Лотерея от ФСБ для субъектов КИИ.

Лотерея от ФСБ для субъектов КИИ.


    Не только ФСТЭК вносит азарт в жизнь субъекта КИИ.
   Скоро 1 сентября, скоро в ФСТЭК все субъекты КИИ в лице государственных органов и учреждений подадут в ФСТЭК перечни объектов, подлежащих категорированию.
   Чем примечателен этот момент? А тем, что с момента утверждения этого перечня объектов, у субъекта КИИ возникает зафиксированная в документах обязанность по взаимодействию с ФСБ в части реагирования и противодействия компьютерным атакам на объекты, включенные в этот самый перечень.
    И вот тут возникают они. А они – это коммерческие предложения по предоставлению услуг корпоративных центров ГосСОПКА, SOC  и т.д. от сторонних организаций.
name='more'>

Важные уточнения:
1.       КИИ и ГосСОПКА это разные сущности. Деятельность ГосСОПКА при обеспечении безопасности КИИ прямо прописана в ст. Статья 5. «Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» 187-ФЗ. Заметка исключительно о взаимоотношениях ГосСОПКА и субъекта КИИ.
2.       Обсуждаемые в заметке вопросы не зависят от категории значимости ОКИИ. Относится и к незначимым ОКИИ и к ЗОКИИ. Рассматриваем общие требования к субъекту КИИ.
3.        Вопрос нестыковки НПА по ГосСОПКА и КИИ я уже описывал ранее. В данной заметке я этого не касаюсь. Аргументация исключительно по 187-ФЗ и подзаконным актам к нему.

Исходная информация:

Ст.5 187-ФЗ
2. К силам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, относятся:
1) подразделения и должностные лица ФСБ России;
2) НКЦКИ;
3) подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.
*Замечу, что в 187-ФЗ  НКЦКИ не относится к подразделениям ФСБ России.
4.       Средствами, предназначенными для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, являются технические, программные, программно-аппаратные и иные средства для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации.
5.       В ГосСОПКА осуществляются сбор, накопление, систематизация и анализ информации, которая поступает в данную систему через средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак, информации, которая представляется субъектами КИИ и ФСТЭК, в соответствии с перечнем информации и в порядке, определяемыми ФСБ, а также информации, которая может представляться иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными.
    Выводы из ст.5 187-ФЗ:
1.       Состав сил ГосСОПКА в КИИ прописан однозначно и конечен. Отнесение организаций –лицензиатов к силам ГосСОПКА в 187-ФЗ не предусмотрено.
2.       Организации-лицензиаты имеют право только на представление информации в ГосСОПКА, в одну сторону.
3.       Законный вариант для коммерческой организации предоставить услуги субъекту КИИ только один – самой стать субъектом КИИ.

Ст. 9 187-ФЗ
    Субъект КИИ имеет право на:
2) в порядке, установленном ФСБ России, получать от указанного органа информацию о средствах и способах проведения компьютерных атак, а также о методах их предупреждения и обнаружения;
3) при наличии согласия ФСБ России, за свой счет приобретать, арендовать, устанавливать и обслуживать средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
     Субъект КИИ обязан:
1) незамедлительно информировать о компьютерных инцидентах ФСБ России;
2) оказывать содействие должностным лицам ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
3) в случае установки на объектах КИИ средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность.
    Выводы из ст.9 187-ФЗ:
4.       Средства ГосСОПКА покупает за свой счет субъект КИИ. Не предусмотрено 187-ФЗ использование на ОКИИ средств обнаружения, предупреждения и ликвидации последствий компьютерных атак, принадлежащих другим организациям за исключением аренды. То есть, организация-лицензиат не может размещать свои технические средства для обнаружения КА на объекте КИИ без заключения отдельного договора на аренду.
5.       Подключение средств обнаружения КА к инфраструктуре организации-лицензиата потребует наличие лицензии ФСБ на СКЗИ и выполнение все соответствующей бюрократии. Обоснование «для собственных нужд» не пройдет, так как подключается чужое оборудование (оборудование передали в аренду).
6.       Содействие оказывать обязаны только должностным лицам ФСБ, на  должностных лиц НКЦКИ требование закона не распространяется.

     Теперь смотрим подзаконные акты к 187-ФЗ.
   - Приказ ФСБ России от 19.06.2019 № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации».
   Возможно привлечение организации-лицензиата исключительно для установки, настройки, проверки работоспособности и подключение средств, предназначенных для обнаружения атак.    Возможно привлечение организаций лицензиатов к эксплуатации и техническому обслуживанию средств, принадлежащих субъекту КИИ.
  - Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации», обязанность по информированию обо всех компьютерных инцидентах возложена исключительно на субъект КИИ. Информирование требуется осуществлять путем направления информации от субъекта КИИ в НКЦКИ. Никакого расширения трактовки авторы приказов не допускали. Акцентирую специально внимание на формулировке замечания: речь про взаимодействие НКЦКИ с центрами ГосСОПКА, а не про взаимодействие субъектов КИИ с центрами ГосСОПКА .(См. историческую справку ниже)
    - Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», обязанность по информированию обо всех компьютерных инцидентах возложена исключительно на субъект КИИ. Информирование требуется осуществлять путем направления информации субъектом КИИ в НКЦКИ.
   - Приказ ФСБ России от 24.07.2018 № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения», субъект КИИ вправе самостоятельно обмениваться информацией о компьютерных инцидентах исключительно с субъектами КИИ, во всех остальных случаях – только через НКЦКИ. Опять же, вариант для организации-лицензиата остается один – становится субъектом КИИ.

    Выводы из приказов ФСБ:
7.       Возможность делегирования прав и обязанностей субъекта КИИ сторонним организациям в приказах ФСБ не предусмотрена.
8.        Субъект КИИ может привлекать для исполнения своих обязанностей организацию-лицензиат, причем в конкретно заданных видах работ.
9.       Возможность использования организации-лицензиата для информационного взаимодействия с НКЦКИ, выявление и реагирование на КИ, ликвидация последствий КА не предусмотрена.


   Итог: Законные основания для выполнения требований по обнаружению, предупреждению и ликвидации последствий компьютерных атак силами сторонних организаций у субъекта КИИ отсутствуют. Возможно привлечение организаций-лицензиатов для установки, настройки, проверке, эксплуатации и технического обслуживания части технических средств субъекта КИИ, предназначенных для выполнения требований 187-ФЗ.
    И если, для коммерческих субъектов КИИ это не столь критично, то для государственных субъектов КИИ это проблема. Если обосновать затраты на услуги внешней организации через требования 187-ФЗ, то можно получить при проверке контрольно-счетных органов обвинение в нецелевом расходе бюджетных средств, а это уже очень серьезно. Речь не про претензию к субъекту КИИ от ФСБ за информирование НКЦКИ "неуставным" способом через центры ГоСОПКА, думаю, что да такого все-таки не дойдет. А НКЦКИ возражать точно не будет против такого формата взаимодействия. Речь про претензии к обоснованию затрат субъекта КИИ.

P.S. Замечу, что и со стороны НКЦКИ единственный вариант привлечь организацию-лицензиата  только один «5.4. Привлекать к реагированию на компьютерные инциденты организации и экспертов, осуществляющих деятельность в данной области.». То есть, даже НКЦКИ не может привлечь со своей стороны организацию-лицензиат для обнаружения КИ.

              И историческая справка, в которой официально зафиксирована позиция авторов приказов ФСБ:

Сводка предложений по результатам общественного обсуждения проекта приказа ФСБ России «О Национальном координационном центре по компьютерным инцидентам»



 Положении не предусмотрена возможность взаимодействия НКЦКИ с центрами обнаружения, предупреждения и ликвидации последствий компьютерных атак, организованными по ведомственному, территориальному и корпоративному принципам с учетом Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (утверждена Президентом Российской Федерации 12 декабря 2014 г. № К 1274).
Положение разработано в целях реализации положений Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», которым не предусмотрены центры, организованные по ведомственному,территориальному и корпоративному принципам, в связи с чем их включение в проект Положения нецелесообразно.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности