понедельник, 18 ноября 2019 г.

Средства ГосСОПКА это СЗИ?





     На прошлом "SOC-форуме 2018" задал вопрос представителям ФСТЭК и ФСБ/НКЦКИ об отнесении средств ГосСОПКА к средствам защиты информации. Ответа так и не последовало. Прошел год, а ясности в вопросе нет.  Придется послезавтра задать его еще раз  на  "SOC-форуме 2019". Но сначала надо разобраться с тем, а что же вообще законодательством отнесено к средствам ГосСОПКА. К тому же существует мнение, что средства ГосСОПКА появляются у субъекта КИИ только при "при подключении к ГосСОПКА".
 
   Проведем комплексный анализ 187-ФЗ и приказов ФСБ.  
   Моя позиция:
     1.  Необходимо различать две разных сущности: "средства ГосСОПКА" и "техническая инфраструктура НКЦКИ". Информационный обмен между НКЦКИ и субъектами КИИ идет посредством технической инфраструктуры НКЦКИ, а не средств ГосСОПКА. Техническая инфраструктура не входит в состав "средств ГосСОПКА", так же верно и обратное утверждение.

187-ФЗ Статья 5. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации


 3. Средствами, предназначенными для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, являются технические, программные, программно-аппаратные и иные средства для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации.

Приказ ФСБ России от 24.07.2018 N 367

"Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"
3. Информация, указанная в пункте 5 Перечня, представляется субъектами критической информационной инфраструктуры в ГосСОПКА путем ее направления в НКЦКИ в соответствии с определенными НКЦКИ форматами с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами критической информационной инфраструктуры, а также с иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными (далее - техническая инфраструктура НКЦКИ).
4. В случае отсутствия подключения к технической инфраструктуре НКЦКИ информация направляется посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: "http://cert.gov.ru". 

    2. В 187-ФЗ подразумевается обмен информацией между субъектами КИИ, а не с НКЦКИ. Средства ГосСОПКА предназначены для обмена информацией между субъектами КИИ, а не с НКЦКИ. 

Приказ ФСБ России от 24.07.2018 N 368

"Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения"

2. При проведении мероприятий по реагированию на компьютерные инциденты, связанные с функционированием объектов критической информационной инфраструктуры, субъекты критической информационной инфраструктуры осуществляют обмен информацией о таких компьютерных инцидентах с другими субъектами критической информационной инфраструктуры в целях минимизации последствий компьютерных инцидентов и предотвращения компьютерных инцидентов на других объектах критической информационной инфраструктуры.

Субъекты критической информационной инфраструктуры вправе самостоятельно определять круг субъектов критической информационной инфраструктуры, с которыми осуществляется такой обмен.
8. Одновременно с направлением информации о компьютерных инцидентах в рамках обмена субъекты критической информационной инфраструктуры информируют об этом НКЦКИ.

      3. Перечень средств ликвидации последствий компьютерных атак определяет сам субъект КИИ, а не НКЦКИ.

Приказ ФСБ России от 19.06.2019 N 282

"Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
6. Для подготовки к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектом критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежит значимый объект критической информационной инфраструктуры, в срок до 90 календарных дней со дня включения данного объекта в реестр значимых объектов критической информационной инфраструктуры Российской Федерации <1> разрабатывается план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
12. Перед принятием мер по ликвидации последствий компьютерных атак субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, определяет:
...

перечень средств, необходимых для принятия мер по ликвидации последствий компьютерных атак;

    4. СКЗИ предназначены для защиты обмена информацией между субъектами КИИ, а не информирования НКЦКИ.

Приказ ФСБ России от 06.05.2019 N 196
"Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты"
2. К средствам ГосСОПКА относятся:
...
криптографические средства защиты информации, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак.
Требования к средствам обмена и криптографическим
средствам защиты информации, необходимой субъектам
критической информационной инфраструктуры
при обнаружении, предупреждении и (или) ликвидации
последствий компьютерных атак
19. Средства обмена должны обеспечивать передачу, прием и целостность при передаче и приеме информации, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак.
20. Криптографические средства защиты информации, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть сертифицированы в системе сертификации средств криптографической защиты информации.

    Вообще, если посмотреть приказ №196 ФСБ, то только для средств ликвидации последствий предъявляется требование о взаимодействии с НКЦКИ и опять же через техническую инфраструктуру НКЦКИ. В требованиях к средствам обнаружения, к средствам предупреждения, средствам обмена и СКЗИ никаких упоминаний об взаимодействии с НКЦКИ.

2. К средствам ГосСОПКА относятся:
технические, программные, программно-аппаратные и иные средства для обнаружения компьютерных атак (далее - средства обнаружения);
технические, программные, программно-аппаратные и иные средства для предупреждения компьютерных атак (далее - средства предупреждения);
технические, программные, программно-аппаратные и иные средства для ликвидации последствий компьютерных атак (далее - средства ликвидации последствий);
технические, программные, программно-аппаратные и иные средства поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры (далее - средства ППКА);
технические, программные, программно-аппаратные и иные средства обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак (далее - средства обмена);
криптографические средства защиты информации, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак.
Средства ГосСОПКА реализуются одним или несколькими техническими, программными и программно-аппаратными средствами.

13. Средства ликвидации последствий должны обладать следующими функциями:
...
взаимодействие с НКЦКИ посредством использования технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами критической информационной инфраструктуры, а также с иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными;

    5. НКЦКИ не имеет никакого отношения к средствам ГосСОПКА у субъекта КИИ.

Приказ ФСБ России от 19.06.2019 N 281

"Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации"
7. Субъект критической информационной инфраструктуры после приема в эксплуатацию средств информирует об этом Национальный координационный центр по компьютерным инцидентам <1> в течение 5 календарных дней.

    То есть, никакой речи об организации подключения к технической инфраструктуре НКЦКИ речи не идет. Это вообще единственное упоминание НКЦКИ в тексте приказа.


    Вывод: наличие средств ГосСОПКА у субъекта КИИ никак не связано с наличием автоматизированной передачи информации в НКЦКИ. Более того, для этого не обязательно быть владельцем ЗОКИИ.
    Обычный антивирус на незначимом ОКИИ это средство ГосСОПКА. Используется для обнаружения КИ, предупреждения и при ликвидации. Банальное "лечение" компьютеров после "заражения вирусами" -это ликвидация последствий КА. И логи журнала антивируса отправляются потом по электронной почте в НКЦКИ.
   А обычный сисадмин или эникейщик удостаивается почетного звания "силы ГосСОПКА"
"3) подразделения и должностные лица субъектов критической информационной инфраструктуры, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты".

     И самое печальное, что по определению из 187-ФЗ:
"компьютерный инцидент - факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки;"
к средствам реагирования на компьютерные инциденты относятся не только инструменты ибешника,  а любая телеавтоматика и подобная техника, обеспечивающая работу ОКИИ. Если у вас отрубило энергоснабжение любого ОКИИ или его затопило дождем через  худую крышу, то информировать НКЦКИ вы обязаны. А  энергетик или сантехник становится "силами ГосСОПКА", поскольку участвуют в реагировании на КИ. Вопрос согласования установки таких средств реагирования на КИ с ФСБ то же неоднозначен.

     Продолжение следует..



P.S. На SOC-форуме-2019 будет Сессия 1 "Требования 187-ФЗ и опыт их выполнения" с участием Торбенко (ФСТЭК) и  Корелова (НКЦКИ), 19 ноября с 16 до 18 часов. На ней я выступаю с докладом "Организация процесса выявления и реагирования на компьютерные инциденты и взаимодействия с НКЦКИ". Приходите.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

Комментариев нет:

Отправить комментарий