Составление и утверждение перечней объектов КИИ, подлежащих категорированию - это только начало длинного пути по выполнению требований 187-ФЗ. Общий план всех необходимых мероприятий приведен здесь.
Момент фиксации объекта КИИ в перечне - это старт для процессов по выявлению компьютерных инцидентов на данном ОКИИ и информирование ФСБ о компьютерных инцидентах в установленном порядке субъектами КИИ. Обязанность по информированию не зависит от наличия категории значимости ОКИИ. Процессы для всех субъектов КИИ, без исключения (незначимые, значимые, "объекты КИИ не требующие категорирования" и т.д.) Наказание за невыполнение пока не предусмотрено, но уже планируется.
Итак, подсказки по построению у субъекта КИИ процессов информирования ФСБ о компьютерных инцидентах на ОКИИ.
Начало. Теоретическая часть. Требования нормативных актов к данному процессу
187-ФЗ
2. Субъекты критической информационной инфраструктуры обязаны:
1) незамедлительно информировать о компьютерных инцидентах ФСБ России
2) оказывать содействие должностным лицам ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
Приказ ФСБ России от 19.06.2019 N 282
"Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
2. Субъекты критической информационной инфраструктуры информируют ФСБ России обо всех компьютерных инцидентах, связанных с функционированием принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры.
4. Информация о компьютерном инциденте, связанном с функционированием значимого объекта критической информационной инфраструктуры, направляется субъектом критической информационной инфраструктуры в НКЦКИ в срок не позднее 3 часов с момента обнаружения компьютерного инцидента, а в отношении иных объектов критической информационной инфраструктуры - в срок не позднее 24 часов с момента его обнаружения.
14. О результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, информирует НКЦКИ в срок не позднее 48 часов после завершения таких мероприятий в соответствии с пунктом 3 настоящего Порядка.
Приказ ФСБ России от 24.07.2018 N 367
"Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"
5. Информация о компьютерных инцидентах, связанных с функционированием объектов критической информационной инфраструктуры:
- дата, время, место нахождения или географическое местоположение ОКИИ, на котором произошел компьютерный инцидент;
- наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой;
- связь с другими компьютерными инцидентами (при наличии);
- состав технических параметров компьютерного инцидента;
- последствия компьютерного инцидента.
6. Иная информация в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, предоставляемая субъектами критической информационной инфраструктуры и иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными.
4. В случае отсутствия подключения к технической инфраструктуре НКЦКИ информация направляется посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: "http://cert.gov.ru".
5. Информация, указанная в пункте 5 Перечня, направляется субъектом критической информационной инфраструктуры в НКЦКИ не позднее 24 часов с момента обнаружения компьютерного инцидента.
Практическая часть. Разрабатываем документы. Начнем мы с конца, с отчетных документов. Вызвано это тем, что у каждого субъекта КИИ своя специфика. И для актуализации по месту типовых процессов, важно понимать, а что получим то в итоге. Все процессы выстраиваются без использования средств ГосСОПКА.
Разрабатываем карточки регистрации компьютерных инцидентов на ОКИИ. Цель - упрощение контроля за выполнением процесса, формирование достаточной отчетности при запросах регуляторов, облегчение жизни для ответственного работника -заполнил стандартную карточку, отправил по электронке в НКЦКИ, зафиксировал в журнале регистрации инцидентов. Рекомендую именно электронной почтой пользоваться, существенно надежнее при разборках с регуляторами, чем подтверждать выполнение сроков из приказов ФСБ при телефонных звонках. Да и ошибок у НКЦКИ при приеме информации "на слух" будет меньше.
1. Самый простой вариант. Полностью закрывает требования 187-ФЗ. Для субъектов КИИ, не имеющих квалифицированных кадров по ИБ. И для сторонников выполнения 187-ФЗ "для галочки".
Карточка регистрации компьютерного инцидента
| |||||
Наименование объекта КИИ:
| |||||
Категория значимости объекта КИИ:
| |||||
Местонахождение объекта КИИ:
| |||||
Дата возникновения инцидента
|
Время возникновения инцидента
| ||||
Регистрационный номер инцидента
|
Связанные события/инциденты
| ||||
Контактные данные работника, обрабатывающего инцидент
| |||||
ФИО
|
Адрес
| ||||
Организация
|
Подразделение
| ||||
Контактные данные
|
e-mail
| ||||
Общее описание компьютерного инцидента
| |||||
Что произошло?
| |||||
Как произошло?
| |||||
Почему произошло?
| |||||
Технические параметры инцидента
| |||||
Последствия инцидента
| |||||
2. Вариант карточки для продвинутой и зрелой системе защиты информации/системы безопасности субъекта КИИ. Требует наличие квалифицированных кадров. В документе максимально использованы подходы НКЦКИ по выявлению компьютерных атак (для унификации и упрощения работы НКЦКИ). С соблюдением баланса интересов субъекта КИИ/НКЦКИ.
Типы инцидентов:
1. Внедрение вредоносного программного обеспечения
• Заражение ВПО
2. Распространение вредоносного программного обеспечения
• Использование контролируемого ресурса для распространения или управления модулями вредоносного программного обеспечения
• Попытки внедрения модулей вредоносного программного обеспечения
3. Нарушение или замедление работы контролируемого информационного ресурса
• Компьютерная атака типа «отказ в обслуживании»
• Распределенная компьютерная атака типа «отказ в обслуживании»
• Несанкционированный вывод системы из строя
• Непреднамеренное отключение системы
4. Несанкционированный доступ в систему
• Успешная эксплуатация уязвимости
• Компрометация учетной записи
5. Попытки НСД в систему или к информации
• Попытки эксплуатации уязвимости
• Попытки авторизации в информационном ресурсе
6. Сбор сведений с использованием информационно-коммуникационных технологий
• Сканирование информационного ресурса
• Прослушивание (захват) сетевого трафика
• Социальная инженерия
7. Нарушение безопасности информации
• Несанкционированное разглашение информации
• Несанкционированное изменение информации
8. Распространение информации с неприемлемым содержимым
• Рассылка незапрашиваемых электронных сообщений
• Публикация запрещенной законодательством РФ информации
9. Мошенничество с использованием информационно-коммуникационных технологий
• Злоупотребление при использовании информационного ресурса
• Публикация мошеннического информационного ресурса
10. Наличие уязвимости или недостатка конфигурации в информационном ресурсе
Продолжение следует...
Часть 2 - https://valerykomarov.blogspot.com/2019/10/187-2.html
P. S. Телеграм-группа для обсуждения заметки https://t.me/joinchat/C4fmQVPujsjY0WGQd8h-kw
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
Площадка с шпаргалками для субъектов КИИ https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-samoidentifikaciia-subekta-kii-5e1cc391118d7f00adfc579a
ОтветитьУдалить