16 Мая, 2018

По следам секции "Безопасность КИИ: практические аспекты" на PHDays 8

Павел Луцик

 
Сегодня весьма продуктивно прошел первый день Форума PHDays, в рамках которого в том числе состоялась секция Безопасность КИИ: практические аспекты , вызвавшая живой интерес у присутствующих, по крайней мере, если судить по количеству заинтересованных лиц в зрительном зале. Секция продлилась 2,5 часа и включила в себя несколько выступлений и панельную дискуссию в том числе с участием представителя ФСБ (НКЦКИ). И в рамках выступлений и в рамках панельной дискуссии было озвучено довольно много любопытной информации, кроме этого несколько вопросов удалось обсудить с представителями ФСБ в кулуарах. В этом посте, так сказать по горячим следам, решил остановиться лишь на некоторых моментах.

Выступления

По поводу категорирования в крупных субъектах КИИ, имеющих разветвленную сеть территориальных подразделений
В нескольких докладах было озвучено, что в случае распределенной организации субъекта КИИ целесообразно провести предварительную методическую работа по категорированию в головной организации. Так, в центре целесообразно сформировать перечень всех территориальных подразделений, а затем бизнес-процессов и привязать их к территориальным подразделениям. После чего сформировать методические рекомендации по категорированию в том числе с описанием типизации объектов КИИ, если это возможно, разработать шаблоны документов (перечень объектов КИИ, подлежащих категорированию, акт категорирования, сведения, передаваемые во ФСТЭК по результатам категорирования). И далее не забыв про контрольную функцию Центра спустить данные наработки на территориальные подразделения (обкатав их предварительно на одном-двух подразделениях), которые в свою очередь должны будут убедиться, что перечень бизнес-процессов, спущенный сверху, актуален (при необходимости актуализировать), сформировать перечень объектов КИИ, подлежащих категорированию, осуществить моделирование угроз для объектов КИИ из данного перечня, провести категорирование и сформировать отчетные документы, на основе спущенных сверху шаблонов.

По поводу обязательности подключения к ГосСОПКА
В одном из выступлений было озвучено дословно, что «Необходимо развернуть специализированные системы взаимодействия с технической инфраструктурой НКЦКИ (ТИ НКЦКИ) (для значимых объектов КИИ ОБЯЗАТЕЛЬНО, остальным опционально)».

По поводу обязательности подключения к ТИ НКЦКИ ни в 187-ФЗ, ни в проектах приказов ФСБ ничего не сказано. Более того, в последней редакции проектов приказов (см. п. 3 документа с номером 18 в таблице) нет даже разделения на значимые объекты и не значимые, а просто говориться о том, что информация о компьютерных инцидентах, связанных с функционированием объектов КИИ передается в ГосСОПКА либо через техническую инфраструктуру НКЦКИ, либо через иные каналы связи (почта, эл.почта, телефон, факс).

Панельная дискуссия

О текущей ситуации с категорированием объектов КИИ.
Интер РАО. «Не всегда отраслевой регулятор может выступать локомотивом и снабжать подведомственные организации необходимыми методиками и инструкциями по категорированию, а также участвовать в составе комиссии по категорированию, как это предписывает 127-ПП. Так, например, Интер РАО не дождавшись реакции от отраслевого регулятора, приступил к работам самостоятельно. В итоге сам разработал методические рекомендации по категорированию, составил комиссию по категорированию, утвердив приказом и наделив ее участников необходимыми ролями. В настоящее время формируется перечень ОКИИ, подлежащих категорированию».

Мегафон. «В составе большой четверки сотовых операторов обсудили подход к разработке отраслевого стандарта по реализации требований 187-ФЗ (возможно имелось ввиду только часть требований, касающихся категорирования). Это целесообразным, т.к. у всех операторов объекты КИИ довольно типовые. Разработка стандарта ведется по согласованию и с участием обоих регуляторов. Таким образом правила игры согласовываются централизованно, на берегу, во избежание появления в дальнейшем зоопарка различных подходов и методик категорирования. В Мегафоне создан в начале года Центра Компетенций по защите КИИ, выделена штатная единица, которая занимается в структуре вопросами ИБ. Непосредственно в самом Мегафоне практически подписан приказ о создании комиссии по категорированию, определен единый подход к категорированию и сейчас идет обсуждение данного подхода. По срокам – до конца 2019 года планируется провести категорирование. К началу осени 2018 – разработать и утвердить отраслевой стандарт. До конца 2018 - сформировать по определенной в стандарте методике перечень объектов КИИ, подлежащих. И далее до конца 2019 года завершить категорирование. Из особенностей категорирования - у  Мегафона как и у всех сотовых операторов принципы построения сети сотовой связи являются одинаковыми, поэтому при создании системы защиты будут выделяться некие типовые доверенные зоны, которые будут соответствующим типовым образом категорироваться и далее по результатам категорирования и проведенного аудита будут соответствующим образом защищаться».

Газпромбанк.  «Требования по обеспечению ИБ для банков не новы. Уже довольно давно действует тот же СТО БР и другие регулирующие НПА в области обеспечения ИБ. В настоящее время Газпромбанк, как и многие другие банки озадачен вопросом корреляции требований СТО БР и 187-ФЗ. До начала активных действий по категорированию банки ждут от ЦБ, как от отраслевого регулятора, соответствующие четкие инструкции, методики и указания».

О подключении к ГосСОПКА
Мегафон. «Количество компьютерных инцидентов за 2017 год - несколько сот. Но опять же смотря что считать инцидентом. Пока это не до конца понятно. Так, например, недавно произошла авария – в течение двух часов было порвано оптоволокно в двух местах, которые друг друга резервируют, при этом произошла деградация качества услуг связи по нескольким регионам. В процессе расследования инцидента были привлечены представители ФСБ, которые на вопрос является ли данный инцидент компьютерным инцидентом ответить однозначно затруднились, хотя по логике случай вопиющий и вполне вероятно тщательно спланированный. Мегафон в настоящее время к технической инфраструктуре НКЦКИ не подключен, но в ближайшее время планирует это сделать».

НКЦКИ. «К ГосСОПКА на настоящий момент уже подключилось порядка полутора тысяч объектов (участников), с которыми организовано двухстороннее взаимодействие. Информация о найденных угрозах и уязвимостях шарится между всеми подключенными участниками. Изначально ГосСОПКА задумывалась не только для КИИ, а как система обмена соответствующей информацией для всех заинтересованных лиц. В 2017 году количества инцидентов, в расследовании которых принимал участие НКЦКИ, по сравнению с 2016 годом увеличилось в 5 раз. В абсолютных значениях, в 2017 году ФСБ приняло участие в расследовании порядка двухсот инцидентов, а также приняло меры по закрытию более 3000 вредоносных ресурсов.  Планируется разработка соответствующего документа (а точнее документ уже разработан, но пока в открытом доступе его нет), дающего разъяснения того, что считать инцидентом, без привязки к конкретным сферам, определенным в 187-ФЗ. Кроме этого уже существует документ, разработанный НКЦКИ, описывающий форматы передачи данных в ГосСОПКА и по запросу в НКЦКИ можно его получить. Перечень же информации, передаваемый в ГосСОПКА приведен в соответствующем проекте приказа ФСБ (см. п. 18), который в течением месяца должен быть утвержден и передан на регистрацию в Минюст. Есть отдельные исследователи, исследовательские организации и некоторые вендоры, которые поставляют в ГосСОПКА информацию о найденных уязвимостях еще до того, как эта информация будет опубликована публично. Далее данная информация также шарится между всеми участниками, подключенными к ГосСОПКА».

Из кулуарного общения с представителями ФСБ

Ожидаемый срок утверждения всех 6 проектов приказов ФСБ – конец июня 2018.
Кроме этого планируется разработка Типового положения о типовом Центре ГосСОПКА (отраслевыми или корпоративными центры ГосСОПКА больше не будут называться, т.к. их нет в 187-ФЗ). В этой связи Методические рекомендации по созданию корпоративных и отраслевых центров ГосСОПКА скорее всего станут неактуальными.
В проекте приказа ФСБ (см. п. 19) говорится о том, что для организации мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак с привлечением подразделений и должностных лиц ФСБ России субъектом КИИ, которому принадлежат значимые объекты КИИ, во взаимодействии с НКЦКИ разрабатывается, согласовывается с 8 Центром ФСБ и утверждается Регламент. Формат данного регламент планируется разработать ФСБ в обозримом будущем.