Приказ ФСБ России от 19.06.2019 № 282

Приказ ФСБ России от 19.06.2019 № 282

   Разбор проекта приказа уже публиковал в блоге .  
Приказ ФСБ России от 19.06.2019 № 282
"Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
(Зарегистрировано в Минюсте России 16.07.2019 N 55284)
name='more'>
Итак:

1.  Так как пункт приказа "Информирование осуществляется путем направления информации в Национальный координационный центр по компьютерным инцидентам1 (далее - НКЦКИ) в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации с использованием технической инфраструктуры НКЦКИ" не описан никакими документами НКЦКИ, то субъекты ЗОКИИ будут вынуждены использовать запасной вариант из 282 приказа«В случае отсутствия подключения к данной технической инфраструктуре информация передается субъектом критической информационной инфраструктуры посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: " http://cert.gov.ru ".». Для субъектов незначимых ОКИИ он вообще основной.
    Идем на сайт и видим следующее: "Для связи с центром реагирования на инциденты в информационных системах органов государственной власти Российской Федерации можно использовать электронную почту, телефон или отправить сообщение через соответствующую форму на сайте.
Телефон (с 9:00 до 18:00 в рабочие дни): +7 (916) 901-07-42
Электронная почта: gov-cert@gov-cert.ru"
   А факс как отправлять? Это официальный сайт НКЦКИ или какой организации? На сайте нет ни одного упоминания об этом, так же как и о КИИ. Судя, что это приказ ФСБ и нет уточнений по тексту, то это официальный сайт ФСБ? По оформлению и содержанию не похоже. И для Банка России ограничились просто упоминанием официального сайту, обошлись без адресной ссылки. 

2. Однозначно указано , что банки с НКЦКИ общаются напрямую, а не через ФинЦЕРТ.
Банки согласовывают с Банком России не только сам план реагирования, но и все изменения в нем.
"Проект Плана, содержащий положения, предусмотренные пунктом 7 настоящего Порядка, разрабатывается субъектом критической информационной инфраструктуры совместно с НКЦКИ и направляется на согласование в ФСБ России.
ФСБ России рассматривает проект Плана в срок до 30 календарных дней и по результатам рассмотрения согласовывает его или возвращает без согласования для доработки."
   Если обычные субъекты ЗОКИИ сами принимают решение о необходимости привлечения сил ФСБ, то банки обязаны эти условия в план включить.

3. Появился конкретный срок на разработку Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак - 90 календарных дней. Срок отсчитывается с момента уведомления субъекта от ФСТЭК о включении в реестр ЗОКИИ, а не с момента утверждения акта категорирования субъектом!
   В приказе используется формулировка "разрабатывается", про "утверждается" ничего не сказано. 

4. Исчезло упоминание непонятного документа  "Регламент взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак (далее - Регламент), - с привлечением подразделений и должностных лиц ФСБ России". Теперь сам субъект определяет необходимость привлечения сил и средств ФСБ. Права указывать субъекту об обязательности этакого привлечения у НКЦКИ и ФСБ нет.
   Получается, что субъект должен разработать 3 документа:
1.                Регламент управления инцидентами ИБ (выявление + уведомление НКЦКИ)
2.                План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
3.                План проведения тренировок
  Отмечу, что указано "по результатам тренировок в План вносятся изменения". И банкам предстоит согласование в банке России не только самого Плана, но и всех последующих изменений в нем. 
   Широкие формулировки проекта Порядка очень удобны для субъекта: достаточно выпустить эти документы, назначить ответственных и следить за сроками информирования НКЦКИ.
   Но необходимо помнить, что вся информация, переданная в НКЦКИ по этой процедуре, будет использована для проведения внеплановых проверок ФСТЭК (возникновение компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия) и возможно для возбуждения уголовного дела по ст.274.1 УК РФ.

Проект
Утверждено
В случае, если компьютерный инцидент связан с функционированием объекта критической информационной инфраструктуры, принадлежащего на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, информация о компьютерном инциденте наряду с НКЦКИ направляется в Банк России с использованием технической инфраструктуры Банка России в сроки, установленные пунктом 4 настоящего Порядка.
В случае если компьютерный инцидент связан с функционированием объекта критической информационной инфраструктуры, принадлежащего на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, информация о компьютерном инциденте также направляется в Банк России с использованием технической инфраструктуры Банка России в сроки, установленные пунктом 4 настоящего Порядка.
В целях подготовки к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектом критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, разрабатывается план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (далее - План)
Для подготовки к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектом критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежит значимый объект критической информационной инфраструктуры, в срок до 90 календарных дней со дня включения данного объекта в реестр значимых объектов критической информационной инфраструктуры Российской Федерации <1> разрабатывается план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (далее - План),
а в случаях, предусмотренных регламентом взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак (далее - Регламент), - с привлечением подразделений и должностных лиц ФСБ России.
При необходимости в План включаются:
условия привлечения подразделений и должностных лиц ФСБ России к проведению мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак;
План, разрабатываемый субъектами критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, осуществляющими деятельность в банковской сфере и в иных сферах финансового рынка, дополнительно включает условия привлечения подразделений и должностных лиц Банка России к проведению мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак и согласовывается с Банком России
План, разрабатываемый субъектами критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, осуществляющими деятельность в банковской сфере и в иных сферах финансового рынка, должен включать, помимо положений, указанных в пунктах 6 и 7 настоящего Порядка, условия привлечения подразделений и должностных лиц Банка России к проведению мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак. Такой План и изменения в него согласовываются с Банком России.


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности