Рассмотрим приказ, разработанный ФСБ для субъектов КИИ и дошедший до этапа публичного обсуждения:
Проект Приказ ФСБ «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации»
1. Смотрим сам Приказ:
«В соответствии с пунктом 6 части 4 статьи 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
П Р И К А З Ы В А Ю
утвердить прилагаемый Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации.»
Сравниваем с первоисточником:
Что же нам говорит п.6 ч.4. ст.6 187-ФЗ «утверждает порядок информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры (в банковской сфере и в иных сферах финансового рынка утверждает указанный порядок по согласованию с Центральным банком Российской Федерации);».
Итог: Нюансы согласования применения проекта Порядка в банковской сфере никак не отражены. Что делать банку после утверждения Приказа ФСБ непонятно. То ли выполнять, то ли нет (ждать согласования от ЦБ).
2. Смотрим Порядок
2.1 Порядок информирования для ЗНАЧИМЫХобъектов, а первые 4 пункта Порядка относятся ко всем объектам. Обязан ли субъект, владеющий незначимыми объектами КИИ выполнять требования Приказа, в котором четко указана область действия «значимые объекты»? К тому же, основанием для такого информирования будет совсем другая статья 187-ФЗ, а не та, которой Приказ обоснован.
2.2 Не понятно зачем в Порядке информированияпрописываются требования по реагированию? Судя по названию, мне должны описать каким образом я сообщаю (информирую) ФСБ:
1. что я обнаружил (компьютерный инцидент)
2. как я среагировал на выявленные инциденты
3. какие меры принял для ликвидации последствий
4. восстановил или нет функционирование значимого объекта КИИ
В итоге, из 13 пунктов Порядка, ФЗ соответствует только ТРИпункта (п.2; п.3; п. 13). Причем, только п. 13 полностью соответствует тематике Приказа. А п.2 и п.3 требуют уточнения формулировок под ЗНАЧИМЫЕ объекты КИИ.
Пусть трактовка названия будет по ФСБ-му, но опять же:
- Нет указаний по порядку действий субъекта при реагировании и ликвидации. Есть только требования к порядку, который субъект должен разработать - составить «план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак» и идут требования к содержанию этих планов, есть требования к процессу актуализации Планов (проведение ежегодных тренировок).
- Появляется указание о необходимости разработки Регламента. (8.Для организации мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак с привлечением подразделений и должностных лиц ФСБ России субъектом КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, во взаимодействии с НКЦКИ разрабатывается, согласовывается с 8 Центром ФСБ России и утверждается Регламент.)
Вот смотрю на определение документа, называющегося Порядком:
«Порядок – это документ, определяющий последовательность целенаправленных действий для решения определенной задачи. Однозначно описывает процедуру, может содержать сроки. Порядок может быть составной частью Регламента.»
Если исходить из этого определения, то проект Порядка описывает следующие целенаправленные действия:
1. Незамедлительно информирую о произошедших инцидентах НКЦКИ. Если я банк, то еще и ЦБ РФ.
2. Разрабатываю и утверждаю План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.
3. Разрабатываю и утверждаю Регламент, согласовываю с 8 Центром и НКЦКИ
4. Провожу ежегодные тренировки по выполнению Плана.
5. При обнаружении компьютерной атаки:
· определяю очередность значимых объектов КИИ (их структурных элементов), в отношении которых будут приниматься меры по ликвидации последствий компьютерных атак;
· определяю состав сил субъекта КИИ и их задачи в рамках принимаемых мер;
· определяю возможность восстановления функционирования значимого объекта КИИ;
· определяю перечень средств, необходимых для принятия мер по ликвидации последствий компьютерных атак;
· Провожу первичный анализ компьютерных инцидентов, установление их связи с компьютерными атаками;
· реализую План;
· выполняю Регламент;
· Принимаю меры по восстановлению функционирования и проверке работоспособности значимого объекта КИИ;
· В течении 48 часов с момента завершения сообщаю НКЦКИ о результатах мероприятий по реагированию на компьютерные инциденты и принятых мерах по ликвидации последствий компьютерных атак субъект КИИ.
Получается, что субъект должен разработать 4 документа:
1. Регламент управления инцидентами ИБ (выявление + уведомление НКЦКИ)
2. План действий
3. План проведения тренировок
4. Регламент привлечения сил ФСБ
Широкие формулировки проекта Порядка очень удобны для субъекта: достаточно выпустить эти документы, назначить ответственных и следить за сроками информированияНКЦКИ.
Но необходимо помнить, что вся информация, переданная в НКЦКИ по этой процедуре, будет использована для проведения внеплановых проверок ФСТЭК (возникновение компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия) и возможно для возбуждения уголовного дела по ст.274.1 УК РФ.
* Все новости блога на публичном Telegram-канале t.me/ruporsecurite
* Все новости блога на публичном Telegram-канале t.me/ruporsecurite
