Найти в Дзене
АРСИБ
740 подписчиков

ПРОБЛЕМНЫЕ ВОПРОСЫ ВЗАИМОДЕЙСТВИЯ С ГОССОПКА

29
7 мин

В рамках исполнения Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» субъектам критической информационной инфраструктуры (далее по тексту - КИИ) необходимо обеспечить взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА). В рамках данной статьи автор рассказывает о наиболее часто встречающихся в его практике проблемных вопросах указанного взаимодействия и дает ответы на них.

Несколько слов о ГосСОПКА

Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее по тексту – ГосСОПКА) представляет собой единый централизованный, территориально распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак. Силы обнаружения – подразделения и специально выделенные сотрудники, а также Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ), осуществляющий координацию сил обнаружения. Средства – технологии, технические, программные, правовые и организационных средства субъектов ГосСОПКА. Субъекты ГосСОПКА:

  • ФСБ России;
  • ФСТЭК России;
  • владельцы информационных ресурсов Российской Федерации;
  • операторы связи;
  • иные организации, осуществляющие лицензируемую деятельность в области защиты информации.

По сути, ГосСОПКА представляет собой совокупность взаимосвязанных специализированных центров мониторинга и реагирования на инциденты информационной безопасности. Данные центры организованы по ведомственному и территориальному принципам и подразделяются на главный центр ГосСОПКА, региональные центры, территориальные центры, центры органов государственной власти и органов государственной власти субъектов Российской Федерации (ведомственные центры), а также корпоративные центры (центры владельцев информационных ресурсов, операторов связи и иных организации).

Основным назначением ГосСОПКА является обеспечение защищенности информационных ресурсов Российской Федерации от компьютерных атак и штатного функционирования данных ресурсов в условиях возникновения компьютерных инцидентов, вызванных компьютерными атаками.

Взаимодействие субъекта КИИ с ГосСОПКА возможно в двух вариантах:

  • путем самостоятельного подключения к инфраструктуре НКЦКИ;
  • через ведомственный (корпоративный) центр (сегмент) ГосСОПКА.

В рамках указанного взаимодействия, на практике, у субъектов КИИ могут возникать различные проблемные вопросы, рассмотрим их более подробно.

Проблемные вопросы взаимодействия с ГосСОПКА

Одним из первых проблемных вопросов, стоящих перед субъектом КИИ, является вопрос об обязательности подключения к технической инфраструктуре НКЦКИ для обмена информацией с ГосСОПКА.В явном виде действующее законодательство не предусматривает обязанности по подключению субъекта КИИ к технической инфраструктуре НКЦКИ. Часть 2 статьи 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» предусматривает лишь обязанность субъекта КИИ информировать о компьютерных инцидентах ФСБ России (по сути - НКЦКИ) и (или) Центральный банк Российской Федерации (в случае, если субъект КИИ осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в установленном ими порядке.

Порядок информирования определен приказом ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации» (далее – Приказ ФСБ России № 282).

Согласно Приказу ФСБ России № 282, информирование осуществляется путем направления информации в НКЦКИ в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в ГосСОПКА с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ, а также с иными, не являющимися субъектами КИИ, органами и организациями, в том числе иностранными и международными.

В случае отсутствия подключения к данной технической инфраструктуре информация передается субъектом КИИ посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети «Интернет» по адресу: http://cert.gov.ru.

Поскольку взаимодействие субъекта КИИ с ГосСОПКА осуществляется, в том числе, в целях исполнения обязанности по информированию о компьютерных инцидентах, произошедших на объектах КИИ, то возникает вопрос все объекты КИИ попадают под данное требование или только значимые?

Приказ ФСБ России № 282 устанавливает срок, в который субъект КИИ должен передать информацию в ГосСОПКА (проинформировать НКЦКИ):

  • не позднее 3 часов с момента обнаружения инцидента для субъектов КИИ, владеющих значимыми объектами;
  • не позднее 24 часов с момента обнаружения инцидента для субъектов КИИ, владеющих не значимыми объектами.

Таким образом, обязанность по передаче информации в ГосСОПКА, распространяется на всех субъектов КИИ, независимо от вида принадлежащих им объектов.

Если принято решение о передаче информации в ГосСОПКА с использованием технической инфраструктуры НКЦКИ, то возникает вопрос о том, как подключиться?

Технически, взаимодействие с ГосСОПКА строится следующим образом:

  • заключается соглашение о взаимодействии (оно типовое);
  • для взаимодействия организуется защищенное соединение с использованием сертифицированных средств криптографической защиты информации;
  • после заключения соглашения участнику настраивается учетная запись – выдается логин и пароль;
  • по логину и паролю участник получает доступ в личный кабинет.

Передача информации в ГосСОПКА осуществляется с использованием форматов передачи данных, утвержденных ФСБ России.

Следующим вопросом, который встает перед субъектом КИИ, является вопрос об обязательности лицензий в области защиты информации и аккредитации центра ГосСОПКА.

Для взаимодействия с ГосСОПКА лицензии не требуются, оно осуществляется в рамках исполнения обязанностей, возложенных на субъекта КИИ статьей 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Если субъект КИИ намерен создать корпоративный (ведомственный) центр ГосСОПКА для собственных нужд (только в рамках своего юридического лица), никаких лицензий также не требуются. Аналогичным образом обстоит дело и в части аккредитации центров ГосСОПКА.

В рамках работы в холдинговых структурах или для предоставления коммерческих услуг:

1) лицензия ФСТЭК России на оказание услуг по мониторингу информационной безопасности средств и систем информатизации;

2) одна из следующих лицензий:

  • на право осуществления работ, связанных с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну;
  • деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств.

3) лицензия ФСБ России на работу с государственной тайной – если нужен доступ к методическим документам ФСБ России по обнаружению, предотвращению и ликвидации последствий компьютерных атак

Также, для указанной категории центров ГосСОПКА нужно будет пройти аккредитацию.

Логично проистекающий из предыдущего ответа вопрос о том, а обязательно ли для субъекта КИИ создавать корпоративный (ведомственный) центр ГосСОПКА?Законодательно такая необходимость не определена. Более того, на практике уже достаточное количество субъектов КИИ осуществляют свое взаимодействие с ГосСОПКА через коммерческие центры мониторинга и реагирования на инциденты. Преимущества и недостатки аутсорсинга услуг корпоративных (ведомственных) центров ГосСОПКА рассмотрены автором в статье «Что лучше: свой SOC или внешний?»

В заключении следует отметить, что в указанной статье рассмотрены лишь наиболее распространенные, исходя из практики автора, проблемные вопросы, возникающие у субъектов КИИ в рамках организации взаимодействия с ГосСОПКА. Бесспорно, количество проблемных моментов, наблюдаемых в настоящее время гораздо больше, чем может быть рассмотрено в рамках данной статьи в силу ограниченности ее объема.

Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.

-2

Мы в ВК: https://vk.com/vkaciso
Наш сайт: aciso.ru
Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!

1
Взгляните на эти темы
Безопасность и правопорядок
Общество
Найти тему
Сельское хозяйство
Потребительские права
ГИБДД
Военно-патриотическая деятельность
Пенсия
Служба в армии
ЖКХ
История религии
Общественный транспорт
Экология
Сельская жизнь
Демография
Земельные вопросы
Мой Курск
Мой Алтайский Край
Преступления
Карьера и трудоустройство
Новости Голливуда
Общество
14,16 млн интересуются