Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Часть 3. Приказы ФСБ России № 366, 367, 368 и 282

Руслан Рахметов, Security Vision

С целью обеспечения безопасности критической информационной инфраструктуры России Федеральный закон № 187 предусматривает создание специального территориального распределенного комплекса - государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее ГосСОПКА). В данной публикации мы подробно рассмотрим вопросы обмена информацией о компьютерных инцидентах, связанных с объектами критической информационной инфраструктуры (далее ОКИИ).

ГосСОПКА, в сущности, является агрегатором информации о компьютерных инцидентах и угрозах безопасности информационных активов субъектов КИИ, что в свою очередь позволяет осуществлять проактивное реагирование и предпринимать меры по оперативному предотвращению ущерба ОКИИ РФ. Для обеспечения координации деятельности субъектов КИИ по вопросам взаимодействия Приказом ФСБ России №366 от 24 июля 2018 года был создан Национальный координационный центр по компьютерным инцидентам (далее НКЦКИ). Таким образом, НКЦКИ является подразделением ФСБ России и составной частью ГосСОПКА.

Согласно Приказу ФСБ России № 366, НКЦКИ осуществляет следующие основные функции:

- Координирует и учувствует в мероприятиях по реагированию;

- Организует и осуществляет обмен информацией о компьютерных инцидентах между субъектами КИИ;

- Обеспечивает методическое сопровождение по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также реагирования на компьютерные инциденты;

- Непосредственно участвует в процессах обнаружения, предупреждения и ликвидации последствий компьютерных атак;

- Обеспечивает своевременное информирование субъектов КИИ об угрозах и методах их обнаружения и предупреждения;

- Осуществляет сбор, хранение и анализ информации о компьютерных инцидентах и атаках;

- Обеспечивает функционирование, осуществляет эксплуатацию и развитие собственной технической инфраструктуры.

Кроме того, для выполнения своих задач и функций НКЦКИ имеет право:

- Направлять уведомления и запросы субъектам КИИ, а также иным организациям, по вопросам, связанным с обнаружением, предупреждением и ликвидацией последствий компьютерных атак, и реагированием на компьютерные инциденты;

- Отказывать в предоставлении информации об инцидентах, связанных с функционированием ОКИИ, по запросам органов иностранных (или международных) организаций;

- Создавать рабочие группы из представителей субъектов КИИ;

- Привлекать к реагированию на компьютерные инциденты организации и экспертов.

Далее перейдем к рассмотрению Приказа ФСБ России № 367, который описывает на верхнем уровне перечень и порядок предоставления информации в ГосСОПКА. В перечень данных, которые необходимо предоставлять в ГосСОПКА, входят:

1. Сведения из реестра ЗОКИИ (предоставляет ФСТЭК России);

2. Информация об отсутствии необходимости присвоения ОКИИ категории значимости (предоставляет ФСТЭК России);

3. Информация об исключении ОКИИ из реестра ЗОКИИ или об изменении категории значимости (предоставляет ФСТЭК России);

4. Информация по итогам проведения государственного контроля в области обеспечения безопасности ЗОКИИ (предоставляет ФСТЭК России);

5. Информация о компьютерных инцидентах, связанных с функционированием ОКИИ (предоставляет субъект КИИ);

6. Иная информация в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (может предоставляться как субъектами КИИ, так и иными организациями).

Таким образом, субъект КИИ в обязательном порядке должен предоставлять информацию, указанную в пункте 5, а именно информацию о компьютерных инцидентах, в следующем составе:

- дата, время, место нахождения ОКИИ;

- наличие причинно-следственной связи между компьютерным инцидентом и атакой;

- связь с другими компьютерными инцидентами (при её наличии);

- состав технических параметров компьютерного инцидента;

- последствия компьютерного инцидента.

Данная информация должна быть направлена субъектом КИИ не позднее 24-х часов с момента обнаружения компьютерного инцидента, связанного с ОКИИ. А в случае, если инцидент связан с ЗОКИИ, срок информирования должен составлять не позднее 3-х часов с момента обнаружения (согласно Приказу ФСБ России № 282). Кроме того, субъектам КИИ необходимо осуществлять информирование НКЦКИ и Банка России (в случае если субъект КИИ осуществляет деятельность в финансовой сфере) о результатах мероприятий по реагированию и принятию мер по ликвидации последствий компьютерных атак на ЗОКИИ в срок не позднее 48-ми часов после завершения таких мероприятий. Передачу информации о компьютерных инцидентах в НКЦКИ субъекты КИИ и организации могут осуществлять посредством:

1) почты, e-mail, факса или телефона, указанных на официальном сайте (http://cert.gov.ru);

2) интеграции с технической инфраструктурой НКЦКИ.

Каналы передачи, указанные в первом пункте, являются традиционными и не требуют детального рассмотрения. А передачу информации посредством интеграции с технической инфраструктурой НКЦКИ рассмотрим немного подробнее. Данный пункт предусматривает передачу информации в определенном формате и предъявляются специальные требования к защите канала связи посредством организации VPN туннеля с инфраструктурой НКЦКИ. Предусмотрено три варианта организация соединения с НКЦКИ:

1. Необходимо иметь лицензию на ПО ViPNet Client с классом защиты КС3 в существующую сеть ViPNet с номером 10976. Установить ПО ViPNet Client, после этого направить запрос на электронный почтовый ящик gov-cert@gov-cert.ru , в котором указать информацию для подготовки файла с настройками.

2. Необходимо иметь лицензию на ПО или ПАК VipNet Coordinator с классом защиты КС3 в существующую сеть ViPNet с номером 10976. Установить ViPNet Coordinator, после этого направить запрос на электронные почтовые ящики gov-cert@gov-cert.ru и rea@gov-cert.ru, в котором указать информацию для подготовки файла с настройками для ViPNet Coordinator. Важно отметить, что, только используя этот вариант подключения, будет возможность организовать взаимодействие с использованием средств автоматизации (API).

3. Посредством использования уже действующей (собственной) сети ViPNet. Необходимо направить запрос на электронные почтовые ящикиgov-cert@gov-cert.ru и rea@gov-cert.ru, в котором указать информацию для подготовки файла с межсетевой информацией.

Подробный состав технических параметров компьютерного инцидента, указываемых при представлении информации в ГосСОПКА, и форматы представления информации о компьютерных инцидентах был опубликован НКЦКИ 09.12.2019 года. Изучить данную информацию можно по ссылке: https://safe-surf.ru/specialists/article/5252/638030/. Особое внимание субъектам КИИ стоит обратить на то, что в сообщение должны быть включены общие сведения о контролируемом информационном ресурсе (ОКИИ), на котором выявлен компьютерный инцидент (признак инцидента), направлена компьютерная атака или выявлена уязвимость (признак уязвимости), а также о владельце данного информационного ресурса (субъекте КИИ).

В общем случае, по согласованию с ФСБ России, для субъектов КИИ предусмотрена возможность организации взаимодействия с НКЦКИ не только напрямую, но и через различные отраслевые и корпоративные центры ГосСОПКА. При этом все участники обязаны соблюдать предписанный унифицированный формат предоставления данных.

Приказ ФСБ России № 368 описывает регламенты обмена информации между другими субъектами КИИ и обмена информацией с уполномоченными органами иностранных государств, международными и иностранными организациями. Здесь субъекту КИИ важно учитывать, что в случае осуществления информационного обмена с иностранной (международной) организацией ему необходимо согласовать данные действия с НКЦКИ. Кроме того, если передаваемые в рамках обмена информацией о компьютерных инцидентах сведения составляют государственную тайну, обмен осуществляется в соответствии с требованиями законодательства РФ в области защиты государственной тайны.

Приказ ФСБ России № 282 более детально описывает порядок информирования НКЦКИ и Банка России (в случае если субъект КИИ осуществляет деятельность в финансовой сфере) о компьютерных инцидентах в отношении ЗОКИИ. Поскольку данные объекты являются значимыми, документ предписывает разработку планов реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак. Данный план должен содержать:

- технические характеристики и состав ЗОКИИ;

- события (условия), при наступлении которых начинается реализация предусмотренных планом мероприятий;

- мероприятия, проводимые в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;

- описание состава подразделений и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий.

Далее разработанный план необходимо согласовать с ФСБ России или Банком России (в случае если субъект КИИ осуществляет деятельность в финансовой сфере). С целью отработки мероприятий плана документ предписывает субъекту КИИ проводить не реже одного раза в год тренировки. По результатам тренировок при необходимости в план могут вноситься изменения.