В ст.5 закона о БКИИ, посвященной ГосСОПКЕ говорится о том, что сия очень важная (без сарказма) национальная система обнаружения атак, представляет собой силы и средства… Средства мы пока оставим за рамками (хотя там тоже очень много интересного), а вот про силы сейчас и поговорим. Согласно той же статье к силам относятся:
- подразделения и должностные лица ФСБ
- созданный национальный координационный центр по компьютерным инцидентам (НКЦКИ), часть людей из которого, недавно перешла в Positive Technologies
- подразделения и должностные лица субъектов КИИ.
Все! Никаких коммерческих SOCов. Такой вот парадокс. И хотя взаимоотношения между ФСБ (а точнее 8-м Центром + НКЦКИ) и коммерческими SOCами вполне тесные и дружественные, формально последние не являются и не могут являться составной частью ГосСОПКИ. И никаких методические рекомендации и даже приказы ФСБ не могут изменить этой ситуации, так как для этого нужны правовые основания, отсутствующие в ФЗ о безопасности критической инфраструктуры.
Но и это еще не все. В ст.5.5 говорится о том, что ГосСОПКА осуществляет накопление информации, которая поступает от средств ГосСОПКИ, а также от иных органов и организаций, не являющимися субъектами КИИ. Тут, вроде, все нормально. Коммерческие SOCи, а также компании, предоставляющие услуги Threat Intelligence, вполне имеют право делиться своими данными с ГосСОПКОЙ, но… передача эта односторонняя — только в сторону ГоСОПКИ. А все потому, что согласно ст.5.6 закона о БКИИ НКЦКИ осуществляет обмен информации только между субъектами КИИ или между субъектами КИИ и иностранными органами и международными организациями, занимающимися реагированием на иниденты. Российских компаний в этом списке нет! То есть ни получать, ни передавать данные об инцидентах в КИИ коммерческие SOCи не могут 🙁
Я вижу только одно исключение, когда описываемые мной предприятия могут стать полноправными членами ГосСОПКИ, — они должны стать субъектами КИИ и взять на себя все те обязанности, которые накладываются на субъектов. Правда и тут нас поджидает очередной терминологический тупик. Вспомните список тех, кто может называться субъектом КИИ. Там 13 отраслей и организации, которые обеспечивают взаимодействие субъектов КИИ между собой. К этой чертовой дюжине отраслей коммерческие SOCи не относятся. Но и к последней, 14-й «отрасли» их отнести сложно, ведь они не обеспечивают взаимодействие субъектов КИИ, а только обслуживание.
Вот такая засада 🙁 А все от того, что одни субъекты законотворческой деятельности посчитали себя умнее всех, а другие (те, кого затрагивают нормы закона о БКИИ) не посчитали нужным активно проявить свою позицию и объяснив авторам закона всю ошибочность написанного. В итоге получается, что субъекты КИИ, которые хотели бы передать мониторинг ИБ своей инфраструктуры профессиональным игрокам рынка, обеспечивающим свои функцию в режиме 24х7, сделать это не удасться — придется создавать собственные центры мониторинга (чего многие хотели бы избежать, не имея соответствующих ресурсов) или подключаться к ведомственным центрам ГосСОПКИ. Есть и третий сценарий — собраться коммерческим SOCам (через SOC Club, например, или на грядущем SOC Forum) и сообща пробить изменения в законодательстве 🙂
Понимаю, что тема дискуссионная и поэтому приглашаю желающих подисскутировать на круглый стол «SOC vs SIEM«, который я веду в рамках грядущей InfoSecurity Russia 21-го сентября с 14.00 до 16.00. В круглом столе согласились принять участие:
- Мона Архипова, директор по безопасности, WayRay
- Александр Бабкин, начальник Ситуационного центра информационной безопасности Департамента защиты информации, Газпромбанк
- Александр Бодрик, заместитель генерального директора по развитию бизнеса, ANGARA Professional Assistance
- Александр Бондаренко, генеральный директор, R-Vision
- Алексей Качалин, исполнительный директор Центра Киберзащиты, Сбербанк
- Илья Шабанов, директор, Anti-malware.ru
ЗЫ. Но это не последний тупик, который поджидает нас с законодательством по безопасности КИИ. Их впереди еще много и я к ним еще вернусь.
 |
| Атлантические тупики (с ударением на первом слоге) |
ЗЗЫ. Кстати, по ссылке вы можете найти презентацию и видеозапись с проведенного 21-го июля вебинара ”Обзор нового законодательства по безопасности критической инфраструктуры”, где я рассматриваю различные нюансы нового регулирования.
Отличный пост! Алексей, огромное спасибо за разъяснения.
Да не за что 🙂 Вот коллеги из коммерческих SOCов (Solar и Positive) не согласны с заметкой 🙂