Можно ли взимать деньги за законную обязанность или кто платит за подключение к ГосСОПКЕ? #socforum

Можно ли взимать деньги за законную обязанность или кто платит за подключение к ГосСОПКЕ? #socforum
Вчера я задался вроде бы и риторическим на первый взгляд, но не таким уж и простым вопросом. А кто платит за подключение финансовых организаций к ГосСОПКЕ, если они не смогут отправлять данные об инцидентах через ФинЦЕРТ? Если я правильно читаю ФЗ-187 и методические рекомендации ФСБ по созданию ведомственных и корпоративных центров, то субъект не может напрямую подключиться к ГосСОПКЕ - ему нужен ведомственный или корпоративный центр, который и будет принимать соответствующие данные об инцидентах и пересылать их в Головной центр ГосСОПКИ.

Если мы посмотрим на такие структуры как РЖД, Сбербанк, Газпром, Росатом, Ростех, ФНС, ФТС и другие аналогичные по масштабу государственные и коммерческие структуры, то никаких сложностей у них с созданием своих собственных ведомственных или корпоративных центров ГосСОПКИ нет. Они без особых проблем смогут создать такие центры и обязать все подчиненные структуры, дочерние предприятия, удаленные офисы и т.п. направлять всю информацию к ним. По сути речь идет о обычном SOCе, который будет сопряжен с ГосСОПКОЙ. Но что делать тем, кто не является частью холдинга или крупного ведомства?

Возьмем какую-нибудь значимую платежную систему или предприятие электроэнергетики. Смею предположить, что они могут попасть под категории, установленные Постановлением Правительства о категорировании значимых объектов КИИ. И они обязаны будут направлять данные об инцидентах на своих объектах в ГосСОПКУ - это их обязанность, от которой нельзя отказаться. Но как они будут направлять? Напрямую нельзя. Своего ведомственного или корпоративного центра у них нет. Через чужой ведомственный центр? Ну только если он создан в рамках той же отрасли, например, у МинЭнерго (если такой появится). А у платежной системы? Как мы увидели вчера ФинЦЕРТ ЦБ пока не может считаться ведомственным центром ГосСОПКИ. И как быть? Остается искать какой-либо корпоративный центр и заключать с ним договор. Собственно в методичке ФСБ и написано, что в этом и заключается основная роль корпоративных центров. Только есть одно "но".

Уведомлять об инцидентах ГосСОПКУ - это обязанность субъекта, а заключать с ним договор - это право корпоративного центра (от него и отказаться можно). Более того, скромно предположу, что корпоративный центр не будет работать бесплатно. И если отправку данных об инцидентах в рамках договора на более широкие услуги аутсорсингового SOC еще можно понять, то что делать, если субъект КИИ не хочет никакого внешнего SOC и ему надо просто отправить в ФСБ то, что от него требует закон и от чего отказаться никак нельзя? Почему он должен платить за то, что его обязывают делать и за невыполнение чего предусмотрена ответственность (может быть даже уголовная)?


Странная ситуация. Ее могли бы исправить территориальные и региональные центры ГосСОПКИ, которые могут быть созданы ФСБ и которые могли бы взять на себя функцию приема сообщений от субъектов КИИ, которые не подключены ни к корпоративным, ни к ведомственным центрам. Но есть ли они? И какова процедура работы с ними? На SOC Forum эта тема не звучала, оставшись за рамками всех докладов. Вообще тема взаимодействия именно субъектов КИИ с ГосСОПКОЙ на SOC Forum была раскрыта не полностью, как мне кажется. Возможно ответ дадут готовящиеся в ФСБ приказы:

  • Перечень информации, предоставляемой в ГосСОПКА и порядок ее предоставления
  • Порядок обмена информацией о компьютерных инцидентах
  • Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер ликвидации последствий,
но пока их нет и до 1-го января остается совсем немного времени на их разработку и принятие. 


Кстати, бытует мнение, что направлять данные об инцидентах в ГосСОПКУ должны субъекты КИИ, владеющие только значимыми объектами КИИ. Это было бы классно, сильно уменьшив нагрузку на:
  • обычные поликлиники, которые являются субъектами КИИ только потому, что входят в сферу здравоохранения,
  • микрофинансовые организации и ломбарды, которые являются субъектами КИИ только потому, что входят в сферу финансового рынка,
  • домашних операторов связи, которые являются субъектами КИИ только потому, что входят в сферу связи,
  • и т.п.
Но... Я специально несколько раз перечитал ФЗ-187 и не нашел там никаких ограничений на круг лиц, которые взаимодействуют с ГосСОПКОЙ. Часть 2 статьи 9 начинается со слов "субъекты критической информационной инфраструктуры обязаны" и дальше перечисляется три обязанности - информирование об инцидентах, оказание содействия сотрудникам ФСБ и выполнение порядка эксплуатации средств ГосСОПКИ. Часть 3 той же статьи дополняет этот перечень новыми обязанностями и вот они уже распространяются на владельцев значимых объектов КИИ. Иными словами, независимо от наличия или отсутствия значимых объектов, взаимодействовать с ГосСОПКОЙ придется и вопрос о том, как ломбарду или районной поликлинике подключиться к ней встанет во всей красе. И ответа на него на SOC Forum не было (или я его пропустил).

ЗЫ. Решение описанной в заметке проблемы есть - субъект может стать корпоративным центром и, мониторя самого себя, направлять эти данные в ГосСОПКУ. Вот только выполнить все требования к таким центрам непросто и цена вопроса может быть несоизмеримо большой. А учитывая, что начать уведомлять об инцидентах надо с 1-го января 2018-го года, вопрос встает очень остро.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!