Еще один появившийся на прошлой неделе приказ ФСБ касается правил установки и эксплуатации средств ГосСОПКИ. Эти правила достаточно просты:
- Установка средств ГосСОПКИ согласуется с ФСБ. Ну вроде все понятно, за исключением одного момента. Какое именно подразделение ФСБ согласует установку? Например, в 282-м приказе четко написано, что информировать об инцидентах надо не просто ФСБ, а именно НКЦКИ. По тексту же говорится, что после приемки в эксплуатацию средств ГосСОПКИ необходимо информировать НКЦКИ. Если бы НКЦКИ согласовывал установку, то его не надо было информировать о приемке в эксплуатацию.
- Чтобы согласовать установку с ФСБ вы должна знать, что вы будете устанавливать, где, кто их будет эксплуатировать и какие объекты КИИ будут контролироваться средствами ГосСОПКИ. Любое изменение указанной информации (кроме ФИО администраторов и операторов) требует согласования с ФСБ, на что дается также 45 дней (при изменении админов и операторов надо всего лишь информировать ФСБ об этом).
- За 45 дней ФСБ согласует установку или отказывает в ней (почему-то фраза "мотивированный отказ" в документе отсутствует).
- Субъект КИИ, являющийся финансовой организацией, должен уведомить Банк России (какое подразделение) о том, что ФСБ согласовала установку средств ГосСОПКИ. В случае изменений в согласованных ФСБ условиях, о них также должен быть уведомлен Банк России. В документах ЦБ таких требований нет.
Однако гораздо более интересен вопрос о том, что же такое средства ГосСОПКИ? Например, согласно 196-му приказу об утверждении требований к средствам ГосСОПКИ под это понятие попадают и SIEMы, и сканеры безопасности, и системы обнаружения вторжений, и SOAR/IRP и т.п. Значит ли это, что на установку всех этих решений надо получать согласие ФСБ, без которого их установка будет признана незаконной и за это можно будет "присесть" на срок до десяти лет лишения свободы? В пятницу в одном из чатиков была длинная дискуссия на эту тему, по результатам которой, мы так и не пришли к единому пониманию ибо практика общения с регулятором не бьется с его же требованиями. И вот почему.
Попробую поделиться собственным мнением о том, что есть средства ГосСОПКИ и с чем их едят. Для начала надо вспомнить, что темы КИИ и ГосСОПКИ развиваются параллельно. Для многих ГосСОПКА - это то, что делается в рамках КИИ, что в корне неверно. ГоСОПКА развиваться начала гораздо раньше появления ФЗ-187 и распространяется она не только на критическую инфраструктуру (еще и на государственные информационные ресурсы). То есть ГосСОПКА живет по своим правилам (к слову сказать, регулирующимся ДСПшными документами) и только в отдельных случаях касается субъектов КИИ.
Отсюда вытекает простой вывод "силы и средства ГосСОПКИ" и "средства защиты и подразделения по ИБ субъекта КИИ", хоть и схожи по смыслу, но являются разными сущностями. При наличии у вас значимых объектов вы обязаны выполнять требования ФСТЭК, описанные в 235-м и 239-м приказах регулятора. Вы должны регистрировать события (SIEM), искать и устранять уязвимости (сканеры), обнаруживать вторжения (СОВ/СОА), управлять инцидентами (IRP/SOAR) и т.п. И это все вы делаете по требованиям ФСТЭК, которая хоть и установила требования к средствам защиты, но достаточно свободные и исполнимые.
А когда же тогда надо устанавливать средства ГосСОПКИ? Согласно закону субъект КИИ это делает по своему желанию (в отличие от ряда госорганов, которые это делают по требованию), если таковое у него возникнет. Я не знаю, в каких случаях такое желание может возникнуть, так как требования ФСБ по этим средствам (196-й и 281-й приказы) загоняют в достаточно жесткие рамки ограничений, которые не так просто и выполнить.
Но есть ситуация, когда от средств ГосСОПКИ не отвертеться. Речь идет о центрах ГосСОПКИ, которые создаются для того, чтобы помочь субъектам КИИ общаться с ГосСОПКОЙ. Такие центры могут создаваться в рамках самого субъекта или быть отдельной компанией, которая хочет извлекать прибыль из своей деятельности. Их задача - собирать данные от других субъектов (в рамках холдинга или отрасли или с рынка) и передавать в ГосСОПКУ. И вот тут важный момент. Такие центры (иногда в их отношении может звучать термин "субъект ГосСОПКИ") являются частью ГосСОПКИ и должны соблюдать требования ФСБ (а иначе их просто не подключат к ГосСОПКЕ). Вот именно в этом случае требования к средствам ГосСОПКИ становятся обязательными. Но только в рамках центра ГосСОПКИ - за его пределами по-прежнему субъект должен выполнять требования ФСТЭК.
Вроде бы на этом, можно было бы и завершить этот обзор 281-го приказа и экскурс в ГосСОПКУ, но в уже упомянутом выше чатике, в процессе дискуссии была озвучена очень интересная мысль о том, что НКЦКИ сегодня согласовывает центрам подключения к ГосСОПКЕ даже если их инструментарий не соответствует требованиям 196-го приказа и, например, может быть модернизирован только только иностранными организациями и имеет гарантийную поддержку от иностранных организаций (а это запрещено 196-м приказом). Я не то, чтобы против такого подхода, даже за. Просто такое вольное прочтение своих же приказов опять приводит к неоднозначностям, что не есть хорошо.
Отсюда вытекает простой вывод "силы и средства ГосСОПКИ" и "средства защиты и подразделения по ИБ субъекта КИИ", хоть и схожи по смыслу, но являются разными сущностями. При наличии у вас значимых объектов вы обязаны выполнять требования ФСТЭК, описанные в 235-м и 239-м приказах регулятора. Вы должны регистрировать события (SIEM), искать и устранять уязвимости (сканеры), обнаруживать вторжения (СОВ/СОА), управлять инцидентами (IRP/SOAR) и т.п. И это все вы делаете по требованиям ФСТЭК, которая хоть и установила требования к средствам защиты, но достаточно свободные и исполнимые.
А когда же тогда надо устанавливать средства ГосСОПКИ? Согласно закону субъект КИИ это делает по своему желанию (в отличие от ряда госорганов, которые это делают по требованию), если таковое у него возникнет. Я не знаю, в каких случаях такое желание может возникнуть, так как требования ФСБ по этим средствам (196-й и 281-й приказы) загоняют в достаточно жесткие рамки ограничений, которые не так просто и выполнить.
Но есть ситуация, когда от средств ГосСОПКИ не отвертеться. Речь идет о центрах ГосСОПКИ, которые создаются для того, чтобы помочь субъектам КИИ общаться с ГосСОПКОЙ. Такие центры могут создаваться в рамках самого субъекта или быть отдельной компанией, которая хочет извлекать прибыль из своей деятельности. Их задача - собирать данные от других субъектов (в рамках холдинга или отрасли или с рынка) и передавать в ГосСОПКУ. И вот тут важный момент. Такие центры (иногда в их отношении может звучать термин "субъект ГосСОПКИ") являются частью ГосСОПКИ и должны соблюдать требования ФСБ (а иначе их просто не подключат к ГосСОПКЕ). Вот именно в этом случае требования к средствам ГосСОПКИ становятся обязательными. Но только в рамках центра ГосСОПКИ - за его пределами по-прежнему субъект должен выполнять требования ФСТЭК.
Вроде бы на этом, можно было бы и завершить этот обзор 281-го приказа и экскурс в ГосСОПКУ, но в уже упомянутом выше чатике, в процессе дискуссии была озвучена очень интересная мысль о том, что НКЦКИ сегодня согласовывает центрам подключения к ГосСОПКЕ даже если их инструментарий не соответствует требованиям 196-го приказа и, например, может быть модернизирован только только иностранными организациями и имеет гарантийную поддержку от иностранных организаций (а это запрещено 196-м приказом). Я не то, чтобы против такого подхода, даже за. Просто такое вольное прочтение своих же приказов опять приводит к неоднозначностям, что не есть хорошо.