Средства ГосСОПКА это СЗИ? Часть 2.

Средства ГосСОПКА это СЗИ? Часть 2.

    Продолжаем разбирать действующую законодательство по ГосСОПКА. Субъект ЗОКИИ вынужден выполнять не только приказы ФСБ, но и ФСТЭК. Как в комплексе выглядит картина с техническими средствами ГосСОПКА?
name='more'>
     Смотрим 239 приказ ФСТЭК, что он нам говорит по поводу "обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты"?
3. Обеспечение безопасности в ходе эксплуатации значимого объекта осуществляется субъектом критической информационной инфраструктуры в соответствии с эксплуатационной документацией и организационно-распорядительными документами по безопасности значимого объекта и должно включать реализацию следующих мероприятий:
..
д) реагирование на компьютерные инциденты в ходе эксплуатации значимого объекта;
...
   Мера СОВ.1 дословно совпадает в части "обнаружения компьютерных атак", а раздел ИНЦ дословно с "реагированием на компьютерные инциденты".

VII. Предотвращение вторжений (компьютерных атак) (СОВ)

СОВ.0
Регламентация правил и процедур предотвращения вторжений (компьютерных атак)
 
+
+
СОВ.1
Обнаружение и предотвращение компьютерных атак
 
+
+

XII. Реагирование на компьютерные инциденты (ИНЦ)

ИНЦ.0
Регламентация правил и процедур реагирования на компьютерные инциденты
+
+
+
ИНЦ.1
Выявление компьютерных инцидентов
+
+
+
ИНЦ.2
Информирование о компьютерных инцидентах
+
+
+
ИНЦ.3
Анализ компьютерных инцидентов
+
+
+
ИНЦ.4
Устранение последствий компьютерных инцидентов
+
+
+
ИНЦ.5
Принятие мер по предотвращению повторного возникновения компьютерных инцидентов
+
+
+
ИНЦ.6
Хранение и защита информации о компьютерных инцидентах
+
+
+

    Более того, в 239 приказе ФСТЭК идет прямой отсыл к приказу ФСБ от 19.06.2019 N 282
"Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
"13.5. Реагирование на компьютерные инциденты осуществляется в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
     Для реагирования на компьютерные инциденты определяются работники, ответственные за выявление компьютерных инцидентов и реагирование на них, и определяются их функции."

     Вывод: технические средства, задействованные  в системе безопасности ЗОКИИ для выполнения требований разделов ИНЦ и СОВ, однозначно относятся  к средствам ГосСОПКА.
     
    Последствия для субъекта ЗОКИИ:
     1. При создании системы безопасности ЗОКИИ придется выполнять и приказ ФСБ от 19.06.2019 N 281 "Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации", то есть:
   Согласовать с ФСБ (не с НКЦКИ) структурно-функциональную схему подключения средств к информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, а также сведения:
- об устанавливаемых средствах (наименование, предназначение, версия (при наличии);
- о местах установки средств (место нахождения или географическое местоположение зданий или сооружений, в которых планируется установка средств);
- о лицах, ответственных за эксплуатацию средств (фамилия, имя, отчество (при наличии), должность, телефонные номера);
- о контролируемых средствами объектах критической информационной инфраструктуры (наименования информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления).
       2. Средства ГосСОПКА обязаны одновременно соответствовать  требованиям 239 приказа ФСТЭК и приказа 196 ФСБ.
       3. Для ЗОКИИ/ГИС обязательные сертификаты соответствия.

      И к вопросу об отнесении средств ГосСОПКА к средствам защиты информации.

  196 приказ ФСБ
VIII. Требования к средствам ГосСОПКА в части реализации функций безопасности
21. Средства ГосСОПКА в части реализации функций безопасности должны обеспечивать:
- идентификацию и аутентификацию пользователей;
- разграничение прав доступа к информации и функциям;
- регистрацию событий ИБ;
- обновление программных компонентов и служебных баз данных;
- резервирование и восстановление своей работоспособности;
- синхронизацию системного времени и корректировку временных значений (корректировку настроек часовых поясов);
- контроль целостности ПО.

21.1. При осуществлении идентификации и аутентификации пользователей средства ГосСОПКА должны обеспечивать:
- аутентификацию пользователей с использованием паролей (в том числе временного действия) и (или) аппаратных средств аутентификации;
- хранение паролей в зашифрованном виде;
- автоматическое информирование о необходимости смены паролей.

21.2. При осуществлении разграничения прав доступа к информации и функциям средства ГосСОПКА должны обеспечивать:
- поддержку функций создания, редактирования и удаления пользовательских ролей и возможность настройки прав доступа для каждой роли;
- возможность блокирования и повторной активации учетных записей;
- блокирование сессии доступа при превышении задаваемого значения временного периода отсутствия активности;
- уведомление о неудачных попытках доступа к управлению средствами ГосСОПКА;
- запись всех действий пользователей с момента авторизации в электронный журнал.

   Заметим, что функционал безопасности должны обеспечивать сами средства ГосСОПКА, а не внешняя подсистема защиты информации. Речь идет не о наложенных (внешних) СЗИ.
    По СКЗИ из состава средств ГосСОПКА возникает вопрос по обоснованию класса СКЗИ.
Или достаточно наличия сертификата ФСБ и используй что хочешь?

Продолжение следует...

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности