Просто беда с этой ГосСОПКА

    Как принимался законопроект в первом чтении и какие вопросы к нему возникли у депутатов можно посмотреть здесь

    В данной заметке коснемся единственного вопроса, на котором авторы законопроекты сделали акцент - принуждение всех операторов ПДн к непрерывному взаимодействию с ГосСОПКА, которое не потребует затрат бюджета. И обсуждение мы построим на аргументах авторов законопроекта, озвученных на заседании Комитета -  https://youtu.be/UuPuUPBCRZs?t=696

О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных https://sozd.duma.gov.ru/bill/101234-8#bh_histras

«12.  Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных.»

   Порядка ФСБ по непрерывному взаимодействию операторов ПДн с ГосСОПКА не существует, он только будет разработан. Отдельно замечу, что это именно приказ ФСБ должен быть, а не документ от НКЦКИ.

   Более того, для субъектов КИИ такого документа тоже не существует. Есть Приказ ФСБ России от 24 июля 2018 г. № 367, но он ИСКЛЮЧИТЕЛЬНО про представление информации в ГосСОПКА, но не про взаимодействие.

  Есть регламент взаимодействия ФСБ с субъектом КИИ при осуществлении информационного обмена, опять же область взаимодействия ограничена.

   В законопроекте прямо указано, что «информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных» это ЧАСТЬ процесса взаимодействия. То есть, область требований намного шире.

  Далее, обязанность непрерывного взаимодействия с ГосСОПКА возложена законом на субъект КИИ только в отношении ЗНАЧИМЫХ объектов КИИ, а не всех.

  Этот процесс обеспечивается субъектом КИИ при выполнении 235 и 239 приказа ФСТЭК, путем создания системы безопасности ЗОКИИ. То есть, организация выделяет отдельные силы и средства безопасности ЗОКИИ. И это совсем не бесплатно.

  Для незначимых объектов КИИ никакого требования о взаимодействии с ГосСОПКА в законодательства нет. Они только информируют НКЦКИ о компьютерных инцидентах в течении 24 часов. Да, сейчас допускается вариант через почту/телефон. Но это резервный вариант, а не основной. И подключение к технической инфраструктуре НКЦКИ уже требует затрат.

  И не забывайте, что текущая ситуация базируется всего на одной строке в приказе ФСБ 

«В случае отсутствия подключения к технической инфраструктуре НКЦКИ информация направляется посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: http://cert.gov.ru ». 

   Достаточно убрать эту строку и вопрос стоимости заиграет новыми красками. Приказ изменить намного проще, чем ФЗ. А мы узнаем по факту. К тому же мы не знаем какой порядок взаимодействия будет прописан для операторов ПДн в итоге. Его еще нет. Сейчас нам могут обещать одно, а через месяц изменится ситуация и выйдет совсем по другому.

  Информационное взаимодействие субъектов КИИ с НКЦКИ выглядит так

   Авторы законопроекта дали справку

«Принятие Федерального закона «О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных» не потребует признания утратившими силу, приостановления, изменения или принятия иных актов федерального законодательства.»

   Необходимо вносить изменения в ст. 5 187-ФЗ «Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», поскольку силы оператора ПДн сейчас не относятся к силам ГосСОПКА.

    Непонятно как применять операторам ПДн определение «компьютерный инцидент», заданное в ст.2 187-ФЗ, поскольку компьютерный инцидент может быть исключительно на объекте КИИ или с информацией, обрабатываемой исключительно объектом КИИ. А для операторов ПДн характерен инцидент ИБ, а не КИ. Или просто инцидент по 21 приказу ФСТЭК. При этом, даже ГОСТ по мониторинг ИБ указывает, что он не применяется для процессов с КИ. https://valerykomarov.blogspot.com/2022/04/blog-post.html

    Определение «компьютерная атака» опять же задана через объект КИИ.

    Необходимо вносить изменения в Приказ ФСБ №366, поскольку сейчас задачи НКЦКИ ограничены только субъектами КИИ. С иными организациями только обмен информацией о компьютерных инцидентах. Необходимо вносить изменения в Приказ ФСТЭК №21 по аналогии с приказом ФСТЭК № 239.

   Непонятно почему вообще не используется опыт, накопленный по реализации 187-ФЗ.

1. Он негативный, даже по докладам регуляторов.

2. О том, что реализация требований 187-ФЗ не потребует никаких затрат у субъектов КИИ и вообще все уже реализовано – заявлялось в ГД еще в 2017 году https://zen.yandex.ru/video/watch/603f60041b252e28ff4fde11 .  И речь идет о десятках тысяч организаций страны, а теперь про ВСЕ (десятки миллионов). Как можно на основе опыта взаимодействия НКЦКИ с 3 000 организациями делать вывод об отсутствии проблем с взаимодействием у 7 000 000 организаций? Это ведь на ТРИ порядка больше цифра. В 2 500 раз больше!

 3. Обобщен ли опыт НКЦКИ по взаимодействию с субъектами КИИ в отношении ИСПДн, которые отнесены к ОКИИ? Или все скопом и не важно в отношении какого типа ОКИИ (ИС/АСУ/ИТКС)? 

   И самый главный вопрос к авторам законопроекта. Есть разница между оператором ПДн и оператором ИСПДн? Ведь 152-ФЗ устанавливает требования для оператора ПДн, который может осуществлять как автоматизированную обработку ПДн в ИСПДн, так и не автоматизированную.     Какое отношение имеет НКЦКИ к неавтоматизированной обработке ПДн? Компьютерная атака на шкаф с личными делами работников в отделе кадров?

   Ведь есть Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и формулировке о ГосСОПКА самое место в ПП, а не ФЗ.

  Лучше, если сначала только для УЗ1. Просто добавить в пункт 16 подпункт «в» про взаимодействие с ГосСОПКА.

   Потом, по мере накопления совершенствования базы, распространить на УЗ2.

   А УЗ4 и УЗ3 не трогать вообще.

  Теперь про готовность без дополнительного финансирования обеспечить взаимодействие с ГосСОПКА всех операторов ПДн.

   Да, уже действует норма закона про «принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них», но эта норма только про ИСПДн и только про компьютерные инциденты, то есть норма более узкая, чем предлагаемая. И она ничем не подкреплена для исполнения. Рассмотрим это подробнее

    Для взаимодействия нужен исполнитель, ответственный за обеспечение безопасности ПДн при обработке в ИСПДн. Он в обязательном порядке появляется в организации только для УЗ3 по ПП1119. То есть, если в организации только ИСПДн с УЗ4, то необходимо нанимать обученного специалиста. Нужны деньги.

   Далее, требования по выявлению инцидентов в ИСПДн появляются только с УЗ2 (21 приказ ФСТЭК XIV. Выявление инцидентов и реагирование на них (ИНЦ)). То есть, если в организации ИСПДн с УЗ4 и УЗ3, то никто никакого процесса выявления инцидентов не строил. Нужны деньги.

   Может у всех операторов уже должны быть средства обнаружения компьютерных атак или в терминологии ФСТЭК – средств обнаружения вторжения? Нет, VII. Обнаружение вторжений (СОВ) только для УЗ2 И УЗ1.

   Таким образом, мы видим, что для наиболее массового сегмента ИСПДн с низкими уровнями защиты ПДн не обеспечено заранее выполнение норм законопроекта. Нет ни персонала, ни технических средств. Они просто не узнают о том, что по ним проводится компьютерная атака или у них компьютерный инцидент. Они не смогут реализовать информацию, полученную от НКЦКИ.

   Даже при наличии подготовленного специалиста появляется необходимость возложения ДОПОЛНИТЕЛЬНЫХ обязанностей, а это увеличение фонда оплаты труда. https://valerykomarov.blogspot.com/2019/12/blog-post_19.html

    И это мы смотрели на ситуацию в «тепличных» условиях, при вводной – все организации в стране выполняют требования 152-ФЗ в полном объеме. Реальность несколько другая, совсем другая.

    Другой момент, ведь процесс взаимодействия подразумевает взаимное участие сторон. Не только оператор ПДн, но и НКЦКИ должен быть готова к обработке такого массива информации. Вот просто заключить 7 000 000 соглашений с организациями о взаимодействии, это как масштаб задачи? Это наращивание технической инфраструктуры НКЦКИ, это набор персонала НКЦКИ.        Иначе сроки обработки информации о КИ от операторов ПДн будут очень грустными. 

И непонятно зачем вообще тогда требовать «непрерывного» взаимодействия от операторов ПДн.

Еще момент. Раз уж у нас так любят на опыт с КИИ ссылаться.

   Почему никто не учитывает такой момент – огромный массив исходной информации об ОКИИ поступает в НКЦКИ не от субъекта КИИ, а от ФСТЭК. То есть, в НКЦКИ еще до инцидента есть вся информация об ОКИИ (состав ПО, ПАК, место размещения и т.д.). Субъект КИИ только сообщает о параметрах инцидента, остальная информация для анализа уже есть в НКЦКИ.

    А по ИСПДн страны откуда эта информация в НКЦКИ возьмется (их десятки миллионов)? Каким образом НКЦКИ будет осуществлять целевое информирование операторов ПДн об угрозах? По субъектам КИИ у них есть хотя бы теоретическая возможность провести селекцию по информации от ФСТЭК, а здесь как?

  Итог: 

1. Текущую формулировку о непрерывном взаимодействии необходимо заменить на «направление информации операторами ПДн, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Конкретизировать что только в отношении ИСПДн.

2. Работу с НКЦКИ прописывать в ПП1119, с учетом уровней значимости.

3. Спланировать изменение всей нормативной базы по защите ПДн, синхронизировать эти изменения. Гармонизировать подзаконные акты по защите ПДн.

4. Внедрение требований проводить поэтапно, с корректировкой согласно полученного опыта.

5. Предусмотреть финансирование и субсидирование операторов ПДн и ФСБ.

6. Внести изменения в программы повышения квалификации для специалистов, обеспечивающих защиту ИСПДн. Ввести отдельный модуль обучения взаимодействию с НКЦКИ.

   Вывод: выстраивание реального реагирования на компьютерные инциденты и компьютерные атаки в организации - это долгосрочный и затратный процесс. Он требует серьезного подготовки и обеспеченности всеми видами ресурсов - финансовыми, кадровыми, законодательными, методическими и т.д.

P.S. Все слайды с презентаций НКЦКИ.

Раздел "Правоприменительная практика по ст.274.1 УК РФ  "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации"  на главной страницы блога -  https://valerykomarov.blogspot.com/p/2741.html

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.