"Клуб любителей КИИ". Информируем НКЦКИ.

11 February 2020
791 full read
1,9k story viewsUnique page visitors
791 read the story to the endThat's 40% of the total page views
5 minutes — average reading time

Ранее мы рассмотрели процесс составления, утверждения и отправки Перечня объектов КИИ, подлежащих категорированию. Ссылка.

В момент утверждения Перечня необходимо вспомнить, что ФСТЭК России не единственный регулятор в области обеспечения безопасности КИИ РФ. В этой заметке расскажу о взаимоотношениях субъекта КИИ с ФСБ России.

Важно:

1. Часть функций ФСБ по 187-ФЗ передано в Национальный координационный центр по компьютерным инцидентам (НКЦКИ), часть осталась за ФСБ. В рамках данной заметки нас будут интересовать только обмен информацией с НКЦКИ.

2. Информировать о компьютерных инцидентах необходимо всем субъектам КИИ, даже не владеющих значимыми объектами КИИ.

3. Информирование НКЦКИ не равно «подключение к ГосСОПКА». Субъект КИИ не обязан использовать техническую инфраструктуру НКЦКИ или устанавливать у себя технические средства ГосСОПКА.

4. ФСТЭК передает информацию обо всех объектах КИИ в НКЦКИ, включая незначимые. Но передает в момент подтверждения результатов категорирования (форма 236 Приказа ФСТЭК), а не в получения Перечня объектов, подлежащих категорированию.

Оповещение субъекта КИИ от ФСТЭК о передаче информации в ГосСОПКА
Оповещение субъекта КИИ от ФСТЭК о передаче информации в ГосСОПКА
Оповещение субъекта КИИ от ФСТЭК о передаче информации в ГосСОПКА

5. Сейчас ответственности за «не информирование НКЦКИ о компьютерных инцидентах» в законодательстве страны не предусмотрена. Но планируется внести изменения в КоАП и наказывать штрафом от 10 000 до 50 000 рублей и сроком давности в один год. Прокуратура уже сейчас запрашивает подтверждение выполнения субъектом КИИ требований об информировании НКЦКИ.

Субъект КИИ обязан:

«незамедлительно информировать о компьютерных инцидентах ФСБ России, а также Центральный банк РФ (в случае, если субъект КИИ осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в установленном ФСБ России порядке (в банковской сфере и в иных сферах финансового рынка указанный порядок устанавливается по согласованию с Центральным банком РФ);» (п.1. ч.2. ст.9 187-ФЗ)

И руководствоваться нам придется Приказом ФСБ от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»

Самый важный вопрос для субъекта КИИ, а что считать «компьютерным инцидентом»? О каком событии необходимо информировать НКЦКИ?

Ответ дан в ст.2 187-ФЗ

«компьютерный инцидент - факт нарушения и (или) прекращения функционирования объекта КИИ, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки».

Мы видим две различных ситуации.

1. Объект КИИ – это ИС/АСУ/ИТКС. Только в случаи нарушения функционирования ИС/АСУ/ИТКС возникает компьютерный инцидент. Если проектные параметры ИС не ухудшились, то и компьютерного инцидента нет. И информировать НКЦКИ не требуется.

2. В ИС/АСУ/ИТКС обрабатывается информация. Если зафиксирован факт нарушения безопасности информации, то компьютерный инцидент и отправка информации о нем в НКЦКИ.

«Безопасность информации - состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.»

Ключевой момент: компьютерный инцидент может быть и без компьютерной атаки на объект КИИ

«компьютерная атака - целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты КИИ, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации»

Сообщать в НКЦКИ требуется о любых нарушениях функционирования объекта КИИ, даже не вызванных действиями хакеров.

Важно: У НКЦКИ и ФСБ нет полномочий трактовать что такое «компьютерный инцидент» для КИИ, у них есть полномочия указывать субъекту КИИ в каком объеме должна быть предоставлена информация о компьютерном инциденте и в каком формате, если используется техническая инфраструктура НКЦКИ.

*Рекомендую запросить в НКЦКИ документ ограниченного распространения «Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов российской федерации». Для этого необходимо направить письменный запрос

Адрес для запроса методических документов НКЦКИ
Адрес для запроса методических документов НКЦКИ
Адрес для запроса методических документов НКЦКИ

Более подробно про методические документы НКЦКИ по ссылке

Субъект КИИ обязан предоставить НКЦКИ следующую информацию о случившемся компьютерном инциденте:

- дата, время, место нахождения или географическое местоположение объекта КИИ, на котором произошел компьютерный инцидент;

- наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой;

- связь с другими компьютерными инцидентами (при наличии);

- состав технических параметров компьютерного инцидента;

- последствия компьютерного инцидента;

- иная информация в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, предоставляемая субъектами КИИ и иными не являющимися субъектами КИИ органами и организациями, в том числе иностранными и международными.

НКЦКИ рекомендует наладить взаимодействие до возникновения компьютерных инцидентов.

Каким образом направлять информацию о компьютерных инцидентах в НКЦКИ?

Либо воспользоваться веб-интерфейсом на сайте CERT.GOV.RU

Таким образом, субъекту КИИ необходимо выпустить следующие организационно-распорядительные документы:

1. Приказ о назначении ответственных за выявление компьютерных инцидентов и информирование НКЦКИ.

2. Должностные инструкции для вышеуказанных должностных лиц.

3. Регламент выявления компьютерных инцидентов и информирования НКЦКИ

3.1. Форма карточки инцидента

3.2. Журнал учета компьютерных инцидентов

3.3. Журнал учета обращений НКЦКИ.

Если субъект КИИ – небольшая организация, то список документов можно сократить – исключить регламент, а приложения к нему утвердить, как отдельные документы.

Важно: наличие утвержденных документов позволит без последствий ответить на запросы прокуратуры.

В задачи ответственного будет входить следующее

Источники: согласно ПП127, комиссия по категорированию обязана учитывать произошедшие компьютерные инциденты на объекте КИИ при вынесении решений о категории значимости объектов КИИ.

После назначения ответственного встанет вопрос об источниках информации для него. Каким образом он узнает, что компьютерный инцидент произошел?

Источники информации о компьютерном инциденте
Источники информации о компьютерном инциденте
Источники информации о компьютерном инциденте

Для удобства регистрации компьютерных инцидентов и информирования НКЦКИ рекомендую использовать формализованные карточки

Минимально допустимый формат
Минимально допустимый формат
Минимально допустимый формат

Полноценный формат
Полноценный формат
Полноценный формат

Учет компьютерных инцидентов удобно вести в журнале

НКЦКИ указывает на следующие типы компьютерных инцидентов:

Типы инцидентов:

1. Внедрение вредоносного программного обеспечения

· Заражение ВПО

2. Распространение вредоносного программного обеспечения

· Использование контролируемого ресурса для распространения или управления модулями вредоносного программного обеспечения

· Попытки внедрения модулей вредоносного программного обеспечения

3. Нарушение или замедление работы контролируемого информационного ресурса

· Компьютерная атака типа «отказ в обслуживании»

· Распределенная компьютерная атака типа «отказ в обслуживании»

· Несанкционированный вывод системы из строя

· Непреднамеренное отключение системы

4. Несанкционированный доступ в систему

· Успешная эксплуатация уязвимости

· Компрометация учетной записи

5. Попытки НСД в систему или к информации

· Попытки эксплуатации уязвимости

· Попытки авторизации в информационном ресурсе

6. Сбор сведений с использованием информационно-коммуникационных технологий

· Сканирование информационного ресурса

· Прослушивание (захват) сетевого трафика

· Социальная инженерия

7. Нарушение безопасности информации

· Несанкционированное разглашение информации

· Несанкционированное изменение информации

8. Распространение информации с неприемлемым содержимым

· Рассылка незапрашиваемых электронных сообщений

· Публикация запрещенной законодательством РФ информации

9. Мошенничество с использованием информационно-коммуникационных технологий

· Злоупотребление при использовании информационного ресурса

· Публикация мошеннического информационного ресурса

10. Наличие уязвимости или недостатка конфигурации в информационном ресурсе

Познавательная статья по параметрам компьютерных инцидентов ссылка

Важно: на информирование НКЦКИ о произошедшем компьютерном инциденте субъекту дается 24 часа! (до момента категорирования объектов КИИ). При компьютерных инцидентах на значимых объектах КИИ – 3 часа.

Что происходит после отправки информации о компьютерном инциденте в НКЦКИ?

Рекомендую посмотреть видеозапись доклада представителя НКЦКИ по организации взаимодействия с субъектами КИИ - ссылка и доклада по опыту внедрения процессов выявления и реагирования на компьютерные инциденты без использования технической инфраструктуры НКЦКИ - ссылка

До внесения ФСТЭК России информации об объекте КИИ в Реестр значимых объектов КИИ у субъекта КИИ не возникает обязанностей соблюдать Порядок реагирования на компьютерные инциденты, утвержденный ФСБ России (Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации»)

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности"