четверг, 26 мая 2022 г.

Просто беда с этой ГосСОПКА

 





   История с законопроектом по изменению 152-ФЗ  https://valerykomarov.blogspot.com/2022/04/blog-post_26.html продолжается. Сначала прошло 19.05.22 заседание комитета комитета ГД, на котором заслушали представителей общественности и 24.05.22 законопроект был принят ГосДумой в первом чтении.

   Заседание Комитета по информационной политике, информационным технологиям и связи очень эмоциональное и характерное.




    Как принимался законопроект в первом чтении и какие вопросы к нему возникли у депутатов можно посмотреть здесь



    В данной заметке коснемся единственного вопроса, на котором авторы законопроекты сделали акцент - принуждение всех операторов ПДн к непрерывному взаимодействию с ГосСОПКА, которое не потребует затрат бюджета. И обсуждение мы построим на аргументах авторов законопроекта, озвученных на заседании Комитета - https://youtu.be/UuPuUPBCRZs?t=696


О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных https://sozd.duma.gov.ru/bill/101234-8#bh_histras


«12.  Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных.»

   Порядка ФСБ по непрерывному взаимодействию операторов ПДн с ГосСОПКА не существует, он только будет разработан. Отдельно замечу, что это именно приказ ФСБ должен быть, а не документ от НКЦКИ.

   Более того, для субъектов КИИ такого документа тоже не существует. Есть Приказ ФСБ России от 24 июля 2018 г. № 367, но он ИСКЛЮЧИТЕЛЬНО про представление информации в ГосСОПКА, но не про взаимодействие.

  Есть регламент взаимодействия ФСБ с субъектом КИИ при осуществлении информационного обмена, опять же область взаимодействия ограничена.

   В законопроекте прямо указано, что «информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных» это ЧАСТЬ процесса взаимодействия. То есть, область требований намного шире.

  Далее, обязанность непрерывного взаимодействия с ГосСОПКА возложена законом на субъект КИИ только в отношении ЗНАЧИМЫХ объектов КИИ, а не всех.

  Этот процесс обеспечивается субъектом КИИ при выполнении 235 и 239 приказа ФСТЭК, путем создания системы безопасности ЗОКИИ. То есть, организация выделяет отдельные силы и средства безопасности ЗОКИИ. И это совсем не бесплатно.

  Для незначимых объектов КИИ никакого требования о взаимодействии с ГосСОПКА в законодательства нет. Они только информируют НКЦКИ о компьютерных инцидентах в течении 24 часов. Да, сейчас допускается вариант через почту/телефон. Но это резервный вариант, а не основной. И подключение к технической инфраструктуре НКЦКИ уже требует затрат.



  И не забывайте, что текущая ситуация базируется всего на одной строке в приказе ФСБ 

«В случае отсутствия подключения к технической инфраструктуре НКЦКИ информация направляется посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: http://cert.gov.ru». 

   Достаточно убрать эту строку и вопрос стоимости заиграет новыми красками. Приказ изменить намного проще, чем ФЗ. А мы узнаем по факту. К тому же мы не знаем какой порядок взаимодействия будет прописан для операторов ПДн в итоге. Его еще нет. Сейчас нам могут обещать одно, а через месяц изменится ситуация и выйдет совсем по другому.

  Информационное взаимодействие субъектов КИИ с НКЦКИ выглядит так



   Авторы законопроекта дали справку
«Принятие Федерального закона «О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных» не потребует признания утратившими силу, приостановления, изменения или принятия иных актов федерального законодательства.»

   Необходимо вносить изменения в ст. 5 187-ФЗ «Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», поскольку силы оператора ПДн сейчас не относятся к силам ГосСОПКА.
    Непонятно как применять операторам ПДн определение «компьютерный инцидент», заданное в ст.2 187-ФЗ, поскольку компьютерный инцидент может быть исключительно на объекте КИИ или с информацией, обрабатываемой исключительно объектом КИИ. А для операторов ПДн характерен инцидент ИБ, а не КИ. Или просто инцидент по 21 приказу ФСТЭК. При этом, даже ГОСТ по мониторинг ИБ указывает, что он не применяется для процессов с КИ. https://valerykomarov.blogspot.com/2022/04/blog-post.html
    Определение «компьютерная атака» опять же задана через объект КИИ.
    Необходимо вносить изменения в Приказ ФСБ №366, поскольку сейчас задачи НКЦКИ ограничены только субъектами КИИ. С иными организациями только обмен информацией о компьютерных инцидентах. Необходимо вносить изменения в Приказ ФСТЭК №21 по аналогии с приказом ФСТЭК № 239.
   Непонятно почему вообще не используется опыт, накопленный по реализации 187-ФЗ.
1. Он негативный, даже по докладам регуляторов.
2. О том, что реализация требований 187-ФЗ не потребует никаких затрат у субъектов КИИ и вообще все уже реализовано – заявлялось в ГД еще в 2017 году https://zen.yandex.ru/video/watch/603f60041b252e28ff4fde11.  И речь идет о десятках тысяч организаций страны, а теперь про ВСЕ (десятки миллионов). Как можно на основе опыта взаимодействия НКЦКИ с 3 000 организациями делать вывод об отсутствии проблем с взаимодействием у 7 000 000 организаций? Это ведь на ТРИ порядка больше цифра. В 2 500 раз больше!
 3. Обобщен ли опыт НКЦКИ по взаимодействию с субъектами КИИ в отношении ИСПДн, которые отнесены к ОКИИ? Или все скопом и не важно в отношении какого типа ОКИИ (ИС/АСУ/ИТКС)? 


   И самый главный вопрос к авторам законопроекта. Есть разница между оператором ПДн и оператором ИСПДн? Ведь 152-ФЗ устанавливает требования для оператора ПДн, который может осуществлять как автоматизированную обработку ПДн в ИСПДн, так и не автоматизированную.     Какое отношение имеет НКЦКИ к неавтоматизированной обработке ПДн? Компьютерная атака на шкаф с личными делами работников в отделе кадров?
   Ведь есть Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и формулировке о ГосСОПКА самое место в ПП, а не ФЗ.
  Лучше, если сначала только для УЗ1. Просто добавить в пункт 16 подпункт «в» про взаимодействие с ГосСОПКА.
   Потом, по мере накопления совершенствования базы, распространить на УЗ2.
   А УЗ4 и УЗ3 не трогать вообще.

  Теперь про готовность без дополнительного финансирования обеспечить взаимодействие с ГосСОПКА всех операторов ПДн.
   Да, уже действует норма закона про «принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них», но эта норма только про ИСПДн и только про компьютерные инциденты, то есть норма более узкая, чем предлагаемая. И она ничем не подкреплена для исполнения. Рассмотрим это подробнее
    Для взаимодействия нужен исполнитель, ответственный за обеспечение безопасности ПДн при обработке в ИСПДн. Он в обязательном порядке появляется в организации только для УЗ3 по ПП1119. То есть, если в организации только ИСПДн с УЗ4, то необходимо нанимать обученного специалиста. Нужны деньги.
   Далее, требования по выявлению инцидентов в ИСПДн появляются только с УЗ2 (21 приказ ФСТЭК XIV. Выявление инцидентов и реагирование на них (ИНЦ)). То есть, если в организации ИСПДн с УЗ4 и УЗ3, то никто никакого процесса выявления инцидентов не строил. Нужны деньги.
   Может у всех операторов уже должны быть средства обнаружения компьютерных атак или в терминологии ФСТЭК – средств обнаружения вторжения? Нет, VII. Обнаружение вторжений (СОВ) только для УЗ2 И УЗ1.
   Таким образом, мы видим, что для наиболее массового сегмента ИСПДн с низкими уровнями защиты ПДн не обеспечено заранее выполнение норм законопроекта. Нет ни персонала, ни технических средств. Они просто не узнают о том, что по ним проводится компьютерная атака или у них компьютерный инцидент. Они не смогут реализовать информацию, полученную от НКЦКИ.
   Даже при наличии подготовленного специалиста появляется необходимость возложения ДОПОЛНИТЕЛЬНЫХ обязанностей, а это увеличение фонда оплаты труда. https://valerykomarov.blogspot.com/2019/12/blog-post_19.html
    И это мы смотрели на ситуацию в «тепличных» условиях, при вводной – все организации в стране выполняют требования 152-ФЗ в полном объеме. Реальность несколько другая, совсем другая.
    Другой момент, ведь процесс взаимодействия подразумевает взаимное участие сторон. Не только оператор ПДн, но и НКЦКИ должен быть готова к обработке такого массива информации. Вот просто заключить 7 000 000 соглашений с организациями о взаимодействии, это как масштаб задачи? Это наращивание технической инфраструктуры НКЦКИ, это набор персонала НКЦКИ.        Иначе сроки обработки информации о КИ от операторов ПДн будут очень грустными. 
И непонятно зачем вообще тогда требовать «непрерывного» взаимодействия от операторов ПДн.
Еще момент. Раз уж у нас так любят на опыт с КИИ ссылаться.
   Почему никто не учитывает такой момент – огромный массив исходной информации об ОКИИ поступает в НКЦКИ не от субъекта КИИ, а от ФСТЭК. То есть, в НКЦКИ еще до инцидента есть вся информация об ОКИИ (состав ПО, ПАК, место размещения и т.д.). Субъект КИИ только сообщает о параметрах инцидента, остальная информация для анализа уже есть в НКЦКИ.


    А по ИСПДн страны откуда эта информация в НКЦКИ возьмется (их десятки миллионов)? Каким образом НКЦКИ будет осуществлять целевое информирование операторов ПДн об угрозах? По субъектам КИИ у них есть хотя бы теоретическая возможность провести селекцию по информации от ФСТЭК, а здесь как?

  Итог: 
1. Текущую формулировку о непрерывном взаимодействии необходимо заменить на «направление информации операторами ПДн, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Конкретизировать что только в отношении ИСПДн.
2. Работу с НКЦКИ прописывать в ПП1119, с учетом уровней значимости.
3. Спланировать изменение всей нормативной базы по защите ПДн, синхронизировать эти изменения. Гармонизировать подзаконные акты по защите ПДн.
4. Внедрение требований проводить поэтапно, с корректировкой согласно полученного опыта.
5. Предусмотреть финансирование и субсидирование операторов ПДн и ФСБ.
6. Внести изменения в программы повышения квалификации для специалистов, обеспечивающих защиту ИСПДн. Ввести отдельный модуль обучения взаимодействию с НКЦКИ.

   Вывод: выстраивание реального реагирования на компьютерные инциденты и компьютерные атаки в организации - это долгосрочный и затратный процесс. Он требует серьезного подготовки и обеспеченности всеми видами ресурсов - финансовыми, кадровыми, законодательными, методическими и т.д.


P.S. Все слайды с презентаций НКЦКИ.

 


Раздел "Правоприменительная практика по ст.274.1 УК РФ "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" на главной страницы блога - https://valerykomarov.blogspot.com/p/2741.html

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Комментариев нет:

Отправить комментарий