Составление и утверждение перечней объектов КИИ, подлежащих категорированию - это только начало длинного пути по выполнению требований 187-ФЗ. Общий план всех необходимых мероприятий приведен здесь .
Момент фиксации объекта КИИ в перечне - это старт для процессов по выявлению компьютерных инцидентов на данном ОКИИ и информирование ФСБ о компьютерных инцидентах в установленном порядке субъектами КИИ. Обязанность по информированию не зависит от наличия категории значимости ОКИИ. Процессы для всех субъектов КИИ, без исключения (незначимые, значимые, "объекты КИИ не требующие категорирования" и т.д.) Наказание за невыполнение пока не предусмотрено, но уже планируется .
Итак, подсказки по построению у субъекта КИИ процессов информирования ФСБ о компьютерных инцидентах на ОКИИ.
name='more'>
Начало. Теоретическая часть. Требования нормативных актов к данному процессу
187-ЗФ
2. Субъекты критической информационной инфраструктуры обязаны:
1) незамедлительно информировать о компьютерных инцидентах ФСБ России
2) оказывать содействие должностным лицам ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
Приказ ФСБ России от 19.06.2019 N 282
"Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
2. Субъекты критической информационной инфраструктуры информируют ФСБ России обо всех компьютерных инцидентах, связанных с функционированием принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры.
4. Информация о компьютерном инциденте, связанном с функционированием значимого объекта критической информационной инфраструктуры, направляется субъектом критической информационной инфраструктуры в НКЦКИ в срок не позднее 3 часов с момента обнаружения компьютерного инцидента, а в отношении иных объектов критической информационной инфраструктуры - в срок не позднее 24 часов с момента его обнаружения.
14. О результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, информирует НКЦКИ в срок не позднее 48 часов после завершения таких мероприятий в соответствии с пунктом 3 настоящего Порядка.
Приказ ФСБ России от 24.07.2018 N 367
"Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"
5. Информация о компьютерных инцидентах, связанных с функционированием объектов критической информационной инфраструктуры:
- дата, время, место нахождения или географическое местоположение ОКИИ, на котором произошел компьютерный инцидент;
- наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой;
- связь с другими компьютерными инцидентами (при наличии);
- состав технических параметров компьютерного инцидента;
- последствия компьютерного инцидента.
6. Иная информация в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, предоставляемая субъектами критической информационной инфраструктуры и иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными.
4. В случае отсутствия подключения к технической инфраструктуре НКЦКИ информация направляется посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: "http://cert.gov.ru".
5. Информация, указанная в пункте 5 Перечня, направляется субъектом критической информационной инфраструктуры в НКЦКИ не позднее 24 часов с момента обнаружения компьютерного инцидента.
Практическая часть. Разрабатываем документы. Начнем мы с конца, с отчетных документов. Вызвано это тем, что у каждого субъекта КИИ своя специфика. И для актуализации по месту типовых процессов, важно понимать, а что получим то в итоге. Все процессы выстраиваются без использования средств ГосСОПКА.
Разрабатываем карточки регистрации компьютерных инцидентов на ОКИИ. Цель - упрощение контроля за выполнением процесса, формирование достаточной отчетности при запросах регуляторов, облегчение жизни для ответственного работника -заполнил стандартную карточку, отправил по электронке в НКЦКИ, зафиксировал в журнале регистрации инцидентов. Рекомендую именно электронной почтой пользоваться, существенно надежнее при разборках с регуляторами, чем подтверждать выполнение сроков из приказов ФСБ при телефонных звонках. Да и ошибок у НКЦКИ при приеме информации "на слух" будет меньше.
1. Самый простой вариант. Полностью закрывает требования 187-ФЗ. Для субъектов КИИ, не имеющих квалифицированных кадров по ИБ. И для сторонников выполнения 187-ФЗ "для галочки".
Карточка регистрации компьютерного инцидента | |||||
Наименование объекта КИИ: | |||||
Категория значимости объекта КИИ: | |||||
Местонахождение объекта КИИ: | |||||
Дата возникновения инцидента | Время возникновения инцидента | ||||
Регистрационный номер инцидента | Связанные события/инциденты | ||||
Контактные данные работника, обрабатывающего инцидент | |||||
ФИО | Адрес | ||||
Организация | Подразделение | ||||
Контактные данные | e-mail | ||||
Общее описание компьютерного инцидента | |||||
Что произошло? | |||||
Как произошло? | |||||
Почему произошло? | |||||
Технические параметры инцидента | |||||
Последствия инцидента |
2. Вариант карточки для продвинутой и зрелой системе защиты информации/системы безопасности субъекта КИИ. Требует наличие квалифицированных кадров. В документе максимально использованы подходы НКЦКИ по выявлению компьютерных атак (для унификации и упрощения работы НКЦКИ). С соблюдением баланса интересов субъекта КИИ/НКЦКИ.
Типы инцидентов:
1. Внедрение вредоносного программного обеспечения
• Заражение ВПО
2. Распространение вредоносного программного обеспечения
• Использование контролируемого ресурса для распространения или управления модулями вредоносного программного обеспечения
• Попытки внедрения модулей вредоносного программного обеспечения
3. Нарушение или замедление работы контролируемого информационного ресурса
• Компьютерная атака типа «отказ в обслуживании»
• Распределенная компьютерная атака типа «отказ в обслуживании»
• Несанкционированный вывод системы из строя
• Непреднамеренное отключение системы
4. Несанкционированный доступ в систему
• Успешная эксплуатация уязвимости
• Компрометация учетной записи
5. Попытки НСД в систему или к информации
• Попытки эксплуатации уязвимости
• Попытки авторизации в информационном ресурсе
6. Сбор сведений с использованием информационно-коммуникационных технологий
• Сканирование информационного ресурса
• Прослушивание (захват) сетевого трафика
• Социальная инженерия
7. Нарушение безопасности информации
• Несанкционированное разглашение информации
• Несанкционированное изменение информации
8. Распространение информации с неприемлемым содержимым
• Рассылка незапрашиваемых электронных сообщений
• Публикация запрещенной законодательством РФ информации
9. Мошенничество с использованием информационно-коммуникационных технологий
• Злоупотребление при использовании информационного ресурса
• Публикация мошеннического информационного ресурса
10. Наличие уязвимости или недостатка конфигурации в информационном ресурсе
Продолжение следует...
P. S. Телеграм-группа для обсуждения заметки https://t.me/joinchat/C4fmQVPujsjY0WGQd8h-kw
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.