ГосСОПКА и обеспечение безопасности КИИ. О чем говорится в недавно утвержденных документах ФСБ

Нормативно-правовая база в области обеспечения безопасности критической информационной инфраструктуры продолжает пополняться новыми документами. Вслед за ФСТЭК России, утвердившей требования к обеспечению безопасности значимых объектов КИИ, свой шаг сделал и другой регулятор — ФСБ России, ответственный за функционирование государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). О документах, которых субъекты КИИ ждали с июля прошлого года, расскажем дальше.

В первой половине сентября на официальном интернет-портале были опубликованы сразу три приказа:

• о Национальном координационном центре по компьютерным инцидентам;
• об утверждении Перечня информации, представляемой в ГосСОПКА и Порядка представления информации в ГосСОПКА;
• об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами КИИ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружен

Приказы призваны внести ясность в вопросы, связанные с обеспечением обмена информацией о компьютерных инцидентах и атаках, взаимодействием с ГосСОПКА.

Приказ формализует задачу, функции и права структуры, ответственной за координацию деятельности субъектов КИИ по противостоянию компьютерным атакам и реагированию на компьютерные инциденты.

Методическое обеспечение, консультации, информирование субъектов КИИ об актуальных атаках и способах их предупреждения и обнаружения, сбор, хранение информации об инцидентах и атаках, а также обмен такой информацией — эти и иные вопросы с недавнего времени находятся в ведении НКЦКИ.

С недавнего времени в ведение НКЦКИ попадают: методическое обеспечение, консультации, информирование субъектов КИИ об инцидентах и атаках.

Для выполнения своих непосредственных функций НКЦКИ уполномочен уведомлять субъекты КИИ и запрашивать информацию об атаках и инцидентах. Причем в качестве получателя могут выступать любые организации, в том числе международные и иностранные.

Приказ ФСБ России № 367 растолковал, какая именно информация будет поступать в ГосСОПКА: помимо сведений о присвоении, не присвоении, изменении категорий значимости объектам КИИ и инцидентах информационной безопасности объектов КИИ обязал информировать о выявленных нарушениях.

Эту информацию в ГосСОПКА предоставляет уполномоченный орган — ФСТЭК, а сведения об инцидентах — непосредственно субъект КИИ, при этом промежуточным звеном в обоих случаях выступает НКЦКИ.

В приказе определены сроки (1 месяц — для ФСТЭК, 24 часа — для субъекта КИИ), формы, а также способы предоставления информации (интеграция с технической инфраструктурой НКЦКИ или отправка информации по контактным данным, указанным на официальном сайте)

Субъекты КИИ в целях минимизации последствий могут осуществлять обмен сведениями о компьютерных инцидентах с иными субъектами КИИ, иностранными и международными организациями.

Обмен информацией об инцидентах осуществляется путем взаимного направления уведомлений с обязательным информированием НКЦКИ. Важно отметить, что субъект КИИ лично определяет круг субъектов, с которыми намерен поделиться информацией.

В свою очередь обмен информацией с иностранными и международными организациями осуществляется при непосредственном участии НКЦКИ.

Субъекты КИИ получают сведения о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения.

Субъекты КИИ для получения такой информации отправляют соответствующий запрос НКЦКИ (с использованием технической инфраструктуры или иных каналов связи, о которых упоминалось ранее), ФСБ России или иным организациям (в этом случае запрос не должен содержать информацию об инцидентах). В свою очередь получение субъектами КИИ запрошенной информации происходит с учетом условий порядка обмена информацией об инцидентах.

Рассмотренные приказы составляют ровно половину от общего числа запланированных к разработке нормативных актов ФСБ России по темам, связанным с обеспечением безопасности КИИ и взаимодействием с ГосСОПКА.

На данном этапе тексты трех других приказов находятся на стадии общественного обсуждения и независимой антикоррупционной экспертизы. Это следующие приказы:

• об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации;
• об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации;
• об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
  

Принять и опубликовать указанные нормативные акты планируется не позднее января 2019 года.

Помимо опубликованных и готовящихся приказов ФСБ России разработала ряд методических документов, связанных с практическим применением законодательных актов.

Стоит отметить, что данные документы не являются общедоступными — получить их возможно только по письменному запросу организации с обоснованием необходимости ознакомления.

В список таких документов попали:

• требования к подразделениям и должностным лицам субъектов ГосСОПКА;
• методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА;
• регламент взаимодействия подразделений ФСБ России и организаций при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак;
• методические рекомендации по обнаружению компьютерных атак на информационные ресурсы РФ;
• методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов РФ;
• методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак
  
  

Запрос на получение документов субъекты КИИ могут направить на имя директора НКЦКИ, должность которого занимает начальник Центра защиты информации и специальной связи ФСБ России.

Несмотря на то, что с даты выхода основного закона в области обеспечения безопасности КИИ прошло более года, подзаконные нормативные акты, которые раскрывают особенности обеспечения безопасности КИИ и взаимодействия с ГосСОПКА, разрабатываются и принимаются именно сейчас.

Акрибия будет продолжать следить за развитием нормативно-правовых актов, регламентирующих процесс обеспечения безопасности КИИ и делиться информацией. Пока же, если у вас имеются вопросы по аудиту и категорированию объектов КИИ, взаимодействию с НКЦКИ и интеграции с ГосСОПКА, вы можете проконсультироваться с нашими специалистами.