На 20-22 сентября выставке InfoSecurity Russia 2016 Дмитрий Николаевич Шевцов из ФСТЭК России рассказал о планируемых изменениях в 149-ФЗ в части информирования ФСТЭК России и ФСБ России о компьютерных инцидентах.
У меня сразу же возникли вопросы: как, кого и о чем необходимо будет информировать. Обязательно или добровольно? К сожалению, во время доклада никаких подробностей по этой теме не прозвучало. Давайте проведем самостоятельный анализ и попробуем определить, как оно может быть.
Текст законопроекта, о котором говорил Дмитрий Шевцов доступен по ссылке . Он уже прошел общественные обсуждения и антикоррупционную экспертизу. Процитирую его в части касающейся информирования:
"5.2. Операторы государственных информационных систем, а также иных информационных систем, в которых на основании договоров или иных законных основаниях обрабатывается информация, обладателями которой являются государственные органы или государственные корпорации, информируют федеральный орган исполнительной власти в области обеспечения безопасности и федеральный орган исполнительной власти, уполномоченный в области противодействия иностранным техническим разведкам и технической защиты информации, о событиях безопасности, в результате которых нарушено или прекращено функционирование информационной системы и (или) нарушена безопасность обрабатываемой в информационной системе информации (компьютерных инцидентах).»."
Что-то подобное мы уже слышали раньше в рамках концепции ГосСОПКА , не хватало только федерального закона, обязывающего сообщать об инцидентах.
Итак, давайте подумаем, как именно будет производится информирование (автоматически с СЗИ или вручную) и по каким каналам связи (телефон, почта, web портал, ГОССОПКА, отдельная система)?
В документах по ГосСОПКА применяются термин “компьютерная атака” которую надо обнаружить, предупредить, ликвидировать последствия, собирать и анализировать; и “компьютерный инцидент”, по которому необходимо установить причины и которым необходимо обмениваться. Вполне логично что “компьютерная атака” это то что автоматически обнаруживают сенсоры ГосСОПКА и автоматически пересылают в Центры ГосСОПКА. А “компьютерный инцидент” это то, что должно регистрировать вручную и пересылаться вручную же.
К сожалению, о документе, который“в) определяет порядок обмена информацией между федеральными органами исполнительной власти о компьютерных инцидентах, связанных с функционированием информационных ресурсов Российской Федерации;” пока ничего не известно. А он мог бы пролить свет на то, как это будет.
Давайте посмотрим на самое близкое что уже используют наши регуляторы:
ФСТЭК России мог бы использовать уже существующий web портал БДУ и к имеющимся формам сообщения об уязвимости и угрозе, добавить ещё форму сообщения о компьютерном инциденте. Единственное чего не хватает – возможности использования электронной подписи (про шутников и поддельные сообщения не надо забывать)
В части ФСБ России вполне можно взглянуть на актуальное в рамках борьбы с терроризмом информирование об инцидентах транспортной безопасности:
Приказ Минтранса №56: “3. Информирование об угрозах совершения и о совершении актов незаконного вмешательства на объектах транспортной инфраструктуры и транспортных средствах субъектами транспортной инфраструктуры и перевозчиками посредством имеющихся средств связи органов Федеральной службы безопасности Российской Федерации и органов внутренних дел Российской Федерации или их уполномоченных структурных подразделений, Федеральной службы по надзору в сфере транспорта и ее территориальных органов осуществляется по месту фактического нахождения объектов транспортной инфраструктуры..
4. Субъекты транспортной инфраструктуры и перевозчики при информировании об угрозах совершения и о совершении актов незаконного вмешательства на объектах транспортной инфраструктуры и транспортных средствах государственных органов, указанных в пункте 2 настоящего Порядка, используют телефонные и радиосредства связи, в случае их отсутствия используют электронные и/или факсимильныесредства связи.
9. При представлении информации об угрозах совершения и о совершении актов незаконного вмешательства на объектах транспортной инфраструктуры и транспортных средствах в государственные органы, указанные в пункте 2 настоящего Порядка, по средствам электронной связи в электронном виде, информация подписывается электронно-цифровой подписью лица, заполнившего соответствующее приложение к настоящему Порядку …”
Ну и более-менее свежий пример конкретных контактов из публичного документа:
Как мы видим – основные каналы сбора информации об инцидентах у ФСБ России сейчас это телефон и email.
Ещё можно посмотреть на ЦБ которые в рамках FINCERT собирают информацию об инцидентах на email fincert@cbr.ru в форме указанной в регламенте . Какой-либо электронной подписи не предусмотрено. Упоминается такой вариант защиты как шифрование архива под пароль и передача пароля по альтернативному каналу. Не очень похоже на лучшие практики. Зато в регламенте fincert можно посмотреть содержание информации об инцидентах, которую могут попросить регуляторы.
У меня сразу же возникли вопросы: как, кого и о чем необходимо будет информировать. Обязательно или добровольно? К сожалению, во время доклада никаких подробностей по этой теме не прозвучало. Давайте проведем самостоятельный анализ и попробуем определить, как оно может быть.
Текст законопроекта, о котором говорил Дмитрий Шевцов доступен по ссылке . Он уже прошел общественные обсуждения и антикоррупционную экспертизу. Процитирую его в части касающейся информирования:
"5.2. Операторы государственных информационных систем, а также иных информационных систем, в которых на основании договоров или иных законных основаниях обрабатывается информация, обладателями которой являются государственные органы или государственные корпорации, информируют федеральный орган исполнительной власти в области обеспечения безопасности и федеральный орган исполнительной власти, уполномоченный в области противодействия иностранным техническим разведкам и технической защиты информации, о событиях безопасности, в результате которых нарушено или прекращено функционирование информационной системы и (или) нарушена безопасность обрабатываемой в информационной системе информации (компьютерных инцидентах).»."
Что-то подобное мы уже слышали раньше в рамках концепции ГосСОПКА , не хватало только федерального закона, обязывающего сообщать об инцидентах.
Итак, давайте подумаем, как именно будет производится информирование (автоматически с СЗИ или вручную) и по каким каналам связи (телефон, почта, web портал, ГОССОПКА, отдельная система)?
В документах по ГосСОПКА применяются термин “компьютерная атака” которую надо обнаружить, предупредить, ликвидировать последствия, собирать и анализировать; и “компьютерный инцидент”, по которому необходимо установить причины и которым необходимо обмениваться. Вполне логично что “компьютерная атака” это то что автоматически обнаруживают сенсоры ГосСОПКА и автоматически пересылают в Центры ГосСОПКА. А “компьютерный инцидент” это то, что должно регистрировать вручную и пересылаться вручную же.
К сожалению, о документе, который“в) определяет порядок обмена информацией между федеральными органами исполнительной власти о компьютерных инцидентах, связанных с функционированием информационных ресурсов Российской Федерации;” пока ничего не известно. А он мог бы пролить свет на то, как это будет.
Давайте посмотрим на самое близкое что уже используют наши регуляторы:
ФСТЭК России мог бы использовать уже существующий web портал БДУ и к имеющимся формам сообщения об уязвимости и угрозе, добавить ещё форму сообщения о компьютерном инциденте. Единственное чего не хватает – возможности использования электронной подписи (про шутников и поддельные сообщения не надо забывать)
В части ФСБ России вполне можно взглянуть на актуальное в рамках борьбы с терроризмом информирование об инцидентах транспортной безопасности:
Приказ Минтранса №56: “3. Информирование об угрозах совершения и о совершении актов незаконного вмешательства на объектах транспортной инфраструктуры и транспортных средствах субъектами транспортной инфраструктуры и перевозчиками посредством имеющихся средств связи органов Федеральной службы безопасности Российской Федерации и органов внутренних дел Российской Федерации или их уполномоченных структурных подразделений, Федеральной службы по надзору в сфере транспорта и ее территориальных органов осуществляется по месту фактического нахождения объектов транспортной инфраструктуры..
4. Субъекты транспортной инфраструктуры и перевозчики при информировании об угрозах совершения и о совершении актов незаконного вмешательства на объектах транспортной инфраструктуры и транспортных средствах государственных органов, указанных в пункте 2 настоящего Порядка, используют телефонные и радиосредства связи, в случае их отсутствия используют электронные и/или факсимильныесредства связи.
9. При представлении информации об угрозах совершения и о совершении актов незаконного вмешательства на объектах транспортной инфраструктуры и транспортных средствах в государственные органы, указанные в пункте 2 настоящего Порядка, по средствам электронной связи в электронном виде, информация подписывается электронно-цифровой подписью лица, заполнившего соответствующее приложение к настоящему Порядку …”
Ну и более-менее свежий пример конкретных контактов из публичного документа:
Как мы видим – основные каналы сбора информации об инцидентах у ФСБ России сейчас это телефон и email.
Ещё можно посмотреть на ЦБ которые в рамках FINCERT собирают информацию об инцидентах на email fincert@cbr.ru в форме указанной в регламенте . Какой-либо электронной подписи не предусмотрено. Упоминается такой вариант защиты как шифрование архива под пароль и передача пароля по альтернативному каналу. Не очень похоже на лучшие практики. Зато в регламенте fincert можно посмотреть содержание информации об инцидентах, которую могут попросить регуляторы.
