Приказ №366 «О Национальном координационном центре по компьютерным инцидентам» превозносится в российских СМИ как абсолютно новая структура, которая придет на смену ЦИБ, и которая начнет бороться с хакерами всех мастей. Журналистам и отдельным экспертам невдомек, что эта структура существовала уже давно и просто настал черед формализовать ее работу в рамках закона «О безопасности критической информационной инфраструктуры», что и произошло. Ничего выдающегося в утверждем приказе я не увидел. НКЦКИ координирует, организует, собирает, обеспечивает методическую помощь, участвует… и т.п.
Второй приказ, №367, «Об утверждении Перечня информации, предоставляемой в ГосСОПКУ и Порядка предоставления информации в ГосСОПКУ» также не претерпел изменений по сравнению с проектом. Я про него уже писал и делал презентацию. Вопросы по данному приказу также остаются пока без ответа. Оценить причинно-следственные связи между атакой и инцидентов, да еще и оценить последствия… и все это в течение 24 часов?! Круто, ничего не скажешь.
Наконец, третий приказ, под номером №368, утверждает порядок обмена информацией об инцидентах, а также порядок получения субъектами КИИ информации о методах атак, способах их предупреждения и обнаружения. И он тоже практически не изменился по сравнению со своим проектом. Ни слова о форматах и протоколах обмена информацией 🙁 Ни слова о том, что делать участникам международных платежных систем или дочерним предприятиям иностранных организаций, которые должны оперативно отправлять данные об инцидентах, а теперь вынуждены это делать только через НКЦКИ и без гарантии, что НКЦКИ не заблокирует такую передачу, посчитав ее угрозой национальной безопасности (как бы еще и в разглашении гостайны не обвинили). Оставшиеся документы планируется выпустить не раньше конца года, что означает, что процесс бюджетирования пройдет уже без них.
Грустно все это. Разрабатывать документы почти год и получить на выходе пшик 🙁 Я не знаю с чем это связано. Неким показателем лично для меня должны стать шесть методических документов, о которых написал Валерий Комаров и которые сейчас готовит НКЦКИ:
- Требования к подразделениям и должностным лицам субъекта ГосСОПКа.
- Регламент информационного взаимодействия.
- Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы.
- Методические рекомендации по установлению причин и ликвидации последствий компьютерных атак.
- Методические рекомендации по проведению мероприятий по оценке защищенности от компьютерных атак.
- Варианты организации защищенного канала.
Алексей, а можете назвать хотя бы один "адекватный и практичный" документ ФСБ? В котором было бы ясно сказано что и как нужно сделать?
Удар поддых 🙁
Алексей!
Сначала все-таки структуру нужно официально объявить и описать круг ее полномочий. Было не очевидно, что НКЦКИ будет вправе писать рекомендации и методические документы. Сейчас это закреплено приказом — можно заниматься и подготовкой других документов..
И, кстати, по первому вопросу в связи с платежными системами. В приказе №368 есть лазейка в виде международного договора, при использовании которого разрешается прямое взаимодействие с международными и иностранными организациями. Платежные системы функционируют явно по подобным договорам, поэтому для них приказ не указ…
Там другая непонятка. В порядке явно не указаны коммерческие компании. Означает ли это, что субъект КИИ вправе передавать сведения об инцидентах, например, вам в Cisco?
Валерий: документы им никто не мешал писать и так — просто выпускать мх можно было от имени ФСБ 🙂 Было бы что выпускать.
А вот насчет работы МПС я совсем не уверен, что они работают под международным договором. Это спорный вопрос. А вот насчет коммерческих компаний, это да, старая проблема. Они и коммерческим SOCам не имеют права передавать, если те не являются субъектами КИИ. Но это ограничение не приказов ФСБ, а ФЗ-187, который такую норму имеет.