ARinteg.ru

  • Москва
  • Ростов-на-Дону
  • Кемерово
  • Новосибирск

  • +7 (495) 221 21 41
  • +7 (863) 320 09 60
  • +7 (384) 221 56 41
  • +7 (495) 221 21 41
ARinteg Вконтакте Дзен ARinteg Arinteg Telegram home print mail site-map               

Приказы №281 и №282 ФСБ – комментарии эксперта ARinteg

02.09.2019

Эксперт ARinteg - Михаил Субханкулов дает комментарии по приказам №281 и №282 ФСБ.

В июне 2019 года вышли приказы ФСБ, определяющие порядок установки и эксплуатации средств ГосСОПКА, а также порядок информирования об инцидентах ИБ, и управлении ими. К сожалению, к данным документов даже у ИБ специалистов остается много вопросов.

Приказ 281* определяет порядок установки и дальнейшей эксплуатации ГосСОПКА

Установка средств ГосСОПКА согласуется с ФСБ. В связи с этим возникает два вопроса: что конкретно относится к средствам ГосСОПКА, и какое именно подразделение ФСБ надо информировать? К средствам ГосСОПКА могут быть отнесены СОВ (Система обнаружения вторжений), сканеры уязвимостей, SIEM, системы управления инцидентами.

Какое подразделение ФСБ надлежит информировать об установке систем? Согласно 282-му приказу, информировать об инцидентах информационной безопасности надлежит НКЦКИ (Национальный координационном центре по компьютерным инцидентам). Информации о том, какое подразделение центра надо уведомлять об установке средств ГосСОПКА нет. Но это не может быть НКЦКИ, так как, согласно приказу 281 он информируется после ввода средств ГосСОПКА в эксплуатацию.

ФСБ в течение 45 суток может согласовать установку средств ГосСОПКА, или отказать в таком согласовании. По каким причинам в установке может быть отказано, пока ясности нет.

При согласовании необходимо определить как состав объектов КИИ подлежащих контролю, так и состав устанавливаемых средств ГосСОПКА. Любые изменения как в составе контролируемых объектов, так и в составе средств контроля, аналогично собственно согласованию установки средств ГосСОПКА, подлежат согласованию с ФСБ. При этом необходимо указывать данные операторов и администраторов средств ГосСОПКА. Если состав операторов и администраторов меняется, об этом также необходимо ставить в известность ФСБ (не согласовывать!).

Обращаем внимание, что для финансовых организаций установлена обязанность информировать регулятора о согласовании средств ГосСОПКА.

Надо также понимать, что для субъектов КИИ предусматривается режим работы средств ГосСОПКА 24/7/365.

Приказ 282** определяет порядок информирования и реагирования на инциденты ИБ и относится ко всем субъектам КИИ. Порядок ликвидации компьютерных атак применяется только к значимым субъектам КИИ.

Проблема в том, что пока нет ясности, о каких именно инцидентах следует информировать указанный выше НКЦКИ. Также, не определены форматы предоставления информации. Мы ожидаем перечня инцидентов и описание форматов в ближайшее время.

Сроки предоставления информации об инцидентах ИБ

- для значимых объектов КИИ - 3 часа

- для всех остальных объектов КИИ - 24 часа.

В срок 90 дней (только для значимых субъектов КИИ) должен быть разработан план реагирования на инциденты. Срок отсчитывается с момента внесения значимого объекта КИИ в реестр ФСТЭК.

В план реагирования на инциденты может быть включено участие ФСБ. В в этом случае план согласуется в течение 30 дней с ФСБ. Финансовым организациям разрешено добавлять в план реагировании на инциденты активности Банка России.

Для значимых объектов КИИ предусмотрено проведение киберучений. Здесь можно провести аналогии с требованием Банка России проводить периодическое тестирование плана по организации непрерывности и восстановлению деятельности, и осуществлять обучение задействованных в исполнении плана сотрудников.

Не совсем понятно, как для финансовых организаций будет организовано взаимодействие ГосСОПКА и ФинЦЕРТ. На данный момент мы делаем вывод, что информировать необходимо обе структуры.

При возникновении дополнительных вопросов и сомнений рекомендуем вам незамедлительно обращаться к специалистам ARineg в отдел консалтинга и аудита.

* Приказ ФСБ России от 19.06.2019 № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации»

** Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации». 

Возврат к списку

qrcode
ARinteg Вконтакте   Дзен ARinteg   Arinteg Telegram