На SOC-форуме 2019 программа с докладами представителей ЦБ была изменена. На фоне больших и подробных докладов ФСТЭК и НКЦКИ несколько затерялось короткое выступление ЦБ (без презентаций и вне программы). Но в нем успели сказать очень важную вещь: субъекты КИИ могут информировать НКЦКИ через ФинЦЕРТ. От НКЦКИ возражений не прозвучало.
name='more'>
В отличии от корпоративных центров ГосСОПКА, которые находятся в серой зоне законодательства (они и не разрешены, но и не запрещены напрямую), для банковской сферы подзаконными актами к 187-ФЗ все указано однозначно. По сути, ФинЦЕРТ заявляют как отраслевой центр ГосСОПКА.
И это прямо прописано в официальных документах ЦБ
https://cbr.ru/Content/Document/File/83253/onrib_2021.pdf
"ФинЦЕРТ Банка России осуществляет развитие информационной безопасности и киберустойчивости по следующим направлениям.
Выполнение функций отраслевого сегмента Государственной системы обнаружения,
предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы
Российской Федерации (ГосСОПКА)."
Отраслевой принцип функционирования ГосСОПКА прописан в Концепции (утв. Президентом РФ 12.12.2014 N К 1274), но для его реализации предусмотрены ведомственные центры. Проблема в том, что ведомственный центр могут создавать исключительно органы государственной власти, а ЦБ к ним не относится по своему правовому статусу https://cbr.ru/today/bankstatus/ . Вот Минкомсвязь может создать, а ЦБ нет.
В 187-ФЗ никаких центров и сегментов ГосСОПКА вообще не предусмотрено. И это приводит к следующей проблеме.
В 282 приказе ФСБ четко и однозначно разделено информирование ЦБ и НКЦКИ на два параллельных процесса.
Приказ ФСБ России от 19.06.2019 N 282"Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
Информирование осуществляется путем направления информации в Национальный координационный центр по компьютерным инцидентам <1> (далее - НКЦКИ) в соответствии с определенными НКЦКИ форматами <2>
В случае если компьютерный инцидент связан с функционированием объекта критической информационной инфраструктуры, принадлежащего на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, информация о компьютерном инциденте также направляется в Банк России с использованием технической инфраструктуры Банка России в сроки, установленные пунктом 4 настоящего Порядка.
Превращение двух независимых процессов информирования "Субъект КИИ - НКЦКИ" и "Субъект КИИ - ЦБ" в один "субъект КИИ - ЦБ -НКЦКИ" является нарушением порядка информирования ФСБ и за это НКЦКИ очень хочет ввести административную ответственность:
4. Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, установленного федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, –
влечет наложение административного штрафа на должностных лиц
в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от ста пятидесяти тысяч до двухсот тысяч рублей.
И наличие статуса отраслевого сегмента ГосСОПКА у ФинЦЕРТ на состав правонарушения никак не влияет, поскольку прямо прописана передача информации "субъект КИИ - НКЦКИ".
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
