На прошлой неделе Банк России выложил на официальный портал размещения проектов нормативных актов проект указания "О внесении изменений в Указание Банка России от 9 июня 2012 года № 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств". Я про него уже писал в августе (с тех пор оно не изменилось), но этот проект заставил меня коснуться темы связи между ФинЦЕРТом Банка России и ГосСОПКОЙ, о которой я так ничего и не услышал в рамках прошедшего SOC Forum . Будем считать эту заметку первой в серии по результатам московского SOC Forum 2017.
Итак, что же я хотел услышать на SOC Forum про взаимоотношения ГосСОПКИ и ФинЦЕРТа? Ответ на очень простой вопрос - как финансовые организации, которые окажутся владельцами значимых объектов КИИ, должны будут сообщать об инцидентах в ГосСОПКУ при условии, что сейчас они и так (правда, по требованиям ЦБ, а не ФЗ-187) отправляют данные об инцидентах в ФинЦЕРТ? В части 552-П такая отправка осуществляется в течение 3-х часов с момента наступления/обнаружения инцидента. По 2831-У 203-я форма отчетности об инцидентах направляется раз в месяц. По проекту изменений в 2831-У, упомянутому выше, это будет делаться раз в квартал или раз в полгода и отчетность не будет содержать данных об инцидентах. Такое изменение связано с тем, что в проекте новой редакции 382-П написано, что все данные об инцидентах направляются в ФинЦЕРТ в порядке, установленном Банком России и размещенном на официальном сайте ЦБ. Такого порядка еще нет, но я не думаю, что там будет указано значение, отличное от 552-П, то есть 3 часа на уведомление об инцидентах.
А теперь вновь повторю вопрос. Финансовая организация, владеющая значимым объектом КИИ, должна направлять данные об инцидентах только в ФинЦЕРТ (а он уже сам все отправит дальше в ГосСОПКУ) или помимо ФинЦЕРТа надо дублировать информацию и для ГосСОПКИ? Вопрос непраздный. Первый вариант предпочтительнее для всех, так как он не меняет сложившейся за последнее время ситуации.
Но чтобы реализовать этот сценарий нужно, чтобы ФинЦЕРТ числился корпоративным или ведомственным центром ГосСОПКИ. Однако, согласно методическим рекомендациям ФСБ по созданию ведомственных и корпоративных центров ГосСОПКИ к таковым относятся только:
Так вот особый статус Банка России, который не относится ни к одной из этих 4-х сущностей, не позволяет стать ему ни корпоративным, ни ведомственным центром. И отсюда вытекает сразу два важных вопроса вопрос:
На эти вопросы, к сожалению, ответа пока нет и, к сожалению, на SOC Forum о них никто не говорил. Да, думаю, никто пока и не может сказать ничего конкретного. Очень уж много неясного в спешке разработанном и принятом ФЗ-187. Все участники процесса пытаются найти устраивающие всех решения, но надо понимать, что есть и непреодолимые обстоятельства, которые могут всему помешать. Зовут эти обстоятельства - юристы.
Зато выступление Андрея Думанского из ФинЦЕРТ было неплохим - подробно были освещены направления деятельности ФинЦЕРТ, достигнутые результаты, сложности в работе. Из нового (по сравнению с ранними выступлениями на InfoSecurity Russia и закрытом клубе SOC Club ) я бы отметил следующие моменты:
ЗЫ. На смену упомянутым выше методическим рекомендациям ФСБ готовит требования к корпоративным и ведомственным центрам. Может быть там учесть статус ФинЦЕРТ? Правда, статью 9.2 ФЗ-187 это все равно не отменит.
Стенд ФинЦЕРТ на SOC Forum (фото АвангардПро) |
А теперь вновь повторю вопрос. Финансовая организация, владеющая значимым объектом КИИ, должна направлять данные об инцидентах только в ФинЦЕРТ (а он уже сам все отправит дальше в ГосСОПКУ) или помимо ФинЦЕРТа надо дублировать информацию и для ГосСОПКИ? Вопрос непраздный. Первый вариант предпочтительнее для всех, так как он не меняет сложившейся за последнее время ситуации.
Артем Калашников, руководитель ФинЦЕРТ |
Но чтобы реализовать этот сценарий нужно, чтобы ФинЦЕРТ числился корпоративным или ведомственным центром ГосСОПКИ. Однако, согласно методическим рекомендациям ФСБ по созданию ведомственных и корпоративных центров ГосСОПКИ к таковым относятся только:
- госкорпорации
- операторы связи
- лицензиаты в области защиты информации
- органы госвласти.
Так вот особый статус Банка России, который не относится ни к одной из этих 4-х сущностей, не позволяет стать ему ни корпоративным, ни ведомственным центром. И отсюда вытекает сразу два важных вопроса вопрос:
- Придется ли финансовым организациям направлять данные об инцидентах в ГосСОПКУ напрямую? Судя по ст.9.2 ФЗ-187 да, придется отправлять данные об инцидентах в обе стороны - ФинЦЕРТ и ГосСОПКУ. Хотелось бы, конечно, уменьшить число точек входа.
- В течение какого интервала времени надо будет отправлять сведения об инцидентах? В ст.9.2 ФЗ-187 говорится "незамедлительно". Что это означает? Не хотелось бы, чтобы у ФСБ и ЦБ были разные порядки уведомления, что повлечет за собой удвоение работы по выполнению требований и ФЗ-187 и 382-П/552-П.
- Если финансовые организации вынуждены будут отправлять данные об инцидентах в ГосСОПКУ, то как это должно происходить? Кто будет тем корпоративным центром, который будет принимать данные от финансовой отрасли и отправлять их в головной центр ГосСОПКИ? А самое главное, будет ли это бесплатно?
На эти вопросы, к сожалению, ответа пока нет и, к сожалению, на SOC Forum о них никто не говорил. Да, думаю, никто пока и не может сказать ничего конкретного. Очень уж много неясного в спешке разработанном и принятом ФЗ-187. Все участники процесса пытаются найти устраивающие всех решения, но надо понимать, что есть и непреодолимые обстоятельства, которые могут всему помешать. Зовут эти обстоятельства - юристы.
Зато выступление Андрея Думанского из ФинЦЕРТ было неплохим - подробно были освещены направления деятельности ФинЦЕРТ, достигнутые результаты, сложности в работе. Из нового (по сравнению с ранними выступлениями на InfoSecurity Russia и закрытом клубе SOC Club ) я бы отметил следующие моменты:
- вступление ФинЦЕРТ в FIRST и EAST EGAF
- проведение криминалистических экспертиз (компьютерных исследований)
- автоматизацию процесса отправки индикаторов компрометации (до конца года хотят запустить).
ЗЫ. На смену упомянутым выше методическим рекомендациям ФСБ готовит требования к корпоративным и ведомственным центрам. Может быть там учесть статус ФинЦЕРТ? Правда, статью 9.2 ФЗ-187 это все равно не отменит.