Москва +7 (495) 221-21-41
Ростов-на-Дону +7 (863) 320-09-60
Кемерово +7 (384) 221-56-41
Новосибирск +7 (495) 221-21-41
- Москва
- Ростов-на-Дону
- Кемерово
- Новосибирск
- +7 (495) 221 21 41
- +7 (863) 320 09 60
- +7 (384) 221 56 41
- +7 (495) 221 21 41
Приказы №281 и №282 ФСБ – комментарии эксперта ARinteg
Эксперт ARinteg - Михаил Субханкулов дает комментарии по приказам №281 и №282 ФСБ.
В июне 2019 года вышли приказы ФСБ, определяющие порядок установки и эксплуатации средств ГосСОПКА, а также порядок информирования об инцидентах ИБ, и управлении ими. К сожалению, к данным документов даже у ИБ специалистов остается много вопросов.
Приказ 281* определяет порядок установки и дальнейшей эксплуатации ГосСОПКА
Установка средств ГосСОПКА согласуется с ФСБ. В связи с этим возникает два вопроса: что конкретно относится к средствам ГосСОПКА, и какое именно подразделение ФСБ надо информировать? К средствам ГосСОПКА могут быть отнесены СОВ (Система обнаружения вторжений), сканеры уязвимостей, SIEM, системы управления инцидентами.
Какое подразделение ФСБ надлежит информировать об установке систем? Согласно 282-му приказу, информировать об инцидентах информационной безопасности надлежит НКЦКИ (Национальный координационном центре по компьютерным инцидентам). Информации о том, какое подразделение центра надо уведомлять об установке средств ГосСОПКА нет. Но это не может быть НКЦКИ, так как, согласно приказу 281 он информируется после ввода средств ГосСОПКА в эксплуатацию.
ФСБ в течение 45 суток может согласовать установку средств ГосСОПКА, или отказать в таком согласовании. По каким причинам в установке может быть отказано, пока ясности нет.
При согласовании необходимо определить как состав объектов КИИ подлежащих контролю, так и состав устанавливаемых средств ГосСОПКА. Любые изменения как в составе контролируемых объектов, так и в составе средств контроля, аналогично собственно согласованию установки средств ГосСОПКА, подлежат согласованию с ФСБ. При этом необходимо указывать данные операторов и администраторов средств ГосСОПКА. Если состав операторов и администраторов меняется, об этом также необходимо ставить в известность ФСБ (не согласовывать!).
Обращаем внимание, что для финансовых организаций установлена обязанность информировать регулятора о согласовании средств ГосСОПКА.
Надо также понимать, что для субъектов КИИ предусматривается режим работы средств ГосСОПКА 24/7/365.
Приказ 282** определяет порядок информирования и реагирования на инциденты ИБ и относится ко всем субъектам КИИ. Порядок ликвидации компьютерных атак применяется только к значимым субъектам КИИ.
Проблема в том, что пока нет ясности, о каких именно инцидентах следует информировать указанный выше НКЦКИ. Также, не определены форматы предоставления информации. Мы ожидаем перечня инцидентов и описание форматов в ближайшее время.
Сроки предоставления информации об инцидентах ИБ
- для значимых объектов КИИ - 3 часа
- для всех остальных объектов КИИ - 24 часа.
В срок 90 дней (только для значимых субъектов КИИ) должен быть разработан план реагирования на инциденты. Срок отсчитывается с момента внесения значимого объекта КИИ в реестр ФСТЭК.
В план реагирования на инциденты может быть включено участие ФСБ. В в этом случае план согласуется в течение 30 дней с ФСБ. Финансовым организациям разрешено добавлять в план реагировании на инциденты активности Банка России.
Для значимых объектов КИИ предусмотрено проведение киберучений. Здесь можно провести аналогии с требованием Банка России проводить периодическое тестирование плана по организации непрерывности и восстановлению деятельности, и осуществлять обучение задействованных в исполнении плана сотрудников.
Не совсем понятно, как для финансовых организаций будет организовано взаимодействие ГосСОПКА и ФинЦЕРТ. На данный момент мы делаем вывод, что информировать необходимо обе структуры.
При возникновении дополнительных вопросов и сомнений рекомендуем вам незамедлительно обращаться к специалистам ARineg в отдел консалтинга и аудита.
* Приказ ФСБ России от 19.06.2019 № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации»
** Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации».
© Все права защищены 2003-2024 г.
ООО "АРинтег"
Политика обработки персональных данных
Антикоррупционная политика ООО "АРинтег"