Страницы

четверг, 23 декабря 2021 г.

SOC-ФОРУМ 2021


   Отгремел в начале декабря главный форум по защите от компьютерных атак. Отличная организация мероприятия, очень насыщенная программа в несколько потоков. В заметке поделюсь впечатлениями от сессий по тематике блога. Материалы от организаторов - https://ib-bank.ru/soc-forum2021/tracks

1. КЛЮЧЕВАЯ ДИСКУССИЯ  "КИБЕРБЕЗОПАСНОСТЬ: ПЕРЕЗАГРУЗКА ЗАЩИТА ОТ КОМПЬЮТЕРНЫХ АТАК КАК НЕОТЪЕМЛЕМАЯ ЧАСТЬ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРОЦЕССОВ УПРАВЛЕНИЯ И БИЗНЕС-ПРОЦЕССОВ"


 Если кратко, то:

    Почему то все сводится к защите, уход в глубокую оборону и пораженческий тезис – мы не можем повлиять на количество атак.  А где же правоохранительная система государства?

   Уровень специалистов ИБ просто отсутствует. К работе на реальных бизнес-процессов не готовы.

   У нас в стране отличное законодательство, осталось заставить его выполнить. Административная ответственность от ФСТЭК начнется в следующем году.

   Рассматривается вопрос лицензирования Минцифрой операторов ГИС!

   Повышение качества и эффективности существующих процессов.

2. Сессия 1 "ОТРАСЛЬ И НОВЫЕ РЕАЛИИ"

   Эта сессия - главное разочарование. Просто потерянные 1,5 часа. Полное отсутствие какой-либо полезной информации. Хотя программа заявлялась актуальной и интересной.

2.1. Доклад Е.Б. Торбенко ФСТЭК России


  Презентация https://soc-forum2021.ib-bank.ru/files/files/Presentations2021/SOC_21_ib-bank_Torbenko.pdf


  Заявлен первый доклад ФСТЭК по результатам проведения госконтроля ЗОКИИ в 2021 году. Актуальнее для субъектов КИИ только практика применения нового КоАП, но ее еще нет.

  И что мы увидели? 



  Сравниваем с "Перечень нормативных правовых актов или их отдельных частей, оценка соблюдения которых является предметом государственного контроля (надзора) в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" (утв. приказом ФСТЭК России от 16.07.2019 № 135)

   Почему то не указана проверка «Части 1, 2, 4, 5, 9, 12 статьи 7, статья 9, статья 10 187-ФЗ», если ФСТЭК проверяет ст. 10, то под госконтроль ФСТЭК попадут «4) непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.», что вполне бьется с 239 приказом ФСТЭК «13.5. Реагирование на компьютерные инциденты осуществляется в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации". Для реагирования на компьютерные инциденты определяются работники, ответственные за выявление компьютерных инцидентов и реагирование на них, и определяются их функции.» - а это прямой отсыл к приказам ФСБ.

   Нет никакой информации об изменении 135 приказа, а ведь в 2020 появился 75 приказ. Его выполнение проверяется или нет? Он выпущен в рамках Постановление Правительства РФ от 08.06.2019 № 743 "Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры" и ст.6 187-ФЗ, которые совершенно в 135 приказе не упоминаются.

   Приказ ФСТЭК России от 28.05.2020 № 75 "Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования" под госконтроль попал или нет? Что показали мероприятия госконтроля, проведенные в этом году? Он выполняется субъектами КИИ? Какие затруднения испытывают субъекты КИИ при его выполнении?

  Никакой информации в докладе ФСТЭК именно по госконтролю ЗОКИИ не прозвучало. Все уже было неоднократно озвучено представителями центрального аппарата и территориальных управлений СТЭК в выступлениях в течении года, еще до начала госконтроля. Не озвучено ни одной цифры, ни одного конкретного показателя.
  Единственный вывод, который получилось сделать - даже пионеры 187-ФЗ с развитой службы ИБ не смогли выполнить в полном объеме требования законодательства. И допустили все те же ошибки, что и новички "клуба КИИ". Не все объекты заявили, не проводят категорирование вновь создаваемых объектов и т.д.
   
   2.2. Доклад "Тренды и ключевые особенности современных угроз информационной безопасности информационного пространства РФ" С.Корелов НКЦКИ.



Более содержательный на первый взгляд, много графиков и цифр

 Только о чем они? Какие выводы можно сделать?
 Рост количества атак вызван пропорциональным количеством защищаемых объектов (цифровизация основных процессов)? Или повышением качества мониторинга и выявления КА? Или активностью хакеров? Вариантов можно предложить множество.
   Приведены успешные КА или предотвращенные? К скольким компьютерным инцидентам они привели? 
   
 Думаю что перекос в целях атак у НКЦКИ вызван спецификой зоны контроля - госучреждения и ОПК.
  Опять же, а почему количество компьютерных атак никак не коррелирует с количеством уголовных дел за них? По ст.274.1 УК РФ только 10% приговоров вынесено внешним хакерам, а не работникам субъектов КИИ. По ст.272-273 УК РФ приговоров побольше, но практически все компьютерные атаки из профессионального интереса к саморазвитию осуществлены
   
  Как было сказано в докладе "слайд очевидный и банальный, но почему то никто не выполняет".  Вот с этим слайдом и озвученной проблемой полностью согласен. Без обеспечения базового уровня безопасности все остальные модные надстройки ИБ эффекта не дадут. Эти мероприятия НАДО выполнять на постоянной основе!

2.3. Секция вопрос-ответ состояла из двух частей:

1.       Ответы на заранее поданные вопросы через сайт организаторов







2.       Ответы на вопросы из зала



  По непонятной причине от ФСТЭК прозвучало утверждение, что "любая организация осуществляющая деятельность в 13 сферах - это субъект КИИ". Очень странная позиция, если посмотреть ст.2  в 187-ФЗ. И при такой постановке задачи, мы снова возвращаемся к потенциальному количеству субъектов КИИ - более 500 000 организаций в стране (оценка ФСТЭК в 2018 году). При таком количестве субъектов КИИ очень бледно смотрятся показатели по категорированию ОКИИ, достигнутые за 4 года действия закона. Без внесения изменений в 187-ФЗ вряд ли что то получится с реализаций закона. Если организация становится субъектом КИИ при осуществлении определенных видов экономической деятельности, то такие формулировки необходимо прямо внести в 187-ФЗ. 

   3. Интересный замысел по централизации ИБ в сфере здравоохранения был озвучен в докладе 

Построение Единой системы обеспечения ИБ в сфере здравоохранения 



Презентация https://soc-forum2021.ib-bank.ru/files/files/Presentations2021/SOC_21_ib-bank_Dubasov.pdf


  4. Уже традиционно был развернут отдельный стенд НКЦКИ, на котором можно было получить наглядную агитацию




Блокноты в этот раз были в простом исполнении, без дополнительной информации внутри.

И можно было пройти письменный опрос


   Задумка хорошая, сбор обратной связи дело полезное.
   К сожалению по п.8, непонятно кто и на каком основании проводит добровольную аккредитацию центров ГосСОПКА с точки зрения законодательных актов. Это тоже надо  закреплять в НПА.
   По п.9, когда то НКЦКИ обещали опубликовать реестр техсредств ГосСОПКА, рекомендованных к применению субъектами системы. Да и однозначного ответа от ФСТЭК/НКЦКИ не поступило по разграничению зон действия 239 приказа ФСТЭК и 196 приказа ФСБ в отношении средств защиты.


  Раздел "Правоприменительная практика по ст.274.1 УК РФ "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" на главной страницы блога - https://valerykomarov.blogspot.com/p/2741.html

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

4 комментария:

  1. презентация по п.3 ИБ в здравоохранении
    - организационные меры защиты информации
    в ИС в сфере здравоохранения
    разработаны не в полном объеме

    - в ИС в сфере здравоохранения
    используется недоверенное прикладное
    и системное программное обеспечение

    - подтверждение соответствия требованиям
    информационной безопасности получено
    не для всех ИС
    в сфере здравоохранения

    и т.п.

    Интересный материал дал Александр... Это для систем в промэксплуатации, в которых идет обработка персданных специальной категории :)

    ОтветитьУдалить
    Ответы
    1. по итогам доклада была проведена отдельная закрытая секция на форуме. Многие моменты доклада обсуждались дополнительно

      Удалить
  2. 2ч. впустую потраченного времени. А те, кто там был, ещё и денег и, наверное, немалых. Возможно, я что-то не то смотрел. Если можно коротко, что было полезного?

    ОтветитьУдалить
    Ответы
    1. Возможность встретится с коллегами в холле для прямого обмена опытом. Форум с максимальным посещением специалистов. Ни на ТБ форум, ни на инфофорум, ни на ПХД столько знакомых не встретишь.

      Удалить