Почему коммерческие SOCи не имеют права работать с ГосСОПКОЙ

Законодательство
Наверное все слышали и видели, как на мероприятиях по центрам мониторинга ИБ, различные коммерческие SOCи активно эксплуатируют тему ГосСОПКИ, называя себя корпоративными ее центрами, которые с удовольствием возьмут на себя функцию мониторинга ИБ критических информационных инфраструктур. Такое желание вполне понятно — создан совершенно новый сегмент рынка ИБ, который с 1-го января 2018-го года будет развиваться семимильными шагами. Однако надо заметить, что оптимизм таких коммерческих SOCов, почему-то называющих себя корпоративными центрами ГосСОПКА, не совсем правомерен. И вина тут в том, что авторы закона «О безопасности критической информационной инфраструктуры», в пылу страсти посчитали себя умнее всех и не прислушались к мнению экспертов. И вот что получилось…

В ст.5 закона о БКИИ, посвященной ГосСОПКЕ говорится о том, что сия очень важная (без сарказма) национальная система обнаружения атак, представляет собой силы и средства… Средства мы пока оставим за рамками (хотя там тоже очень много интересного), а вот про силы сейчас и поговорим. Согласно той же статье к силам относятся:

  • подразделения и должностные лица ФСБ
  • созданный национальный координационный центр по компьютерным инцидентам (НКЦКИ), часть людей из которого, недавно перешла в Positive Technologies
  • подразделения и должностные лица субъектов КИИ.

Все! Никаких коммерческих SOCов. Такой вот парадокс. И хотя взаимоотношения между ФСБ (а точнее 8-м Центром + НКЦКИ) и коммерческими SOCами вполне тесные и дружественные, формально последние не являются и не могут являться составной частью ГосСОПКИ. И никаких методические рекомендации и даже приказы ФСБ не могут изменить этой ситуации, так как для этого нужны правовые основания, отсутствующие в ФЗ о безопасности критической инфраструктуры.

Но и это еще не все. В ст.5.5 говорится о том, что ГосСОПКА осуществляет накопление информации, которая поступает от средств ГосСОПКИ, а также от иных органов и организаций, не являющимися субъектами КИИ. Тут, вроде, все нормально. Коммерческие SOCи, а также компании, предоставляющие услуги Threat Intelligence, вполне имеют право делиться своими данными с ГосСОПКОЙ, но… передача эта односторонняя — только в сторону ГоСОПКИ. А все потому, что согласно ст.5.6 закона о БКИИ НКЦКИ осуществляет обмен информации только между субъектами КИИ или между субъектами КИИ и иностранными органами и международными организациями, занимающимися реагированием на иниденты. Российских компаний в этом списке нет! То есть ни получать, ни передавать данные об инцидентах в КИИ коммерческие SOCи не могут 🙁

Я вижу только одно исключение, когда описываемые мной предприятия могут стать полноправными членами ГосСОПКИ, — они должны стать субъектами КИИ и взять на себя все те обязанности, которые накладываются на субъектов. Правда и тут нас поджидает очередной терминологический тупик. Вспомните список тех, кто может называться субъектом КИИ. Там 13 отраслей и организации, которые обеспечивают взаимодействие субъектов КИИ между собой. К этой чертовой дюжине отраслей коммерческие SOCи не относятся. Но и к последней, 14-й «отрасли» их отнести сложно, ведь они не обеспечивают взаимодействие субъектов КИИ, а только обслуживание.

Вот такая засада 🙁 А все от того, что одни субъекты законотворческой деятельности посчитали себя умнее всех, а другие (те, кого затрагивают нормы закона о БКИИ) не посчитали нужным активно проявить свою позицию и объяснив авторам закона всю ошибочность написанного. В итоге получается, что субъекты КИИ, которые хотели бы передать мониторинг ИБ своей инфраструктуры профессиональным игрокам рынка, обеспечивающим свои функцию в режиме 24х7, сделать это не удасться — придется создавать собственные центры мониторинга (чего многие хотели бы избежать, не имея соответствующих ресурсов) или подключаться к ведомственным центрам ГосСОПКИ. Есть и третий сценарий — собраться коммерческим SOCам (через SOC Club, например, или на грядущем SOC Forum) и сообща пробить изменения в законодательстве 🙂

Понимаю, что тема дискуссионная и поэтому приглашаю желающих подисскутировать на круглый стол «SOC vs SIEM«, который я веду в рамках грядущей InfoSecurity Russia 21-го сентября с 14.00 до 16.00. В круглом столе согласились принять участие:

  • Мона Архипова, директор по безопасности, WayRay
  • Александр Бабкин, начальник Ситуационного центра информационной безопасности Департамента защиты информации, Газпромбанк
  • Александр Бодрик, заместитель генерального директора по развитию бизнеса, ANGARA Professional Assistance
  • Александр Бондаренко, генеральный директор, R-Vision
  • Алексей Качалин, исполнительный директор Центра Киберзащиты, Сбербанк
  • Илья Шабанов, директор, Anti-malware.ru

ЗЫ. Но это не последний тупик, который поджидает нас с законодательством по безопасности КИИ. Их впереди еще много и я к ним еще вернусь.

Атлантические тупики (с ударением на первом слоге)

ЗЗЫ. Кстати, по ссылке вы можете найти презентацию и видеозапись с проведенного 21-го июля вебинара ”Обзор нового законодательства по безопасности критической инфраструктуры”, где я рассматриваю различные нюансы нового регулирования.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Sergey Soldatov

    Отличный пост! Алексей, огромное спасибо за разъяснения.

    Ответить
  2. Алексей Лукацкий

    Да не за что 🙂 Вот коллеги из коммерческих SOCов (Solar и Positive) не согласны с заметкой 🙂

    Ответить