Сегодня весьма продуктивно прошел первый день Форума PHDays, в рамках которого в
том числе состоялась секция Безопасность
КИИ: практические аспекты, вызвавшая живой интерес у присутствующих, по
крайней мере, если судить по количеству заинтересованных лиц в зрительном зале.
Секция продлилась 2,5 часа и включила в себя несколько выступлений и панельную
дискуссию в том числе с участием представителя ФСБ (НКЦКИ). И в рамках
выступлений и в рамках панельной дискуссии было озвучено довольно много
любопытной информации, кроме этого несколько вопросов удалось обсудить с
представителями ФСБ в кулуарах. В этом посте, так сказать по горячим следам, решил остановиться лишь на некоторых моментах.
Выступления
По поводу
категорирования в крупных субъектах КИИ, имеющих разветвленную сеть
территориальных подразделений
В нескольких докладах было озвучено, что в случае
распределенной организации субъекта КИИ целесообразно провести предварительную методическую
работа по категорированию в головной организации. Так, в центре целесообразно
сформировать перечень всех территориальных подразделений, а затем бизнес-процессов
и привязать их к территориальным подразделениям. После чего сформировать
методические рекомендации по категорированию в том числе с описанием типизации
объектов КИИ, если это возможно, разработать шаблоны документов (перечень
объектов КИИ, подлежащих категорированию, акт категорирования, сведения,
передаваемые во ФСТЭК по результатам категорирования). И далее не забыв про
контрольную функцию Центра спустить данные наработки на территориальные
подразделения (обкатав их предварительно на одном-двух подразделениях), которые
в свою очередь должны будут убедиться, что перечень бизнес-процессов, спущенный
сверху, актуален (при необходимости актуализировать), сформировать перечень
объектов КИИ, подлежащих категорированию, осуществить моделирование угроз для
объектов КИИ из данного перечня, провести категорирование и сформировать
отчетные документы, на основе спущенных сверху шаблонов.
По поводу
обязательности подключения к ГосСОПКА
В одном из выступлений было озвучено дословно, что «Необходимо
развернуть специализированные системы взаимодействия с технической инфраструктурой
НКЦКИ (ТИ НКЦКИ) (для значимых объектов КИИ ОБЯЗАТЕЛЬНО, остальным опционально)».
По поводу обязательности подключения к ТИ НКЦКИ ни в 187-ФЗ,
ни в проектах приказов ФСБ ничего не сказано. Более того, в последней редакции
проектов приказов
(см. п. 3 документа с номером 18 в таблице) нет даже разделения на значимые
объекты и не значимые, а просто говориться о том, что информация о компьютерных
инцидентах, связанных с функционированием объектов КИИ передается в ГосСОПКА
либо через техническую инфраструктуру НКЦКИ, либо через иные каналы связи
(почта, эл.почта, телефон, факс).
Панельная дискуссия
О текущей ситуации с
категорированием объектов КИИ.
Интер РАО. «Не
всегда отраслевой регулятор может выступать локомотивом и снабжать
подведомственные организации необходимыми методиками и инструкциями по категорированию,
а также участвовать в составе комиссии по категорированию, как это предписывает
127-ПП. Так, например, Интер РАО не дождавшись реакции от отраслевого
регулятора, приступил к работам самостоятельно. В итоге сам разработал
методические рекомендации по категорированию, составил комиссию по
категорированию, утвердив приказом и наделив ее участников необходимыми ролями.
В настоящее время формируется перечень ОКИИ, подлежащих категорированию».Мегафон. «В составе большой четверки сотовых операторов обсудили подход к разработке отраслевого стандарта по реализации требований 187-ФЗ (возможно имелось ввиду только часть требований, касающихся категорирования). Это целесообразным, т.к. у всех операторов объекты КИИ довольно типовые. Разработка стандарта ведется по согласованию и с участием обоих регуляторов. Таким образом правила игры согласовываются централизованно, на берегу, во избежание появления в дальнейшем зоопарка различных подходов и методик категорирования. В Мегафоне создан в начале года Центра Компетенций по защите КИИ, выделена штатная единица, которая занимается в структуре вопросами ИБ. Непосредственно в самом Мегафоне практически подписан приказ о создании комиссии по категорированию, определен единый подход к категорированию и сейчас идет обсуждение данного подхода. По срокам – до конца 2019 года планируется провести категорирование. К началу осени 2018 – разработать и утвердить отраслевой стандарт. До конца 2018 - сформировать по определенной в стандарте методике перечень объектов КИИ, подлежащих. И далее до конца 2019 года завершить категорирование. Из особенностей категорирования - у Мегафона как и у всех сотовых операторов принципы построения сети сотовой связи являются одинаковыми, поэтому при создании системы защиты будут выделяться некие типовые доверенные зоны, которые будут соответствующим типовым образом категорироваться и далее по результатам категорирования и проведенного аудита будут соответствующим образом защищаться».
Газпромбанк. «Требования по обеспечению ИБ для банков не
новы. Уже довольно давно действует тот же СТО БР и другие регулирующие НПА в
области обеспечения ИБ. В настоящее время Газпромбанк, как и многие другие
банки озадачен вопросом корреляции требований СТО БР и 187-ФЗ. До начала
активных действий по категорированию банки ждут от ЦБ, как от отраслевого
регулятора, соответствующие четкие инструкции, методики и указания».
О подключении к
ГосСОПКА
Мегафон. «Количество
компьютерных инцидентов за 2017 год - несколько сот. Но опять же смотря что
считать инцидентом. Пока это не до конца понятно. Так, например, недавно
произошла авария – в течение двух часов было порвано оптоволокно в двух местах,
которые друг друга резервируют, при этом произошла деградация качества услуг
связи по нескольким регионам. В процессе расследования инцидента были
привлечены представители ФСБ, которые на вопрос является ли данный инцидент
компьютерным инцидентом ответить однозначно затруднились, хотя по логике случай
вопиющий и вполне вероятно тщательно спланированный. Мегафон в настоящее время
к технической инфраструктуре НКЦКИ не подключен, но в ближайшее время планирует
это сделать».
НКЦКИ. «К ГосСОПКА
на настоящий момент уже подключилось порядка полутора тысяч объектов
(участников), с которыми организовано двухстороннее взаимодействие. Информация
о найденных угрозах и уязвимостях шарится между всеми подключенными участниками.
Изначально ГосСОПКА задумывалась не только для КИИ, а как система обмена соответствующей
информацией для всех заинтересованных лиц. В 2017 году количества инцидентов, в
расследовании которых принимал участие НКЦКИ, по сравнению с 2016 годом
увеличилось в 5 раз. В абсолютных значениях, в 2017 году ФСБ приняло участие в
расследовании порядка двухсот инцидентов, а также приняло меры по закрытию
более 3000 вредоносных ресурсов. Планируется
разработка соответствующего документа (а точнее документ уже разработан, но
пока в открытом доступе его нет), дающего разъяснения того, что считать
инцидентом, без привязки к конкретным сферам, определенным в 187-ФЗ. Кроме
этого уже существует документ, разработанный НКЦКИ, описывающий форматы
передачи данных в ГосСОПКА и по запросу в НКЦКИ можно его получить. Перечень же
информации, передаваемый в ГосСОПКА приведен в соответствующем проекте приказа ФСБ
(см. п. 18), который в течением месяца должен быть утвержден и передан на
регистрацию в Минюст. Есть отдельные исследователи, исследовательские
организации и некоторые вендоры, которые поставляют в ГосСОПКА информацию о
найденных уязвимостях еще до того, как эта информация будет опубликована
публично. Далее данная информация также шарится между всеми участниками,
подключенными к ГосСОПКА».
Из кулуарного общения с
представителями ФСБ
Ожидаемый срок утверждения всех 6 проектов приказов ФСБ –
конец июня 2018.
Кроме этого планируется разработка Типового положения о типовом
Центре ГосСОПКА (отраслевыми или корпоративными центры ГосСОПКА больше не будут
называться, т.к. их нет в 187-ФЗ). В этой связи Методические рекомендации по
созданию корпоративных и отраслевых центров ГосСОПКА скорее всего станут
неактуальными.
В проекте приказа ФСБ
(см. п. 19) говорится о том, что для организации мероприятий по реагированию на
компьютерные инциденты и принятию мер по ликвидации последствий компьютерных
атак с привлечением подразделений и должностных лиц ФСБ России субъектом КИИ,
которому принадлежат значимые объекты КИИ, во взаимодействии с НКЦКИ
разрабатывается, согласовывается с 8 Центром ФСБ и утверждается Регламент. Формат
данного регламент планируется разработать ФСБ в обозримом будущем.
Комментариев нет:
Отправить комментарий