Обзор 282-го приказа ФСБ по порядку информирования ФСБ об инцидентах

Обзор 282-го приказа ФСБ по порядку информирования ФСБ об инцидентах
На прошлой неделе на официальном портале правовой информации были выложены два оставшихся приказа ФСБ, регулирующих вопросы, связанные с обнаружением, предотвращением и ликвидацией последствий компьютерных атак для субъектов КИИ. Первый касался порядка информирования ФСБ о компьютерных инцидентах, а второй - о порядке установки и эксплуатации средств ГосСОПКИ. Я попробую задаться рядом вопросов по этим приказам, как будто бы я был субъектом КИИ.


Начнем со сферы действия 282-го приказа, утверждающего порядок информирования ФСБ об инцидентах. Она сразу же вызывает вопросы. Посмотрите на то, как сформулирована сфера действия этого приказа с точки зрения русского языка. Там описано две процедуры - информирование об инцидентах и реагирование на компьютерные инциденты и ликвидация последствий компьютерных атак. Первая процедура касается всех субъектов КИИ без исключения, вторая - только на тех, у кого есть значимые объекты КИИ.

О каких инцидентах надо сообщать в НКЦКИ? В приказе написано, что обо всех, а в различных презентациях сотрудников ФСБ говорится о конкретном списке из 10 категорий и 20 типов инцидентов. Но отсутствие утвержденного перечня приводит к некоторой сумятице в головах. Многие SOC ориентированы не на обнаружение всего, а на вполне конкретные use case, которые могут отличаться от списка ФСБ. Например, мало кто фиксирует публикацию запрещенной законодательством РФ информации (тем более, что это понятие настолько широкое, что приводит к различным ляпам и недоразумениям). А во-вторых, в контексте готовящихся правок в КоАП по части установления штрафов за нарушение порядка уведомления НКЦКИ также возникает вопрос, а что если я не сообщу о чем-то, что для меня мелочь, а ФСБ посчитает важным инцидентом?


Информирование НКЦИ осуществляется в соответствии с утвержденными НКЦКИ форматами представления информации. Утверждены ли эти форматы? Где они опубликованы? Ответов на эти вопросы у меня нет.

Оповещение ФСБ проводится в течение 3-х часов для значимых объектов КИИ и в течение 24-х часов для остальных объектов КИИ с момента обнаружения инцидента. Если субъект КИИ является финансовой организацией, то она должна также уведомить в те же сроки еще и ФинЦЕРТ. В самом приказе про это ни слова (как и в нормативных актах Банка России), но уже неоднократно на мероприятиях озвучивалась информация, что финансовая организация может направлять данные только в одну сторону, а ФинЦЕРТ. Но только при условии, что она уведомит об этом своем решении НКЦКИ. Я не очень люблю джентльменские соглашения между регуляторами, которые ничем документальным не подтверждены. В любой момент от них можно отказаться и большинство юристов просто не понимает таких конструкций.

Если субъекту КИИ принадлежат значимые объекты КИИ, то в течение 90 дней с момента включения такого объекта в реестр ФСТЭК, субъект должен разработать план реагирования на инциденты. Тут есть еще одна юридическая неточность. Согласно правилам русского языка это требование по разработке плана распространяется на субъекта целиком, а согласно смыслу и юридическим нормам этот план должен касаться только значимых объектов, а не всех.

Дальше больше. 7-й пункт порядка говорит о том, что при необходимости в план включаются условия привлечения ФСБ к реагированию на инциденты. Если такие условия попали в план, то он должен быть согласован с НКЦКИ, который в течение 30 дней согласовывает план или возвращает для доработки. Если субъект является финансовой организацией, то план должен также содержать положения о привлечении Банка России к реагированию на инциденты. Это, конечно, странные требования. Во-первых, в нормативных актах ЦБ нигде не говорится о привлечении их к реагированию на инциденты и процедура такого привлечение нигде не описана. А во-вторых, кто определяет необходимость привлечения ФСБ? Если сам субъект, то, думаю, в здравом уме никто не захочет связывать себя такими ограничениями.

Интересно, что впервые в официальных документах требуется проведения киберучений (только для значимых объектов). Еще один нормативный акт, который говорит о киберучениях, сейчас находится на утверждении и касается суверенного Рунета и операторов связи.

К сожалению, название приказа не отражает его содержания :-( Никакого порядка информирования или реагирования в нем нет. Есть общие слова и все. Зато есть обязанность информировать НКЦКИ, в том числе и результатах реагирования на каждый инцидент на значимом объекте КИИ. Это тоже одна из тенденций российской регуляторики. Например, ФинЦЕРТ в декабрьском 4926-У также требует не только уведомлять о мошеннических операциях, но и о действиях, предпринятых для устранения причин и последствий атак. Если субъект КИИ является финансовой организацией, то он о мерах по реагированию должен уведомлять еще и ФинЦЕРТ (хотя последний этого и не требует по своим нормативам и не установил такую процедуру).
Alt text