Продолжаем разбирать действующую законодательство по ГосСОПКА. Субъект ЗОКИИ вынужден выполнять не только приказы ФСБ, но и ФСТЭК. Как в комплексе выглядит картина с техническими средствами ГосСОПКА?
Смотрим 239 приказ ФСТЭК, что он нам говорит по поводу "обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты"?
3. Обеспечение безопасности в ходе эксплуатации значимого объекта осуществляется субъектом критической информационной инфраструктуры в соответствии с эксплуатационной документацией и организационно-распорядительными документами по безопасности значимого объекта и должно включать реализацию следующих мероприятий:
..
д) реагирование на компьютерные инциденты в ходе эксплуатации значимого объекта;
...
Мера СОВ.1 дословно совпадает в части "обнаружения компьютерных атак", а раздел ИНЦ дословно с "реагированием на компьютерные инциденты".
| ||||
СОВ.1
| ||||
ИНЦ.1
| ||||
Более того, в 239 приказе ФСТЭК идет прямой отсыл к приказу ФСБ от 19.06.2019 N 282
"Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
"13.5. Реагирование на компьютерные инциденты осуществляется в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
Для реагирования на компьютерные инциденты определяются работники, ответственные за выявление компьютерных инцидентов и реагирование на них, и определяются их функции."
Вывод: технические средства, задействованные в системе безопасности ЗОКИИ для выполнения требований разделов ИНЦ и СОВ, однозначно относятся к средствам ГосСОПКА.
Последствия для субъекта ЗОКИИ:
1. При создании системы безопасности ЗОКИИ придется выполнять и приказ ФСБ от 19.06.2019 N 281 "Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации", то есть:
Согласовать с ФСБ (не с НКЦКИ) структурно-функциональную схему подключения средств к информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, а также сведения:
- об устанавливаемых средствах (наименование, предназначение, версия (при наличии);
- о местах установки средств (место нахождения или географическое местоположение зданий или сооружений, в которых планируется установка средств);
- о лицах, ответственных за эксплуатацию средств (фамилия, имя, отчество (при наличии), должность, телефонные номера);
- о контролируемых средствами объектах критической информационной инфраструктуры (наименования информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления).
2. Средства ГосСОПКА обязаны одновременно соответствовать требованиям 239 приказа ФСТЭК и приказа 196 ФСБ.
3. Для ЗОКИИ/ГИС обязательные сертификаты соответствия.
И к вопросу об отнесении средств ГосСОПКА к средствам защиты информации.
196 приказ ФСБ
VIII. Требования к средствам ГосСОПКА в части реализации функций безопасности
21. Средства ГосСОПКА в части реализации функций безопасности должны обеспечивать:
- идентификацию и аутентификацию пользователей;
- разграничение прав доступа к информации и функциям;
- регистрацию событий ИБ;
- обновление программных компонентов и служебных баз данных;
- резервирование и восстановление своей работоспособности;
- синхронизацию системного времени и корректировку временных значений (корректировку настроек часовых поясов);
- контроль целостности ПО.
21.1. При осуществлении идентификации и аутентификации пользователей средства ГосСОПКА должны обеспечивать:
- аутентификацию пользователей с использованием паролей (в том числе временного действия) и (или) аппаратных средств аутентификации;
- хранение паролей в зашифрованном виде;
- автоматическое информирование о необходимости смены паролей.
21.2. При осуществлении разграничения прав доступа к информации и функциям средства ГосСОПКА должны обеспечивать:
- поддержку функций создания, редактирования и удаления пользовательских ролей и возможность настройки прав доступа для каждой роли;
- возможность блокирования и повторной активации учетных записей;
- блокирование сессии доступа при превышении задаваемого значения временного периода отсутствия активности;
- уведомление о неудачных попытках доступа к управлению средствами ГосСОПКА;
- запись всех действий пользователей с момента авторизации в электронный журнал.
Заметим, что функционал безопасности должны обеспечивать сами средства ГосСОПКА, а не внешняя подсистема защиты информации. Речь идет не о наложенных (внешних) СЗИ.
По СКЗИ из состава средств ГосСОПКА возникает вопрос по обоснованию класса СКЗИ.
Или достаточно наличия сертификата ФСБ и используй что хочешь?
Продолжение следует...
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
Комментариев нет:
Отправить комментарий