Если мы посмотрим на такие структуры как РЖД, Сбербанк, Газпром, Росатом, Ростех, ФНС, ФТС и другие аналогичные по масштабу государственные и коммерческие структуры, то никаких сложностей у них с созданием своих собственных ведомственных или корпоративных центров ГосСОПКИ нет. Они без особых проблем смогут создать такие центры и обязать все подчиненные структуры, дочерние предприятия, удаленные офисы и т.п. направлять всю информацию к ним. По сути речь идет о обычном SOCе, который будет сопряжен с ГосСОПКОЙ. Но что делать тем, кто не является частью холдинга или крупного ведомства?
Возьмем какую-нибудь значимую платежную систему или предприятие электроэнергетики. Смею предположить, что они могут попасть под категории, установленные Постановлением Правительства о категорировании значимых объектов КИИ. И они обязаны будут направлять данные об инцидентах на своих объектах в ГосСОПКУ — это их обязанность, от которой нельзя отказаться. Но как они будут направлять? Напрямую нельзя. Своего ведомственного или корпоративного центра у них нет. Через чужой ведомственный центр? Ну только если он создан в рамках той же отрасли, например, у МинЭнерго (если такой появится). А у платежной системы? Как мы увидели вчера ФинЦЕРТ ЦБ пока не может считаться ведомственным центром ГосСОПКИ. И как быть? Остается искать какой-либо корпоративный центр и заключать с ним договор. Собственно в методичке ФСБ и написано, что в этом и заключается основная роль корпоративных центров. Только есть одно «но».
Уведомлять об инцидентах ГосСОПКУ — это обязанность субъекта, а заключать с ним договор — это право корпоративного центра (от него и отказаться можно). Более того, скромно предположу, что корпоративный центр не будет работать бесплатно. И если отправку данных об инцидентах в рамках договора на более широкие услуги аутсорсингового SOC еще можно понять, то что делать, если субъект КИИ не хочет никакого внешнего SOC и ему надо просто отправить в ФСБ то, что от него требует закон и от чего отказаться никак нельзя? Почему он должен платить за то, что его обязывают делать и за невыполнение чего предусмотрена ответственность (может быть даже уголовная)?
Странная ситуация. Ее могли бы исправить территориальные и региональные центры ГосСОПКИ, которые могут быть созданы ФСБ и которые могли бы взять на себя функцию приема сообщений от субъектов КИИ, которые не подключены ни к корпоративным, ни к ведомственным центрам. Но есть ли они? И какова процедура работы с ними? На SOC Forum эта тема не звучала, оставшись за рамками всех докладов. Вообще тема взаимодействия именно субъектов КИИ с ГосСОПКОЙ на SOC Forum была раскрыта не полностью, как мне кажется. Возможно ответ дадут готовящиеся в ФСБ приказы:
- Перечень информации, предоставляемой в ГосСОПКА и порядок ее предоставления
- Порядок обмена информацией о компьютерных инцидентах
- Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер ликвидации последствий,
Кстати, бытует мнение, что направлять данные об инцидентах в ГосСОПКУ должны субъекты КИИ, владеющие только значимыми объектами КИИ. Это было бы классно, сильно уменьшив нагрузку на:
- обычные поликлиники, которые являются субъектами КИИ только потому, что входят в сферу здравоохранения,
- микрофинансовые организации и ломбарды, которые являются субъектами КИИ только потому, что входят в сферу финансового рынка,
- домашних операторов связи, которые являются субъектами КИИ только потому, что входят в сферу связи,
- и т.п.
ЗЫ. Решение описанной в заметке проблемы есть — субъект может стать корпоративным центром и, мониторя самого себя, направлять эти данные в ГосСОПКУ. Вот только выполнить все требования к таким центрам непросто и цена вопроса может быть несоизмеримо большой. А учитывая, что начать уведомлять об инцидентах надо с 1-го января 2018-го года, вопрос встает очень остро.
Этот комментарий был удален администратором блога.