В каких случах необходимо обязательное уведомление об инцидентах ИБ?

В каких случах необходимо обязательное уведомление об инцидентах ИБ?
На сегодняшний день существует всего три сценария, предусматривающих обязательное уведомление об инцидентах информационной безопасности в российских организациях:


Первые два касаются участников НПС и вполне успешно реализуются на практике. Третий сценарий, о котором я уже когда-то писал , до сих пор выывает множество вопросов. Я так и не нашел пока еще ни одной организации, которая бы отсылала в Минэнерго, МВД, ФСБ и МЧС  информацию об инцидентах ИБ. Процедура (в части ИБ) до сих пор непонятна , хотя прошло уже 3 года с момента выхода Постановления.

Но такое счастье, выпавшее на долю финансовых организаций и субъектов ТЭК, не может оставаться в узком кругу избранных. Сегодня стоит готовиться и другим российским организациям к тому, чтобы отправлять информацию об инцидентах в наши доблестные госорганы. Как минимум, я знаю о пяти новых сценариях и соответствующих им нормативных актах - один находится на регистрации в Минюсте, два других на обсуждении в коридорах власти, последняя пара придет к нам из-за границы.

Итак, то, что уже находится на регистрации в МинЮсте - это новое положение Банка России "О требованиях к защите информации в платежной системе Банка России", в котором есть такой пункт: "10.1. Участники осуществляют информирование Банка России о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, (далее - Инциденты) на Участке ПС БР, в том числе о несанкционированных переводах денежных средств Участника через ПС БР, подозрениях о возникновении или о возможности возникновения Инцидентов на Участке ПС БР. Информирование осуществляется в произвольной форме на электронный адрес fincert@cbr.ru, либо инициируется запрос на передачу этих сведений с применением мер и средств защиты информации, не позднее трех часов, после выявления Инцидента".

Регламент взаимодействия уже подготовлен . И хотя пока он временный, думаю скоро его могут перевести в статус постоянного. В принципе нового в этом требовании ничего нет. 203-я форма отчетности не то, чтобы изжила себя, но совершенно бессмысленна в текущих условиях - ДНПС, в который она стекается, не может с ней работать и извлекать из нее ценную информацию, которая могла бы помочь банкам лучше понять, где у них уводят деньги. Новое положение направлено только на АРМ КБР и сегмент сети, в котором он установлен, но могу предположить, что это только первая ласточка. Не исключаю, что со временем и остальные инциденты будут также оперативно уходить в FinCERT - не зря же его создавали внутри ГУБиЗИ.

Два других новых "старых" документа будут обязывать уведомлять об инцидентах госорганы. О поправках в ФЗ-149 говорилось на недавней InfoSecurity Russia, а сам законопроект давно выложен в Интернет.


Текст соответствующей поправки звучит так: "5.2. Операторы государственных информационных систем, а также иных информационных систем, в которых на основании договоров или иных законных основаниях обрабатывается информация, обладателями которой являются государственные органы или государственные корпорации, информируют федеральный орган исполнительной власти в области обеспечения безопасности и федеральный орган исполнительной власти, уполномоченный в области противодействия иностранным техническим разведкам и технической защиты информации, о событиях безопасности, в результате которых нарушено или прекращено функционирование информационной системы и (или) нарушена безопасность обрабатываемой в информационной системе информации (компьютерных инцидентах)".

Требование достаточно размытое и оно явно потребует отдельных документов, разъясняющих и процедуру информирования, и частоту, и формат, и способы защиты передаваемой информации, и ответственность за неисполнение. А главное, что со стороны ФСТЭК это потребует новых людей, которых там сейчас нет. Возможно, все это в итоге ограничится передачей информацией в ГосСОПКУ, статус которой до сих пор вызывает у меня вопросы. Кроме различных выписок из концепций и 31-го Указа Президента никаких нормативных актов по этой системе нет и поэтому я ее не включил в вышеприведенный список из трех обязательных требований (хотя система и работает уже не первый год). А вот второй из планируемых документов, законопроект по безопасности критических информационных инфраструктур, в котором установлена обязательное уведомление об инцидентах владельцев КИИ, так и не поступил пока в Госдуму (и судя по ряду признаков и не поступит).

Оставшихся два сценария принесла нам заграница; точнее может принести. Речь идет о новых требованиях по безопасности SWIFT, которые будут доведены до всех участников этого платежного сервиса в октябре, и о новых требованиях Совета Европа в части защиты прав субъектов персональных данных. По SWIFT сказать пока ничего не могу - не видел документов, да и мало они будут привязаны к России - это общее требование, как у той же Visa. А вот с персданными ситуация интереснее. Россия, как сторона Совета Европы, должна будет гармонизировать свое законодательство с новыми европейскими правилами по защите прав субъектов ПДн, в которых говорится об обязанности оператора ПДн сообщать в уполномоченным орган об инциденте с ПДн субъектов. С одной стороны РКН готовился вносить поправки в ФЗ-152, связанные с реформой европейского законодательства, а с другой - РКН все время дистанцировался от того, чтобы получать информацию об инцидентах от субъектов. Во время обсуждения законопроекта на эту тему пару лет назад представители РКН прямо заявляли, что им нафиг не сдалась эта обязанность и они не хотят заниматься регистрацией и обработкой инцидентов с ПДн. Посмотрим, чем это закончится.


Учитывая, что все эти инициативы подготовлены разными регуляторами с разным уровнем погружения в тему (от общего понимания до работы с реальными инцидентами), то понятно, что на первых порах будет полная рассинхронизация в требованиях со стороны ФСТЭК, ФСБ, ЦБ и других регуляторов. А это значит, что как никогда важным становится процесс выстраивания управления инцидентами и его автоматизация. Все-таки лучше инциденты заносить в некую базу и оттуда слать автоматически генерируемые формы в разные инстанции, чем по каждому инциденту заполнять свою отдельную форму.

ЗЫ. Планируется, что на приближающемся SOC Forum этому вопросу посвятят отдельную секцию.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь