Клуб любителей КИИ. Реагирование на компьютерные инциденты с ЗОКИИ. Введение.

158 full reads
365 story viewsUnique page visitors
158 read the story to the endThat's 43% of the total page views
2 minutes — average reading time
Начинаем цикл шпаргалок по организации процессов реагирования на компьютерные инциденты субъекта КИИ
Начинаем цикл шпаргалок по организации процессов реагирования на компьютерные инциденты субъекта КИИ
Начинаем цикл шпаргалок по организации процессов реагирования на компьютерные инциденты субъекта КИИ

Тема организации реагирования на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектами с ЗОКИИ комплексная и довольно сложная в реализации. Важность таких процессов не подвергается сомнению. Для дополнительной мотивации в июня 2021 года в КоАП внесли существенные штрафы «за не реагирование в установленном законодательством порядке»

В итоге, субъект КИИ должен выстроить свои процессы реагирования на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак таким образом, что бы не только обеспечит «реальную» безопасность ЗОКИИ, но и снизит риски по привлечению к административной ответственности. (Примеры последствий здесь и здесь).

Требование ФСТЭК (только ЗОКИИ)

Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»

Для реагирования на компьютерные инциденты определяются работники, ответственные за выявление компьютерных инцидентов и реагирование на них, и определяются их функции.

Для всех ЗОКИИ обязательны базовые меры:

ИНЦ.1 Выявление компьютерных инцидентов

ИНЦ.2 Информирование о компьютерных инцидентах

ИНЦ.3 Анализ компьютерных инцидентов

ИНЦ.4 Устранение последствий компьютерных инцидентов

ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов

ИНЦ.6 Хранение и защита информации о компьютерных инцидентах

Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»

25. Организационно-распорядительные документы по безопасности значимых объектов должны определять:

б) ……. порядок реагирования на компьютерные инциденты, …..порядок взаимодействия субъекта критической информационной инфраструктуры с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

Требования ФСБ (только ЗОКИИ)

Приказ ФСБ России от 19.06.2019 N 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации»

6. Для подготовки к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектом КИИ, в срок до 90 календарных дней со дня включения данного объекта в реестр ЗОКИИ разрабатывается план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, содержащий:

- технические характеристики и состав ЗОКИИ;

- события (условия), при наступлении которых начинается реализация предусмотренных Планом мероприятий;

- мероприятия, проводимые в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;

- описание состава подразделений и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.

10. Субъект КИИ, не реже одного раза в год организует и проводит тренировки по отработке мероприятий Плана. Объем и содержание тренировки определяются субъектом КИИ с учетом мероприятий, содержащихся в Плане.

Организация и проведение тренировок возлагаются на подразделения и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.

11. Субъект КИИ, в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак осуществляет:

- анализ компьютерных инцидентов (включая определение очередности реагирования на них), установление их связи с компьютерными атаками;

- проведение мероприятий в соответствии с Планом;

12. Перед принятием мер по ликвидации последствий компьютерных атак субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, определяет:

- состав подразделений и должностных лиц субъекта критической информационной инфраструктуры, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак, и их задачи в рамках принимаемых мер;

- перечень средств, необходимых для принятия мер по ликвидации последствий компьютерных атак;

- очередность ЗОКИИ (их структурных элементов), в отношении которых будут приниматься меры по ликвидации последствий компьютерных атак;

- перечень мер по восстановлению функционирования ЗОКИИ.

13. В ходе ликвидации последствий компьютерных атак субъектом КИИ принимаются меры по восстановлению функционирования и проверке работоспособности ЗОКИИ.

14. О результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъект КИИ информирует НКЦКИ в срок не позднее 48 часов после завершения таких мероприятий.

Проект национального стандарта ГОСТ Р "Управление инцидентами, связанными с безопасностью информации. Руководство по планированию и подготовке к реагированию на инциденты" (для всех субъектов КИИ)

Политика управления компьютерными инцидентами - определяет общий порядок осуществления деятельности по управлению компьютерными инцидентами в организации, а также лиц, которые будут принимать участие в деятельности по управлению компьютерными инцидентами, их роли и обязанности.

Для реализации деятельности по управлению компьютерными инцидентами потребуется наличие плана реагирования на компьютерные инциденты, определяющего, что в организации будет классифицироваться как компьютерные инциденты, какие меры реагирования требуются и какими полномочиями будет обладать подразделение по управлению компьютерными инцидентами и сам процесс реагирования.

12 Проведение тренировок по отработке мероприятий плана реагирования на компьютерные инциденты.

В ходе деятельности по управлению компьютерными инцидентами должны планироваться и проводиться на регулярной основе тренировки по отработке мероприятий плана реагирования на компьютерные инциденты с целью выявления потенциальных недостатков и проблем, которые могут возникнуть в рамках данной деятельности. Такие тренировки могут проводиться путем моделирования различных сценариев, которые могут варьироваться от серьезных, сложных компьютерных инцидентов, основанных на реалистичных имитациях компьютерных атаках, сбоев или неисправностей, до проведения теоретических занятий. Формат сценариев может зависеть от заранее определенных целей тренировки. Тренировки могут проводиться не только в отношении подразделения по управлению компьютерными инцидентами, но и в отношении иных подразделений организаций, также задействованных в деятельности по управлению компьютерными инцидентами.

Итог для ЗОКИИ

Должны быть разработаны, утверждены и доведены до сведений ответственных лиц субъекта КИИ следующие документы:

1. Политика управления компьютерными инцидентами

2. Регламент проведения анализа компьютерных инцидентов

3. Регламент реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак

4. План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.

5. Регламент проведения тренировок по реагированию на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.

6. План тренировок по реагированию на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак

7. Порядок взаимодействия субъекта критической информационной инфраструктуры с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (организация взаимодействия с НКЦКИ разобрана в заметках канала здесь и здесь).

И задача по реагированию на компьютерные инциденты у субъекта с ЗОКИИ возлагается на подразделение безопасности/специалиста безопасности. Вопросы назначения специалиста по безопасности разобраны в этой заметке канала.

В следующей заметке разберем кто должен участвовать в процессах реагирования на компьютерные инциденты с ЗОКИИ и какие требования к ним предъявляются регуляторами.

Часть 1

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале

** Подборка методических и вспомогательных материалов для субъектов КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019