SOC-ФОРУМ 2019. ЦБ о центрах ГосСОПКА

     

    На SOC-форуме 2019 программа с докладами представителей ЦБ была изменена. На фоне больших и подробных докладов ФСТЭК и НКЦКИ несколько затерялось короткое выступление ЦБ (без презентаций и вне программы). Но в нем успели сказать очень важную вещь: субъекты КИИ могут информировать НКЦКИ через ФинЦЕРТ. От НКЦКИ возражений не прозвучало.

   В отличии от корпоративных центров ГосСОПКА, которые находятся в серой зоне законодательства (они и не разрешены, но и не запрещены напрямую), для банковской сферы  подзаконными актами к 187-ФЗ все указано однозначно. По сути, ФинЦЕРТ заявляют как отраслевой центр ГосСОПКА. 
    И это прямо прописано в официальных документах ЦБ
 https://cbr.ru/Content/Document/File/83253/onrib_2021.pdf
"ФинЦЕРТ Банка России осуществляет развитие информационной безопасности и киберустойчивости по следующим направлениям.
   Выполнение функций отраслевого сегмента Государственной системы обнаружения,
предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы
Российской Федерации (ГосСОПКА)."
    Отраслевой принцип функционирования ГосСОПКА прописан в Концепции (утв. Президентом РФ 12.12.2014 N К 1274), но для его реализации предусмотрены ведомственные центры. Проблема в том, что ведомственный центр могут создавать исключительно органы государственной власти, а ЦБ к ним не относится по своему правовому статусу https://cbr.ru/today/bankstatus/ . Вот Минкомсвязь может создать, а ЦБ нет.
    В 187-ФЗ  никаких центров и сегментов ГосСОПКА вообще не предусмотрено. И это приводит к следующей проблеме.
     В 282 приказе ФСБ четко и однозначно разделено информирование ЦБ и НКЦКИ на два параллельных процесса.
     Приказ ФСБ России от 19.06.2019 N 282"Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
    Информирование осуществляется путем направления информации в Национальный координационный центр по компьютерным инцидентам <1> (далее - НКЦКИ) в соответствии с определенными НКЦКИ форматами <2>
   В случае если компьютерный инцидент связан с функционированием объекта критической информационной инфраструктуры, принадлежащего на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, информация о компьютерном инциденте также направляется в Банк России с использованием технической инфраструктуры Банка России в сроки, установленные пунктом 4 настоящего Порядка.
     Превращение двух независимых процессов информирования "Субъект КИИ - НКЦКИ" и "Субъект КИИ - ЦБ" в один "субъект КИИ - ЦБ -НКЦКИ" является нарушением порядка информирования ФСБ и за это НКЦКИ очень хочет ввести административную ответственность:
 4. Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, установленного федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, –
влечет наложение административного штрафа на должностных лиц 
‎в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от ста пятидесяти тысяч до двухсот тысяч рублей.
    И наличие статуса отраслевого сегмента ГосСОПКА у ФинЦЕРТ  на состав правонарушения никак не влияет, поскольку прямо прописана передача информации "субъект КИИ - НКЦКИ". 
    
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога