понедельник, 3 декабря 2018 г.

Итоги SOC-Форума 2018 в разрезе КИИ. Основные тезисы, презентации, записи выступлений регуляторов.





Все презентации с форума, в том числе регуляторов: https://soc-forum.ib-bank.ru/materials

Пленарная дискуссия
Лютиков В.С., ФСТЭК


Готовятся поправки в 127-ПП, чтобы установить сроки завершения категорирования.
Рекомендуется включать в планы на 2019 год практические мероприятия по обеспечению безопасности ЗОКИИ.


Качалин И.Ф., ФСБ
Уже в 18 органах и организациях созданы центры ГосСОПКА. Все субъекты КИИ должны стать субъектами ГосСОПКА вне зависимости от процесса категорирования.


За непредставление информации в ГосСОПКА наказание на текущий момент не предусмотрено. Эту ситуации ФСБ будет в ближайшее время исправлять, внося соответствующие изменения в законодательство.


Сычев А.М., ЦБ

В прошлом году Финцерт опубликовал 24 бюллетеня по инцидентам, а с начала 2018 года уже опубликовано 80.
Финцерт получил право остановки подозрительных платежей, чтобы обеспечить их возврат клиентам. Хотим сократить доходы мошенников.


Лебедь С.В., Сбербанк
ГосСОПКА будет формировать корпоративные центры реагирования для защиты малых предприятий.


Баранов А.П., ГНИВЦ ФНС
Если с корпоративными пользователями еще как-то работают центры ГосСОПКА, то с массовым потребителем взаимодействие вообще не реализовано, хотя он также является субъектом информационного взаимодействия.


Выступления регуляторов
Торбенко Е.Б., ФСТЭК


Запись выступления: https://youtu.be/_bIwfYTPZCY


При категорировании нужно рассматривать самый плохой сценарий, когда нападающий обладает максимальными сведениями о вашей системе, т.е. рассматривается максимальная атака с максимальным ущербом. Какие последствия будут в результате этой атаки? Вы должны хотя бы принципиально понять будет ущерб или нет? И ущерб в какой категории – транспорт, соц.сфера и подпадает сфера хотя бы потенциально под категорию? Если да, то вы попадаете под действие закона.


В комиссию по категорированию не обязательно включаться всех указанных в 127-ПП участников. Но 127-ПП перечислено максимальное количество тех работников, которые могут быть включены в комиссию. Если, например, у Вас нет Гостайны, не нужно назначать соответствующих участников комиссии искусственно. Комиссию возглавляет руководитель субъекта или его УЛ. Если филиал – самостоятельное юр.лицо, то для него нужно созывать отдельную комиссию. Т.е. на одно юр.лицо - одна комиссия.
Ни ФСТЭК, ни ФСБ не наделены полномочиями по категорированию. ФСТЭК готова оказывать методическую помощь при категорировании, но входить в состав комиссии не будет. Можно звать в комиссию отраслевых регуляторов. При категорировании и определении границ ОКИИ нужно смотреть документацию на ИС. Можно объединять ИС в один объект для этого эти ИС должны быть взаимосвязаны, иметь между собой какую-то физическую связь, обмениваться информацией, потоками, а также обеспечивать хотя бы один общий критический процесс. Цех, например, можно рассматривать как один объект или можно поделить на несколько. Если делить на несколько, то ущерб должен рассматриваться от выхода объединенного объекта. Если бьете на несколько объектов, то периметр нужно будет защищать у каждого ОКИИ отдельно.


Под иные законные основания подпадает документ, который определяет право кого-либо использовать данный объект в своих целях на определенных условиях, определенных собственником. Если организация заключила договор пользования ИС на определенных условиях, то это тоже иные законные основания. Правда разные юристы могут трактовать данный вопрос по-разному. Мнение ФСТЭК – иное законное основание это договорные отношения с какой-либо организацией на то, что вы используете их ресурсы.


Если есть электростанция (принадлежит одной организации) и сеть электросвязи (принадлежит другой организации), которая обеспечивает работу электростанции. В этом случае владелец сети электросвязи должен категорировать сеть электросвязи, т.к. она обеспечивает функции электростанции (см. п. 9 127-ПП) на основании информации, полученной от владельца электростанции.


Перечень объектов КИИ, подлежащих категорированию направляется субъектом в ЦА ФСТЭК. ФКУ, ФГБУ, ФГУ – предварительно согласовывают свои перечни с головной организацией. Если АО – то не нужно.


В наименовании ОКИИ пишите понятные названия, чтобы регулятору было понятно что это за объект. Контакты при отправке Перечня нужны, чтобы созвониться и оперативно задать вопрос, а не заниматься перепиской.


Прикладывайте электронные копии перечней, можно диском, можно по эл.почте (если на перечни нет ограничений).


Заполнять поля 236 формы нужно все, по всем показателям. Где не применимо – пишем почему не применимо.


На исправление результатов категорирования субъекту по 127-ПП отведено всего 10 дней. Поэтому лучше сразу заполнять 236 форму подробно.


Типовые ошибки при категорировании: не полностью заполняют 236 форму. Если встречаются небольшие опечатки – регулятор не будет возвращать сведения на доработку, а позвонит и скажет, что объект учтен, но просьба предоставить сведений, которых не хватает. Если в сведениях не указана категория, то сведения будут возвращены на доработку. Если нет обоснования присвоения или не присвоения категории, то тоже возврат.


Если значение показателей ниже нижней границы, все равно нужно писать из значения.


Количество операций по переделке сведений законодательно не ограничено. Можно заниматься перепиской до бесконечности, но лучше этого не делать.
При заполнении 236 формы в части Мер защиты нужно указывать меры, реализованные на текущий момент, а не те, которые будут реализованы по 239 приказу.

Организационные меры должны быть внедрены сразу после завершения категорирования – назначен ответственный персонал, создано подразделение, разработана необходимая документация.
Внедрение технических мер необходимо соотнести с вашим технологическим процессом. Вам нужно определить когда вы сможете внедрить технические меры с минимальным ущербом для себя.


Можно пока использовать несертифицированные средства, кроме случаев, когда субъект сам решил их использовать или их нужно использовать в соответствии с иными законодательными актами.
Для защиты ЗОКИИ, являющего еще и ИСПДн, необходимо реализовать требования 1119-ПП и 239 приказа. При этом 21 приказ реализовывать не требуется, т.к. мер 239 приказа достаточно.


Если ОКИИ является ЗОКИИ и АСУ ТП, то применяется 239 приказ. Если ОКИИ является АСУ ТП, но не является ЗОКИИ, то 239 приказ применять не требуется, а 31 приказ можно использовать при необходимости.


С проверкой ФСТЭК может прийти не ранее через 3 года или в случае предписания или инцидента.


Если вы не субъект КИИ, то уведомлять об этом ФСТЭК не нужно. Можете зафиксировать это в локальных актах.
Если есть ОКИИ, например водоотведения, но они не подпадают под 12 сфер, то категорировать их не надо. Можно добровольно применить к ним требования 239 приказа, но категорировать их не нужно. Спорное мнение, т.к. много систем (например, пожаротушения), которые не функционируют в сферах, но напрямую обеспечивают критические процесс. Например, если система пожаротушения будет атакована и на сервера промышленного предприятия несанкционированно польется вода, то эти сервера могут выйти из строя и соответственно остановится критический процесс (мое личное примечание).


Если появляется новый объект, то можете направить во ФСТЭК дополнение в перечень. Если вывели из эксплуатации объект, но не успели его категорировать, то тоже нужно уведомить об этом ФСТЭК с пояснением. ФСТЭК исключит его из перечня у себя и не будет ждать его в Сведениях.  Если строится новый объект, то необходимо предусмотреть в ТЗ все необходимые процедуры законодательства по КИИ. При этом на момент составления ТЗ нужно этот объект откатегорировать. Позже, в процессе разработки, категория может быть скорректирована.

Согласовывать перечни не нужно. Ждать ответа не нужно. Со стороны ФСТЭК могут быть уточняющие звонки по телефону.
Раевский А., НКЦКИ


Практика применения нормативных правовых документов ФСБ России:


https://youtu.be/_bIwfYTPZCY
В декабре 2018 должны быть зарегистрированы оставшиеся приказы ФСБ.


В ближайшее ФСБ время будет разработан регламент привлечения должностных лиц и региональных подразделений ФСБ  и НКЦКИ. В регламенте будет указаны контактные лица с той и другой стороны для привлечения к реагированию и ликвидации последствий компьютерных атак на ЗОКИИ и первичные шаги для решения появившейся проблемы.


Субъектом КИИ, имеющим ЗОКИИ, должен будет разработан План реагирования, который будет утверждаться руководителем субъекта. Цель  Плана -  подготовка к реагированию и ликвидации последствий. Необходимо будет периодически проводить тренировки с учетом меняющихся угроз. По результатам тренировок при необходимости необходимо будет вносить изменения в План.
Недостаточно просто установит СОВ на периметр  и сообщать в НКЦКИ о внешних инцидентах. Сообщать в НКЦКИ необходимо и об инцидентах во внутренней сети, поэтому нужно применять и другие средства. Установку средств ГосСОПКА необходимо согласовывать с ФСБ.


В 73 организации уже направлены методические материалы. Для получения методических документов ФСБ необходимо отправить письменный запрос по адресу, указанному на соответствующем слайде презентации, при этом нужно приложить копии имеющихся лицензий ФСБ, а также указать цель получения документов для того, чтобы ФСБ понимала с кем начинает взаимодействие.


Типовое соглашение с ФСБ может быть направлено вместе с комплектом документов.


После подписания соглашения организация может оказывать услуги центра ГосСОПКА.


Подписанное соглашений между центром ГосСОПКА и ФСБ - обязательное условие для начала оказания соответствующих услуг и субъектам стоит обращать внимание на наличие такого соглашения.


Если субъект решил направлять в ГосСОПКА сведения об инцидентах через техническую инфраструктуру, то он вправе выбрать способ взаимодействия с НКЦКИ – напрямую или через корпоративный/коммерческий Центр ГосСОПКА. Если субъект выбрал непрямой способ, то ему необходимо направить в сторону НКЦКИ соответствующее информационное письмо, в котором указать через какой центр ГосСОПКА он будет направлять информацию в НКЦКИ. А центр ГосСОПКА со своей стороны направляет в НКЦКИ информацию о своей зоне ответственности (кого он подключил к себе).


Предусмотрены классы корпоративных центров ГосСОПКА – А, Б, В. Эти классы основаны на предыдущих методических рекомендациях от 2016 года.


Центра класса А может выполнять все функции.
Центра класса Б - все функции за исключением двух – ликвидация последствий и анализ результатов ликвидации последствий.


Центр класса В - ограниченный перечень функций.

Возможны ситуации, когда в регионах не найдется организаций, которые могут реализовать все функции. Для выполнения всех функций центры могут кооперироваться и оказывать услуги одной Организации, например, двумя центрами.

Грачев А., НКЦКИ
Технические аспекты взаимодействия с НКЦКИ: https://youtu.be/DJJjddb-F0c


Подключение к ГосСОПКА - это не значит, что обязательно подключаться к технической инфраструктуре НКЦКИ и строить технический канал взаимодействия, достаточно начать информировать НКЦКИ об инцидентах и получать обратную связь.


Сейчас для взаимодействия с технической инфраструктурой НКЦКИ допускается использовать только ViPNet. В ближайшее время появится возможность взаимодействовать с помощью Континента и sTerra.



Отправка информации в ГосСОПКА через техническую инфраструктуру НКЦКИ осуществляется через личный кабинет субъекта ГосСОПКА. При этом отправка информации в личный кабинет возможна как в пакетном режиме, так и в интерактивном, когда субъект в в своем личном кабинете вручную заполняет карточку инцидента.



Способы информирования Анатолий Грачев в деталях описал на своих слайдах и подробно рассказал о них во время своего выступления.


Новиков А.


Задачи и функции субъекта ГосСОПКА: запись пока не выложена
ФСБ не нужна чувствительная информация о самом субъекте, о том какие меры были предприняты для защиты информации, кто как реагировал на компьютерный инцидент, кто виноват что он случился, какие были предприняты меры, всякие домены, виланы, как устроена политика доступа у субъекта - это внутренняя кухня, она остается внутри субъекта.


ФСБ нужны только сведения о вредоносной активности, полезные другим участникам системы.

ФСБ не планирует с помощью ГосСОПКА контролировать все информационное пространство страны и использовать информацию против субъектов.
ФСБ хочет, чтобы у субъекта были выстроены процессы от регистрации инцидентов до ликвидации последствий.



Полноправный участник ГоСОПКА этот тот, кто решает на своем уровне два направления задач. Первое - вносит свой вклад в формирование общей базы знаний по вредоносной активности. Второе -  организует применение в своей системе защиты тех сведений, которые приходят из ГосСОПКА. Это не разовые действия, а процессы, которые требуют порой перераспределение ресурсов, использования технических средств, принятия часто сложных управленческих решений.


 Диалог с регулятором
Запись диалога: https://youtu.be/GCKcGfoZwjI


Комментарий НКЦКИ: НКЦКИ против бесконтрольного обмена информации об инцидентах КИИ с зарубежными партнерами. Такой обмен должен осуществляться только через НКЦКИ. Все взаимодействие в рамках ГосСОПКА ведется по модели звезда. Но никто не запрещает субъектам взаимодействовать друг с другом напрямую внутри страны.

Вопрос 1: Если произойдет инцидент, то через ГосСОПКА информация об инциденте попадет в ФСБ, после этого ФСБ сигнализирует об инциденте во ФСТЭК, после чего ФСТЭК придет с проверкой, при этом ни ФСТЭК, ни ФСБ не разбираются с специфике отраслевых ИС/АСУ ТП. Вопрос: планируется ли привлечение отраслевых регуляторов к проверкам ФСТЭК и планируются ли внесение изменений в законодательство в части привлечения отраслевых регуляторов к проверкам?


Ответ ФСТЭК: В настоящее время привлекать к проверкам отраслевых регуляторов не планируется. Пока не сформировалась правоприменительная практика, говорить о внесении изменений в законодательство по этому поводу преждевременно. ФСТЭК будет проводить проверку только в рамках своих компетенций, т.е. будут проверяться вопросы обеспечения безопасности, а ни в коем случае вопросы, отнесенные к компетенции иных органов.
Ответ НКЦКИ:  С появлением ГосСОПКА у субъекта появился еще один источник где можно попросить помощи. Если произошел инцидент вы можете обратиться через корпоративный центр ГосСОПКА или напрямую в НКЦКИ. В компетенции НКЦКИ находится возможность привлечение для помощи в решении инцидента любых других участников информационного пространства в РФ и отчасти в мире. Этот процесс выстраивается не для того, чтобы к Вам пришли с проверкой, а для того, чтобы оказать вам помощь. Если вы поборолись с инцидентом самостоятельно, информация о том как вы это сделали была бы полезна другим участниками информационного обмена в рамках ГосСОПКА, потому что на объектах у других субъектов может случиться аналогичная штука. Мотивация вступления в ГосСОПКА – получение новых знаний из общей копилки. Где каждый участник делится с остальными участниками информаций о том с какой вредоносной активностью он столкнулся, как он с ней правился, если справился, какой путь привел к успеху. Если не привел, то он получает практическую помощь от НКЦКИ. Из этой общей копилки можно получать информацию о новых угрозах, о новых методах проведения атак и тем самым повышать эффективность своего бизнеса и повышению защищенности бизнес-процессов организации. НКЦКИ и ЦБ самостоятельно не смогут охватить всю страну, поэтому будет развиваться партнерство с коммерческими SOCами.


Комментарий ЦБ: Оперативный обмен информацией об инцидентах не дает заразе (спам-рассылке, например) быстро распространяться по отрасли. За последний квартал так уберегли 5 кредитных организаций. Банкам рассылается информация о заразе и рекомендации как с ней бороться, а обратно снимается статус и информация о том, что было сделано или не сделано и дальше полезная информация передается другим участникам.



Вопрос 2: нужна ли лицензия на Гостайну для получения методических документов ФСБ.


Ответ НКЦКИ: такая лицензия для получения методических документов не нужна.
Вопрос 3: предусмотрено ли наказание за невыполнение категорирования?
Ответ ФСТЭК: На текущий момент не предусмотрено, но в ближайшее время планируется внести соответствующие изменения в КОАП, в соответствии с которыми будет предусмотрено наказание за подобные нарушения в виде штрафов. И за такие изменения в КОАП ратовали даже сами объединения субъектов.
 
Вопрос 4: информацию об инцидентах можно сообщать только в НКЦКИ?


Ответ НКЦКИ: сейчас все взаимодействие должно осуществляться с НКЦКИ. Вопрос взаимодействия с региональными органами ФСБ сейчас прорабатывается, чтобы субъектам можно было передавать информацию по кротчайшему пути. Сейчас поставлены научные работы, которые должны выстроить правильную архитектуру, чтобы обеспечить ближайшую точку взаимодействия. Также сейчас ведется разработка законодательных актов для закрепления этой архитектуры.
Если ЗОКИИ еще и ИСПДн, то нужно определить категорию, определить УЗ, реализовать требования 1119 и 239 приказ. 21 приказ не требуется.
Вопрос 5: нужно ли получать лицензии ФСТЭК и ФСБ для того, чтобы корпоративный центр ГосСОПКА смог оказывать соответствующие услуги своим дочерним организация.


Ответ НКЦКИ: если дочерние организации являются отдельными юр.лицами, то да, корпоративному центру необходимо получить соответствующие лицензии. 
Вопрос 6: можно ли банкам передавать информацию об инцидентах в ГосСОПКА через Финцерт?


Ответ ЦБ: Да, банки могут передавать информацию в ГосСОПКА через Финцент, только нужно не забыть предварительно уведомить об этом НКЦКИ. В настоящее время формально это нигде не закреплено, но между НКЦКИ и ЦБ есть соответствующая договоренность. Ситуация должна формально проясниться с выходом оставшихся приказов ФСБ. После того, как приказы будут зарегистрированы в Минюсте, от ЦБ в сторону банков выйдет соответствующее информационное письмо.


Вопрос 7: могут ли границы ОКИИ не совпадать с границами ИСПДн?

Ответ ФСТЭК: Не рекомендуется, чтобы границы ОКИИ не совпадали с границами ИСПДн, т.к. если границы совпадать не будут, то сложнее будет реализовать систему защиту ОКИИ, т.к. она привязана к границам ОКИИ.


Вопрос 8: можно ли перенести ответственность за результаты категорирования на подрядчика, выполняющего категорирование?


Ответ ФСТЭК: ответственность за результаты категорировании лежит полностью на субъекте КИИ, а не на подрядчике. Подрядчик должен отвечать перед Заказчиком (субъектом) за результаты своих работ по категорированию в рамках договорных отношений.