Подсказки по выполнению 187-ФЗ. Реагирование на компьютерные инциденты

Подсказки по выполнению 187-ФЗ. Реагирование на компьютерные инциденты
    

    Составление и утверждение перечней объектов КИИ, подлежащих категорированию - это только начало длинного пути по выполнению требований 187-ФЗ. Общий план всех необходимых мероприятий приведен здесь
     Момент фиксации объекта КИИ в перечне  - это старт для процессов по выявлению компьютерных инцидентов на данном ОКИИ и информирование ФСБ о  компьютерных инцидентах в установленном порядке субъектами КИИ. Обязанность по информированию не зависит от наличия категории значимости ОКИИ. Процессы для всех субъектов КИИ, без исключения (незначимые, значимые, "объекты КИИ не требующие категорирования" и т.д.) Наказание за невыполнение пока не предусмотрено, но уже планируется
    Итак, подсказки по построению у субъекта КИИ процессов информирования ФСБ о компьютерных инцидентах на ОКИИ.
name='more'>

Начало. Теоретическая часть. Требования нормативных актов к данному процессу

     187-ЗФ
2. Субъекты критической информационной инфраструктуры обязаны:
1) незамедлительно информировать о компьютерных инцидентах ФСБ России
2) оказывать содействие должностным лицам ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;

     Приказ ФСБ России от 19.06.2019 N 282
"Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
2. Субъекты критической информационной инфраструктуры информируют ФСБ России обо всех компьютерных инцидентах, связанных с функционированием принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры.
4. Информация о компьютерном инциденте, связанном с функционированием значимого объекта критической информационной инфраструктуры, направляется субъектом критической информационной инфраструктуры в НКЦКИ в срок не позднее 3 часов с момента обнаружения компьютерного инцидента, а в отношении иных объектов критической информационной инфраструктуры - в срок не позднее 24 часов с момента его обнаружения.
14. О результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, информирует НКЦКИ в срок не позднее 48 часов после завершения таких мероприятий в соответствии с пунктом 3 настоящего Порядка.

     Приказ ФСБ России от 24.07.2018 N 367
"Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"
5. Информация о компьютерных инцидентах, связанных с функционированием объектов критической информационной инфраструктуры:
- дата, время, место нахождения или географическое местоположение ОКИИ, на котором произошел компьютерный инцидент;
- наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой;
- связь с другими компьютерными инцидентами (при наличии);
- состав технических параметров компьютерного инцидента;
- последствия компьютерного инцидента.
6. Иная информация в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, предоставляемая субъектами критической информационной инфраструктуры и иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными.
4. В случае отсутствия подключения к технической инфраструктуре НКЦКИ информация направляется посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: "http://cert.gov.ru".
5. Информация, указанная в пункте 5 Перечня, направляется субъектом критической информационной инфраструктуры в НКЦКИ не позднее 24 часов с момента обнаружения компьютерного инцидента.

    Практическая часть. Разрабатываем документы.    Начнем мы с конца, с отчетных документов. Вызвано это тем, что у каждого субъекта КИИ своя специфика. И для актуализации по месту типовых процессов, важно понимать, а что получим то в итоге. Все процессы выстраиваются без использования средств ГосСОПКА.
     Разрабатываем карточки регистрации компьютерных инцидентов на ОКИИ. Цель - упрощение контроля за выполнением процесса, формирование достаточной отчетности при запросах регуляторов, облегчение жизни для ответственного работника -заполнил стандартную карточку, отправил по электронке в НКЦКИ, зафиксировал в журнале регистрации инцидентов. Рекомендую именно электронной почтой пользоваться, существенно надежнее при разборках с регуляторами, чем подтверждать выполнение сроков из приказов ФСБ при телефонных звонках. Да и ошибок у НКЦКИ при приеме информации "на слух" будет меньше. 

1. Самый простой вариант. Полностью закрывает требования 187-ФЗ. Для субъектов КИИ, не имеющих квалифицированных кадров по ИБ. И для сторонников выполнения 187-ФЗ "для галочки".


Карточка регистрации компьютерного инцидента
Наименование объекта КИИ:
Категория значимости объекта КИИ:
Местонахождение объекта КИИ:
Дата возникновения инцидента

Время возникновения инцидента

Регистрационный номер инцидента

Связанные события/инциденты


Контактные данные работника, обрабатывающего инцидент
ФИО

Адрес

Организация

Подразделение

Контактные данные

e-mail

Общее описание компьютерного инцидента
Что произошло?






Как произошло?
Почему произошло?
Технические параметры инцидента
Последствия инцидента

     2. Вариант карточки для продвинутой и зрелой системе защиты информации/системы безопасности субъекта КИИ. Требует наличие квалифицированных кадров. В документе максимально использованы подходы НКЦКИ по выявлению компьютерных атак (для унификации и упрощения работы НКЦКИ). С соблюдением баланса интересов субъекта КИИ/НКЦКИ.



Типы инцидентов:


1.            Внедрение вредоносного программного обеспечения
•             Заражение ВПО
2.            Распространение вредоносного программного обеспечения
•             Использование контролируемого ресурса для распространения или управления модулями вредоносного программного обеспечения
•             Попытки внедрения модулей вредоносного программного обеспечения
3.            Нарушение или замедление работы контролируемого информационного ресурса
•             Компьютерная атака типа «отказ в обслуживании»
•             Распределенная компьютерная атака типа «отказ в обслуживании»
•             Несанкционированный вывод системы из строя
•             Непреднамеренное отключение системы
4.            Несанкционированный доступ в систему
•             Успешная эксплуатация уязвимости
•             Компрометация учетной записи
5.            Попытки НСД в систему или к информации
•             Попытки эксплуатации уязвимости
•             Попытки авторизации в информационном ресурсе
6.            Сбор сведений с использованием информационно-коммуникационных технологий
•             Сканирование информационного ресурса
•             Прослушивание (захват) сетевого трафика
•             Социальная инженерия
7.            Нарушение безопасности информации
•             Несанкционированное разглашение информации
•             Несанкционированное изменение информации
8.            Распространение информации с неприемлемым содержимым
•             Рассылка незапрашиваемых электронных сообщений
•             Публикация запрещенной законодательством РФ информации
9.            Мошенничество с использованием информационно-коммуникационных технологий
•             Злоупотребление при использовании информационного ресурса
•             Публикация мошеннического информационного ресурса

10.          Наличие уязвимости или недостатка конфигурации в информационном ресурсе




Продолжение следует...

P. S. Телеграм-группа для обсуждения заметки  https://t.me/joinchat/C4fmQVPujsjY0WGQd8h-kw

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности