30.8.17

Почему коммерческие SOCи не имеют права работать с ГосСОПКОЙ

Наверное все слышали и видели, как на мероприятиях по центрам мониторинга ИБ, различные коммерческие SOCи активно эксплуатируют тему ГосСОПКИ, называя себя корпоративными ее центрами, которые с удовольствием возьмут на себя функцию мониторинга ИБ критических информационных инфраструктур. Такое желание вполне понятно - создан совершенно новый сегмент рынка ИБ, который с 1-го января 2018-го года будет развиваться семимильными шагами. Однако надо заметить, что оптимизм таких коммерческих SOCов, почему-то называющих себя корпоративными центрами ГосСОПКА, не совсем правомерен. И вина тут в том, что авторы закона "О безопасности критической информационной инфраструктуры", в пылу страсти посчитали себя умнее всех и не прислушались к мнению экспертов. И вот что получилось...

В ст.5 закона о БКИИ, посвященной ГосСОПКЕ говорится о том, что сия очень важная (без сарказма) национальная система обнаружения атак, представляет собой силы и средства... Средства мы пока оставим за рамками (хотя там тоже очень много интересного), а вот про силы сейчас и поговорим. Согласно той же статье к силам относятся:
  • подразделения и должностные лица ФСБ
  • созданный национальный координационный центр по компьютерным инцидентам (НКЦКИ), часть людей из которого, недавно перешла в Positive Technologies
  • подразделения и должностные лица субъектов КИИ.
Все! Никаких коммерческих SOCов. Такой вот парадокс. И хотя взаимоотношения между ФСБ (а точнее 8-м Центром + НКЦКИ) и коммерческими SOCами вполне тесные и дружественные, формально последние не являются и не могут являться составной частью ГосСОПКИ. И никаких методические рекомендации и даже приказы ФСБ не могут изменить этой ситуации, так как для этого нужны правовые основания, отсутствующие в ФЗ о безопасности критической инфраструктуры.

Но и это еще не все. В ст.5.5 говорится о том, что ГосСОПКА осуществляет накопление информации, которая поступает от средств ГосСОПКИ, а также от иных органов и организаций, не являющимися субъектами КИИ. Тут, вроде, все нормально. Коммерческие SOCи, а также компании, предоставляющие услуги Threat Intelligence, вполне имеют право делиться своими данными с ГосСОПКОЙ, но... передача эта односторонняя - только в сторону ГоСОПКИ. А все потому, что согласно ст.5.6 закона о БКИИ НКЦКИ осуществляет обмен информации только между субъектами КИИ или между субъектами КИИ и иностранными органами и международными организациями, занимающимися реагированием на иниденты. Российских компаний в этом списке нет! То есть ни получать, ни передавать данные об инцидентах в КИИ коммерческие SOCи не могут :-(


Я вижу только одно исключение, когда описываемые мной предприятия могут стать полноправными членами ГосСОПКИ, - они должны стать субъектами КИИ и взять на себя все те обязанности, которые накладываются на субъектов. Правда и тут нас поджидает очередной терминологический тупик. Вспомните список тех, кто может называться субъектом КИИ. Там 13 отраслей и организации, которые обеспечивают взаимодействие субъектов КИИ между собой. К этой чертовой дюжине отраслей коммерческие SOCи не относятся. Но и к последней, 14-й "отрасли" их отнести сложно, ведь они не обеспечивают взаимодействие субъектов КИИ, а только обслуживание.

Вот такая засада :-( А все от того, что одни субъекты законотворческой деятельности посчитали себя умнее всех, а другие (те, кого затрагивают нормы закона о БКИИ) не посчитали нужным активно проявить свою позицию и объяснив авторам закона всю ошибочность написанного. В итоге получается, что субъекты КИИ, которые хотели бы передать мониторинг ИБ своей инфраструктуры профессиональным игрокам рынка, обеспечивающим свои функцию в режиме 24х7, сделать это не удасться - придется создавать собственные центры мониторинга (чего многие хотели бы избежать, не имея соответствующих ресурсов) или подключаться к ведомственным центрам ГосСОПКИ. Есть и третий сценарий - собраться коммерческим SOCам (через SOC Club, например, или на грядущем SOC Forum) и сообща пробить изменения в законодательстве :-)

Понимаю, что тема дискуссионная и поэтому приглашаю желающих подисскутировать на круглый стол "SOC vs SIEM", который я веду в рамках грядущей InfoSecurity Russia 21-го сентября с 14.00 до 16.00. В круглом столе согласились принять участие:
  • Мона Архипова, директор по безопасности, WayRay
  • Александр Бабкин, начальник Ситуационного центра информационной безопасности Департамента защиты информации, Газпромбанк
  • Александр Бодрик, заместитель генерального директора по развитию бизнеса, ANGARA Professional Assistance
  • Александр Бондаренко, генеральный директор, R-Vision
  • Алексей Качалин, исполнительный директор Центра Киберзащиты, Сбербанк
  • Илья Шабанов, директор, Anti-malware.ru

ЗЫ. Но это не последний тупик, который поджидает нас с законодательством по безопасности КИИ. Их впереди еще много и я к ним еще вернусь.

Атлантические тупики (с ударением на первом слоге)
ЗЗЫ. Кстати, по ссылке вы можете найти презентацию и видеозапись с проведенного 21-го июля вебинара ”Обзор нового законодательства по безопасности критической инфраструктуры”, где я рассматриваю различные нюансы нового регулирования.

2 коммент.:

Sergey Soldatov комментирует...

Отличный пост! Алексей, огромное спасибо за разъяснения.

Алексей Лукацкий комментирует...

Да не за что :-) Вот коллеги из коммерческих SOCов (Solar и Positive) не согласны с заметкой :-)