 |
| Стенд ФинЦЕРТ на SOC Forum (фото АвангардПро) |
Итак, что же я хотел услышать на SOC Forum про взаимоотношения ГосСОПКИ и ФинЦЕРТа? Ответ на очень простой вопрос — как финансовые организации, которые окажутся владельцами значимых объектов КИИ, должны будут сообщать об инцидентах в ГосСОПКУ при условии, что сейчас они и так (правда, по требованиям ЦБ, а не ФЗ-187) отправляют данные об инцидентах в ФинЦЕРТ? В части 552-П такая отправка осуществляется в течение 3-х часов с момента наступления/обнаружения инцидента. По 2831-У 203-я форма отчетности об инцидентах направляется раз в месяц. По проекту изменений в 2831-У, упомянутому выше, это будет делаться раз в квартал или раз в полгода и отчетность не будет содержать данных об инцидентах. Такое изменение связано с тем, что в проекте новой редакции 382-П написано, что все данные об инцидентах направляются в ФинЦЕРТ в порядке, установленном Банком России и размещенном на официальном сайте ЦБ. Такого порядка еще нет, но я не думаю, что там будет указано значение, отличное от 552-П, то есть 3 часа на уведомление об инцидентах.
А теперь вновь повторю вопрос. Финансовая организация, владеющая значимым объектом КИИ, должна направлять данные об инцидентах только в ФинЦЕРТ (а он уже сам все отправит дальше в ГосСОПКУ) или помимо ФинЦЕРТа надо дублировать информацию и для ГосСОПКИ? Вопрос непраздный. Первый вариант предпочтительнее для всех, так как он не меняет сложившейся за последнее время ситуации.
 |
| Артем Калашников, руководитель ФинЦЕРТ |
Но чтобы реализовать этот сценарий нужно, чтобы ФинЦЕРТ числился корпоративным или ведомственным центром ГосСОПКИ. Однако, согласно методическим рекомендациям ФСБ по созданию ведомственных и корпоративных центров ГосСОПКИ к таковым относятся только:
- госкорпорации
- операторы связи
- лицензиаты в области защиты информации
- органы госвласти.
Так вот особый статус Банка России, который не относится ни к одной из этих 4-х сущностей, не позволяет стать ему ни корпоративным, ни ведомственным центром. И отсюда вытекает сразу два важных вопроса вопрос:
- Придется ли финансовым организациям направлять данные об инцидентах в ГосСОПКУ напрямую? Судя по ст.9.2 ФЗ-187 да, придется отправлять данные об инцидентах в обе стороны — ФинЦЕРТ и ГосСОПКУ. Хотелось бы, конечно, уменьшить число точек входа.
- В течение какого интервала времени надо будет отправлять сведения об инцидентах? В ст.9.2 ФЗ-187 говорится «незамедлительно». Что это означает? Не хотелось бы, чтобы у ФСБ и ЦБ были разные порядки уведомления, что повлечет за собой удвоение работы по выполнению требований и ФЗ-187 и 382-П/552-П.
- Если финансовые организации вынуждены будут отправлять данные об инцидентах в ГосСОПКУ, то как это должно происходить? Кто будет тем корпоративным центром, который будет принимать данные от финансовой отрасли и отправлять их в головной центр ГосСОПКИ? А самое главное, будет ли это бесплатно?
На эти вопросы, к сожалению, ответа пока нет и, к сожалению, на SOC Forum о них никто не говорил. Да, думаю, никто пока и не может сказать ничего конкретного. Очень уж много неясного в спешке разработанном и принятом ФЗ-187. Все участники процесса пытаются найти устраивающие всех решения, но надо понимать, что есть и непреодолимые обстоятельства, которые могут всему помешать. Зовут эти обстоятельства — юристы.
Зато выступление Андрея Думанского из ФинЦЕРТ было неплохим — подробно были освещены направления деятельности ФинЦЕРТ, достигнутые результаты, сложности в работе. Из нового (по сравнению с ранними выступлениями на InfoSecurity Russia и закрытом клубе SOC Club) я бы отметил следующие моменты:
- вступление ФинЦЕРТ в FIRST и EAST EGAF
- проведение криминалистических экспертиз (компьютерных исследований)
- автоматизацию процесса отправки индикаторов компрометации (до конца года хотят запустить).
ЗЫ. На смену упомянутым выше методическим рекомендациям ФСБ готовит требования к корпоративным и ведомственным центрам. Может быть там учесть статус ФинЦЕРТ? Правда, статью 9.2 ФЗ-187 это все равно не отменит.
