Находясь на ИнфоБЕРЕГе я в очередной раз задумался о том, что в России очень не хватает единого органа, который бы занимался вопросами информационной безопасности во всех ее проявлениях и для различных заинтересованных лиц. Эту тему я в шутку поднимал в 2011-м году и вот на конференции эта тема всплыла сразу с нескольких сторон.
Началось все после моей заметки о необходимости направления уведомления с результатами проведения очередной самооценки соответствия СТО БР ИБС регуляторам. Вроде бы в 2010-м году процедура была прописана, отработана и в первое время она не давала сбоев. В 2011-м году вышла новая редакция ФЗ-152. В 2012-м вышло новое ПП-1119, которое отменило ПП-781 с его требованием по классификации ИСПДн. В 2013-м вышли новые требования по защите персональных данных от ФСТЭК. А "письмо шести" и сам СТО БР ИББС пока остаются неизменными (сейчас готовится новая версия СТО, но пока без обновления раздела по ПДн). И помимо непонятной ситуации с тем, выполнять СТО БР ИББС или остальное законодательство по ПДн, сейчас возникла ситуация с взаимодействием регуляторов по вопросам ИБ.
Если вспомнить, то разъяснение ЦБ гласило, что результаты самооценки направлять в ГУБЗИ, а оно само уже перенаправить их в ФСТЭК, ФСБ и РКН. Но сейчас эта схема дает сбой. ГУБЗИ направляет всех в центральную экспедицию. Оттуда направляют в другом направлении :-( А в ФСТЭК и ФСБ надо писать теперь самостоятельно.
Другой пример, который с коллегами обсуждался в кулуарах на ИнфоБЕРЕГе. Допустим, фиксируется мощная DDoS-атака на какой-либо крупного оператора связи. Это может быть Мегафон, Ростелеком, МТС. Вымпелком и т.п. Куда обращаться в этом случае? В Минкомсвязь? В Роскомнадзор? В БСТМ МВД? А может в ЦИБ ФСБ? А может в 8-й Центр ФСБ? А может в Минобороны? Ведь такая атака может быть организована как киберпреступниками (и тогда эта тема МВД), так и кибертеррористами (и тогда это тема ФСБ). А может и вовсе быть началом кибервойны и тогда это епархия Минобороны. Есть ли у нас четкие критерии принятия решения и четкая пошаговая процедура действий? Я о такой не слышал.
Или другой пример, который возник в результате подготовки презентации по информационной безопасности Олимпиады в Лондоне. Кто должен отвечать за ее защиту и реагирование на инциденты ИБ? МВБ, ФСБ? А если ФСБ, то 8-ка или ЦИБ? Вот как, например, выглядела схема взаимодействия различных спецслужб по вопросам кибербезопасности на Олимпиаде в канадском Ванкувере.
8 заинтересованных сторон. В условиях, когда счет идет на минуты, такая сложная схема взаимодействия ("перекладывания ответственности") может привести к печальным последствиям. Здесь старые регламенты 60-70-х годов, когда на реакцию отводились сутки или даже недели, не сработает. Это при атаке на обычный объект защиты в обычное время можно раскачиваться и долго решать, кто и как будет реагировать. В случае с Олимпиадой, которая проходит в сжатые сроки, реакция должна быть совсем другой. Все-таки репутационные риски от атак на рядовое предприятие или даже администрацию города и на событие, которое определяет, можно ли и дальше в России проводить крупные международные мероприятия, - это две больших разницы.
А вот еще один канадский пример - схема взаимодействия заинтересованных в кибербезопасности сторон на разном уровне (федеральном, региональном и муниципальном) при проведении в Канаде одной из встреч "стран двадцатки" (G20). Я не буду раскрывать, что значат эти аббревиатуры - сейчас это не так важно. Тут, главное, увидеть сложную схему взаимодействия и большое количество "ответственных".
Аналогичная мысль у меня возникла, когда я читал законопроект ФСБ по безопасности критически важных объектов. В нем также не было определено единого органа по защите КВО. Но главное, что не было описано и процедуры взаимодействия разных участников этого процесса - ФСБ, ФСТЭК, Минэнерго, Росатом, МЧС и т.д.
Ждем чрезвычайной ситуации, чтобы на практике понять, что надо что-то делать? Я думаю, что через 147 дней, когда начнется Олимпиада, у нас будет шанс в реальности понять, как взаимодействуют разные спецслужбы в киберпространстве. Может стоит помоделировать разные сценарии развития событий, не дожидаясь часа "Х"?..
Началось все после моей заметки о необходимости направления уведомления с результатами проведения очередной самооценки соответствия СТО БР ИБС регуляторам. Вроде бы в 2010-м году процедура была прописана, отработана и в первое время она не давала сбоев. В 2011-м году вышла новая редакция ФЗ-152. В 2012-м вышло новое ПП-1119, которое отменило ПП-781 с его требованием по классификации ИСПДн. В 2013-м вышли новые требования по защите персональных данных от ФСТЭК. А "письмо шести" и сам СТО БР ИББС пока остаются неизменными (сейчас готовится новая версия СТО, но пока без обновления раздела по ПДн). И помимо непонятной ситуации с тем, выполнять СТО БР ИББС или остальное законодательство по ПДн, сейчас возникла ситуация с взаимодействием регуляторов по вопросам ИБ.
Если вспомнить, то разъяснение ЦБ гласило, что результаты самооценки направлять в ГУБЗИ, а оно само уже перенаправить их в ФСТЭК, ФСБ и РКН. Но сейчас эта схема дает сбой. ГУБЗИ направляет всех в центральную экспедицию. Оттуда направляют в другом направлении :-( А в ФСТЭК и ФСБ надо писать теперь самостоятельно.
Другой пример, который с коллегами обсуждался в кулуарах на ИнфоБЕРЕГе. Допустим, фиксируется мощная DDoS-атака на какой-либо крупного оператора связи. Это может быть Мегафон, Ростелеком, МТС. Вымпелком и т.п. Куда обращаться в этом случае? В Минкомсвязь? В Роскомнадзор? В БСТМ МВД? А может в ЦИБ ФСБ? А может в 8-й Центр ФСБ? А может в Минобороны? Ведь такая атака может быть организована как киберпреступниками (и тогда эта тема МВД), так и кибертеррористами (и тогда это тема ФСБ). А может и вовсе быть началом кибервойны и тогда это епархия Минобороны. Есть ли у нас четкие критерии принятия решения и четкая пошаговая процедура действий? Я о такой не слышал.
Или другой пример, который возник в результате подготовки презентации по информационной безопасности Олимпиады в Лондоне. Кто должен отвечать за ее защиту и реагирование на инциденты ИБ? МВБ, ФСБ? А если ФСБ, то 8-ка или ЦИБ? Вот как, например, выглядела схема взаимодействия различных спецслужб по вопросам кибербезопасности на Олимпиаде в канадском Ванкувере.
8 заинтересованных сторон. В условиях, когда счет идет на минуты, такая сложная схема взаимодействия ("перекладывания ответственности") может привести к печальным последствиям. Здесь старые регламенты 60-70-х годов, когда на реакцию отводились сутки или даже недели, не сработает. Это при атаке на обычный объект защиты в обычное время можно раскачиваться и долго решать, кто и как будет реагировать. В случае с Олимпиадой, которая проходит в сжатые сроки, реакция должна быть совсем другой. Все-таки репутационные риски от атак на рядовое предприятие или даже администрацию города и на событие, которое определяет, можно ли и дальше в России проводить крупные международные мероприятия, - это две больших разницы.
А вот еще один канадский пример - схема взаимодействия заинтересованных в кибербезопасности сторон на разном уровне (федеральном, региональном и муниципальном) при проведении в Канаде одной из встреч "стран двадцатки" (G20). Я не буду раскрывать, что значат эти аббревиатуры - сейчас это не так важно. Тут, главное, увидеть сложную схему взаимодействия и большое количество "ответственных".
Аналогичная мысль у меня возникла, когда я читал законопроект ФСБ по безопасности критически важных объектов. В нем также не было определено единого органа по защите КВО. Но главное, что не было описано и процедуры взаимодействия разных участников этого процесса - ФСБ, ФСТЭК, Минэнерго, Росатом, МЧС и т.д.
Ждем чрезвычайной ситуации, чтобы на практике понять, что надо что-то делать? Я думаю, что через 147 дней, когда начнется Олимпиада, у нас будет шанс в реальности понять, как взаимодействуют разные спецслужбы в киберпространстве. Может стоит помоделировать разные сценарии развития событий, не дожидаясь часа "Х"?..
