Не смотря на легализацию ГосСОПКА через 187-ФЗ, открытым остался вопрос с ее структурой. Если НКЦКИ прямо прописан в 187-ФЗ и создан приказом № 366 ФСБ, то упоминания центров ГосСОПКА в законах отсутствует.
Собственно нас интересует 3 вопроса:
1. Статус центров в законах РФ
2. Кто имеет право утверждать требования к центрам
3. Кто имеет право проводить аккредитацию центров и подтверждать их статус
Сейчас практикуется подход, когда требования к центрам вырабатывает НКЦКИ в форме своих методических документов, а статус центров подтверждается заключением соглашения центра с НКЦКИ. То есть, лицензиат ФСТЭК по ТЗКИ (мониторинг событий ИБ) выполняет требования методических документов НКЦКИ, подтверждает это при проверке НКЦКИ и после заключения соглашения с НКЦКИ заявляет - мы центр ГосСОПКА.
name='more'> Начнем с истории вопроса.
Единственный документ, в котором описана структура ГосСОПКА и упомянуты центры, это
"Выписка из Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" (утв. Президентом РФ 12.12.2014 N К 1274)
Это 2014 год и изменений в нее не вносилось при выходе 187-ФЗ, хотя в Указ 31с, на основе которого эта концепция создана, изменения внесли в 2017.
Система представляет собой единый централизованный, территориально распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак, ФСТЭК и ФСБ.
в) силы обнаружения, предупреждения и ликвидации последствий компьютерных атак - уполномоченные подразделения субъектов Системы и специально выделенные сотрудники субъектов Системы, принимающие участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
Субъекты Системы - ФСТЭК, ФСБ, владельцы информационных ресурсов Российской Федерации, операторы связи, а также иные организации, осуществляющие лицензируемую деятельность в области защиты информации;
в 187-ФЗ превратились в
Система представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
2. К силам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, относятся:
1) подразделения и должностные лица ФСБ;
2) НКЦКИ;
3) подразделения и должностные лица субъектов критической информационной инфраструктуры, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.
Итог: ФСТЭК исчез полностью, ФСБ включили в состав сил Системы, лицензиатов по ЗИ исключили. Система более не централизованая (это важно)!
То есть, субъекты ГосСОПКА из концепции в законодательстве страны строго ограничены: НКЦКИ/ФСБ и субъекты КИИ. Никаких других законодательных актов определяющих состав сил ГосСОПКА не выпущено.
С силами Системы разобрались, теперь посмотрим что с средствами Системы.
На 06.12.2016
средства обнаружения, предупреждения и ликвидации последствий компьютерных атак - российские технологии, а также технические, в том числе предназначенные для поиска признаков компьютерных атак в сетях электросвязи, программные, лингвистические, правовые, организационные средства, средства сбора и анализа информации, поддержки принятия управленческих решений (ситуационные центры), предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак;
На 26.07.2017 (действующий N 187-ФЗ)
Средствами, предназначенными для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, являются технические, программные, программно-аппаратные и иные средства для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации.
Если в проекте 187-ФЗ использовалась формулировка из Концепции, то в итоговой версии совершенно новая формулировка.
Мы видим, что 187-ФЗ написан "по духу" концепции, а не "по букве".
Какая же структура Системы по Концепции?
Основной организационно-технической составляющей Системы являются центры обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее - центры), организованные по ведомственному и территориальному принципам.
Центры подразделяются на главный центр Системы, региональные центры, территориальные центры, центры органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации (далее - ведомственные центры) и корпоративные центры.
Главный центр Системы, региональные и территориальные центры Системы создаются силами ФСБ.
Кто то видел хоть на одной презентации НКЦКИ структуру Системы с упоминанием этих центров ФСБ? Раньше,у 8 центра ФСБ, они присутствовали. Теперь упоминаются только ведомственные/корпоративные центры, которые прямиком замыкаются на НКЦКИ. Думаю, что из-за этого исчезла и централизация Системы.
Какая роль НКЦКИ в Концепции?
В составе Системы функционирует НКЦКИ, который организует и осуществляет обмен информацией о компьютерных инцидентах с юридическими лицами, владеющими на праве собственности или ином законном основании объектами критической информационной инфраструктуры Российской Федерации, операторами связи, обеспечивающими взаимодействие объектов критической информационной инфраструктуры Российской Федерации между собой, уполномоченными органами иностранных государств, международными и неправительственными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.
Задача у НКЦКИ не поменялась. А значит задачи головного центра Системы на НКЦКИ не переложены. Замечу, что и в Концепции никаких центров между НКЦКИ и субъектами КИИ при обменен информацией не было предусмотрено.
Что же у нас с соглашениями и аккредитацией центров?
Включение ведомственного (корпоративного) центра в состав Системы осуществляется на основе соглашения органа государственной власти (организации), создавшего (создавшей) указанный центр, с ФСБ.
Для НКЦКИ таких полномочий не предусмотрено (ни Концепцией, ни 187-ФЗ/366 приказом ФСБ).
Пыталась ли ФСБ изменить ситуацию с центрами? Да, пыталась. Неудачно.
Проект Указа Президента РФ
"О внесении изменений в Указ Президента Российской Федерации от 15 января 2013 г. N 31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"
(08.09.2017)
1. Внести в Указ Президента Российской Федерации от 15 января 2013 г. N 31с следующие изменения:
подпункт "а" изложить в редакции: "а) организует и проводит работы по созданию и обеспечению функционирования государственной системы, названной в пункте 1 настоящего Указа, осуществляет контроль за исполнением этих работ, утверждает требования к центрам государственной системы, организует и проводит аккредитацию центров государственной системы на соответствие данным требованиям;";
Через 3 месяца Президент подписал Указ в другой редакции, без центров.
Замечу, что утверждение требований и аккредитация планировалась на ФСБ, а не НКЦКИ.
И есть еще интересный момент в законодательстве.
На 06.12.2016 (проект 187-ФЗ)
1. Президент Российской Федерации определяет:
принципы построения, задачи, порядок создания и использования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
На 26.07.2017 (действующий 187-ФЗ)
1. Президент Российской Федерации определяет:
4) порядок создания и задачи государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
За год у Президента исчезли полномочия по определению принципов построения и использования ГосСОПКА. Может эти задачи отдали ФСБ?
Указ Президента РФ от 22.12.2017 N 620 "О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" ничего такого не упоминает.
Формально, он теперь даже концепцию не имеет полномочий менять, в части принципов построения и использования Системы.
Думаю, что ответы на все три поставленных вопроса понятны.
Интересно, что в законопроектом по изменению КоАП в части КИИ, нарушение приказов ФСБ № 196 и № 281 к правонарушениям не отнесены. Административная ответственность за нарушение Порядка, технических условий установки и эксплуатации средств ГосСОПКА не вводится. Аналогично за использование средств ГосСОПКА, не соответствующих требованиям ФСБ.
Необходимо менять 187-ФЗ и создавать правовую базу той структуре Системы, которую уже 2 года выстраивает НКЦКИ.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
