30 Мая, 2019

Безопасность КИИ: взаимодействие с НКЦКИ

Дмитрий Кузнецов

Это еще один часто задаваемый вопрос, причем от словосочетания "подключиться к ГосСОПКА" у меня уже глаз начинает дергаться. С огромным уважением отношусь к Алексею Комарову , и в целом согласен с его выводами. Но есть пара моментов, которые не могу не прокомментировать.

Обязанности, установленные нормативным документом, не стоит рассматривать в отрыве друг от друга - они взаимосвязаны. Вот произошел у вас на значимом объекте инцидент. Согласно букве закона этим инцидентом связаны три обязанности:

  • вы обязаны об этом инциденте сообщить в НКЦКИ (статья 9 п. 3 ФЗ-187);
  • вы обязаны на этот инцидент отреагировать в порядке, установленном ФСБ(там же, статья 9 п. 2);
  • а для того, чтобы суметь все это проделать, вы еще раньше должны были создать систему защиты, соответствующую требованиям ФСТЭК.

Уже из этого видно, что информирование НКЦКИ об инциденте - сущая мелочь по сравнению с остальными двумя обязанностями, взаимосвязанными с этой. Смотрим дальше - вот упрощенная схема процесса "обнаружения и ликвидации последствий компьютерного инцидента" (кликабельно).

Итак, в подразделение ИБ поступила информация (от SIEM или от пользователей) о возможном инциденте. Эта информация перепроверяется, и если факт инцидента подтвержден, субъект информирует НКЦКИ. Дальше по обстановке:

  • подразделение ИБ (или персонал объекта) может быть достаточно компетентным (или подобные инциденты уже могли достаточно часто случаться в прошлом), чтобы с инцидентом можно было справиться самостоятельно;
  • необходимой компетенции может не быть, и тогда нужна "помощь зала".

Так или иначе, формируется определенный набор действий, которые признаются целесообразными для реагирования на инцидент. Этих действий может оказаться недостаточно, и тогда итерация повторяется снова и снова, пока с инцидентом не удастся справиться. В итоге с процессной точки зрения реагирование на инцидент - это процесс обмена сообщениями, в котором потенциально могут участвовать подразделения ИТ и ИБ, возможно - бизнес-подразделения и, в некоторых случаях, НКЦКИ.

Безусловно, такие сообщения можно передавать и голосом по телефону, и на бумаге, и по электронной почте, но опять есть несколько "но":

  • и при взаимодействии с НКЦКИ, и при взаимодействии между ИБ и ИТ (особенно в случае территориально удаленного объекта) вместе с таким сообщением может понадобиться передавать данные довольно большого (для электронной почты) объема (образцы файлов, записи трафика и т.п.);

  • поскольку при реагировании иногда приходится выполнять болезненные операции, вроде остановки жизненно важных для организации сервисов, неплохо бы сохранять всю историю обмена сообщениями (вместе с сопутствующими им данными) для последующих разборок.

То есть, если есть значимый объект КИИ, то есть и потребность взаимодействовать, в том числе - и с НКЦКИ, в рамках реагирования на инцидент. Это взаимодействие не может быть голосовым - голосом бинарные данные не передашь. Передаваемые сообщения вряд ли могут быть чисто бумажным: отправка бумаги и носителей через экспедицию (или, Боже упаси, спецсвязью) удлиннит каждую итерацию обмена сообщениями на одну-две недели. И далеко не все готовы отправлять чувствительную информацию, связанную с инцидентом, обычной электронной почтой (особенно в инцидентах, связанных с взломом инфраструктуры, когда нарушитель, возможно, контролирует почтовую переписку).

В итоге уже у самого субъекта появляется потребность в защищенной системе обмена сообщениями (карточками инцидентов), интегрированной с инфраструктурой НКЦКИ. Ею будут пользоваться подразделения, участвующие в реагировании на инцидент, она же при необходимости будет использоваться для привлечения к инциденту НКЦКИ. И возможность использовать эту систему для информирования об инцидентах, становится всего лишь вишенкой на торте.

Обязан ли субъект непременно использовать подобную систему? Нет, не обязан. В далекие времена, когда нас в Позитиве работало человек сто, наше ИТ-подразделение прекрасно справлялось с координацией своей деятельности с помощью обычной электронной почты. Но, по мере роста компании и увеличения количества заявок, пришлось перейти на специализированный хелпдеск. Так же и здесь: потребность в формализации процесса реагирования на инциденты зависит от количества случаев, требующих скоординированных действий (то есть, прежде всего, от количества защищаемых информационных систем), и от территориальной распределенности субъекта.

Но в любом случае, в ответе на вопрос "использовать ли инфраструктуру НКЦКИ для информирования об инцидентах или обойтись подручными средствами" буква нормативных актов имеет второстепенное значение.

Второй момент, который меня резанул в отчете блогеров о встрече в ФСТЭК - фраза "у нас в стране всё теперь средства ГоСОПКА". Не знаю, обсуждался ли на встрече контекст, в котором эта фраза была сказана изначально, но отчеты этот контекст не передают. Об этом - в следующий раз.