень объектов КИИ, подлежащих категорированию, никак не влияет на количество объектов КИИ, которые должен субъект КИИ категорировать? Т.е. субъект КИИ формирует этот перечень, в соответствии с требованиями ПП-127, которые допускают, что в этот перечень могут попасть не все ИС,ИТС,АСУ субъекта, отправляет этот перечень в ЦА ФСТЭК, НО категорирование проводит в отношение всех ИС, ИТС, АСУ, которые ему принадлежат, верно?

    ОтветитьУдалить
  22. Нет. Он формирует перечень ис/асу/иткс, которые функционируют в 13 сферах. Их и категорирует. По ПП127 происходит добавка в перечень, а не исключение.

    ОтветитьУдалить