Не только ФСТЭК вносит азарт в жизнь субъекта КИИ.
Скоро 1 сентября, скоро в ФСТЭК все субъекты КИИ в лице государственных органов и учреждений подадут в ФСТЭК перечни объектов, подлежащих категорированию.
Чем примечателен этот момент? А тем, что с момента утверждения этого перечня объектов, у субъекта КИИ возникает зафиксированная в документах обязанность по взаимодействию с ФСБ в части реагирования и противодействия компьютерным атакам на объекты, включенные в этот самый перечень.
И вот тут возникают они. А они – это коммерческие предложения по предоставлению услуг корпоративных центров ГосСОПКА, SOC и т.д. от сторонних организаций.
name='more'>
Важные уточнения:
1. КИИ и ГосСОПКА это разные сущности. Деятельность ГосСОПКА при обеспечении безопасности КИИ прямо прописана в ст. Статья 5. «Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» 187-ФЗ. Заметка исключительно о взаимоотношениях ГосСОПКА и субъекта КИИ.
2. Обсуждаемые в заметке вопросы не зависят от категории значимости ОКИИ. Относится и к незначимым ОКИИ и к ЗОКИИ. Рассматриваем общие требования к субъекту КИИ.
3. Вопрос нестыковки НПА по ГосСОПКА и КИИ я уже описывал ранее. В данной заметке я этого не касаюсь. Аргументация исключительно по 187-ФЗ и подзаконным актам к нему.
Исходная информация:
Ст.5 187-ФЗ
2. К силам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, относятся:
1) подразделения и должностные лица ФСБ России;
2) НКЦКИ;
3) подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.
*Замечу, что в 187-ФЗ НКЦКИ не относится к подразделениям ФСБ России.
4. Средствами, предназначенными для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, являются технические, программные, программно-аппаратные и иные средства для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации.
5. В ГосСОПКА осуществляются сбор, накопление, систематизация и анализ информации, которая поступает в данную систему через средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак, информации, которая представляется субъектами КИИ и ФСТЭК, в соответствии с перечнем информации и в порядке, определяемыми ФСБ, а также информации, которая может представляться иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными.
Выводы из ст.5 187-ФЗ:
1. Состав сил ГосСОПКА в КИИ прописан однозначно и конечен. Отнесение организаций –лицензиатов к силам ГосСОПКА в 187-ФЗ не предусмотрено.
2. Организации-лицензиаты имеют право только на представление информации в ГосСОПКА, в одну сторону.
3. Законный вариант для коммерческой организации предоставить услуги субъекту КИИ только один – самой стать субъектом КИИ.
Ст. 9 187-ФЗ
Субъект КИИ имеет право на:
2) в порядке, установленном ФСБ России, получать от указанного органа информацию о средствах и способах проведения компьютерных атак, а также о методах их предупреждения и обнаружения;
3) при наличии согласия ФСБ России, за свой счет приобретать, арендовать, устанавливать и обслуживать средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Субъект КИИ обязан:
1) незамедлительно информировать о компьютерных инцидентах ФСБ России;
2) оказывать содействие должностным лицам ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
3) в случае установки на объектах КИИ средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность.
Выводы из ст.9 187-ФЗ:
4. Средства ГосСОПКА покупает за свой счет субъект КИИ. Не предусмотрено 187-ФЗ использование на ОКИИ средств обнаружения, предупреждения и ликвидации последствий компьютерных атак, принадлежащих другим организациям за исключением аренды. То есть, организация-лицензиат не может размещать свои технические средства для обнаружения КА на объекте КИИ без заключения отдельного договора на аренду.
5. Подключение средств обнаружения КА к инфраструктуре организации-лицензиата потребует наличие лицензии ФСБ на СКЗИ и выполнение все соответствующей бюрократии. Обоснование «для собственных нужд» не пройдет, так как подключается чужое оборудование (оборудование передали в аренду).
6. Содействие оказывать обязаны только должностным лицам ФСБ, на должностных лиц НКЦКИ требование закона не распространяется.
Теперь смотрим подзаконные акты к 187-ФЗ.
- Приказ ФСБ России от 19.06.2019 № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации».
Возможно привлечение организации-лицензиата исключительно для установки, настройки, проверки работоспособности и подключение средств, предназначенных для обнаружения атак. Возможно привлечение организаций лицензиатов к эксплуатации и техническому обслуживанию средств, принадлежащих субъекту КИИ.
- Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации», обязанность по информированию обо всех компьютерных инцидентах возложена исключительно на субъект КИИ. Информирование требуется осуществлять путем направления информации от субъекта КИИ в НКЦКИ. Никакого расширения трактовки авторы приказов не допускали. Акцентирую специально внимание на формулировке замечания: речь про взаимодействие НКЦКИ с центрами ГосСОПКА, а не про взаимодействие субъектов КИИ с центрами ГосСОПКА .(См. историческую справку ниже)
- Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», обязанность по информированию обо всех компьютерных инцидентах возложена исключительно на субъект КИИ. Информирование требуется осуществлять путем направления информации субъектом КИИ в НКЦКИ.
- Приказ ФСБ России от 24.07.2018 № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения», субъект КИИ вправе самостоятельно обмениваться информацией о компьютерных инцидентах исключительно с субъектами КИИ, во всех остальных случаях – только через НКЦКИ. Опять же, вариант для организации-лицензиата остается один – становится субъектом КИИ.
Выводы из приказов ФСБ:
7. Возможность делегирования прав и обязанностей субъекта КИИ сторонним организациям в приказах ФСБ не предусмотрена.
8. Субъект КИИ может привлекать для исполнения своих обязанностей организацию-лицензиат, причем в конкретно заданных видах работ.
9. Возможность использования организации-лицензиата для информационного взаимодействия с НКЦКИ, выявление и реагирование на КИ, ликвидация последствий КА не предусмотрена.
Итог: Законные основания для выполнения требований по обнаружению, предупреждению и ликвидации последствий компьютерных атак силами сторонних организаций у субъекта КИИ отсутствуют. Возможно привлечение организаций-лицензиатов для установки, настройки, проверке, эксплуатации и технического обслуживания части технических средств субъекта КИИ, предназначенных для выполнения требований 187-ФЗ.
И если, для коммерческих субъектов КИИ это не столь критично, то для государственных субъектов КИИ это проблема. Если обосновать затраты на услуги внешней организации через требования 187-ФЗ, то можно получить при проверке контрольно-счетных органов обвинение в нецелевом расходе бюджетных средств, а это уже очень серьезно. Речь не про претензию к субъекту КИИ от ФСБ за информирование НКЦКИ "неуставным" способом через центры ГоСОПКА, думаю, что да такого все-таки не дойдет. А НКЦКИ возражать точно не будет против такого формата взаимодействия. Речь про претензии к обоснованию затрат субъекта КИИ.
P.S. Замечу, что и со стороны НКЦКИ единственный вариант привлечь организацию-лицензиата только один «5.4. Привлекать к реагированию на компьютерные инциденты организации и экспертов, осуществляющих деятельность в данной области.». То есть, даже НКЦКИ не может привлечь со своей стороны организацию-лицензиат для обнаружения КИ.
И историческая справка, в которой официально зафиксирована позиция авторов приказов ФСБ:
Сводка предложений по результатам общественного обсуждения проекта приказа ФСБ России «О Национальном координационном центре по компьютерным инцидентам»
Положении не предусмотрена возможность взаимодействия НКЦКИ с центрами обнаружения, предупреждения и ликвидации последствий компьютерных атак, организованными по ведомственному, территориальному и корпоративному принципам с учетом Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (утверждена Президентом Российской Федерации 12 декабря 2014 г. № К 1274). | Положение разработано в целях реализации положений Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», которым не предусмотрены центры, организованные по ведомственному,территориальному и корпоративному принципам, в связи с чем их включение в проект Положения нецелесообразно. |
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.