Завтра и послезавтра я буду выступать в Казани на IT & Security Forum и участвовать в двух круглых столах. И если с круглыми столами и тремя темами для выступлений мы с организаторами определились достаточно быстро, то четвертая тема в потоке по КИИ вызывала вопросы. До тех пор пока я не погрузился в изучение проектов приказов ФСБ в рамках законодательства по безопасности критической информационной инфраструктуры.
Вообще в последнее время я мало пишу про законодательство (последний раз аж 2 месяца назад), занимаясь немного другими проектами. Но иногда, нет да приходится погрузиться в эту тему. На этот раз я попробовал вычленить что-то из тех приказов ФСБ, которые были анонсированы в декабре 2017-го - марте 2018-го годов, но которые до сих пор так и не приняты. Вот именно этим документам я и посвящу свое четвертое выступление на ITSF. И хотя это пока проекты и есть надежда, что финальные версии будут отличаться от текущих, я бы хотел задаться рядом вопросов, ответы на которые, возможно, прозвучат в Казани, а возможно авторы документов по ГосСОПКЕ учтут их в финальной версии.
Итак, вопросы следующие:
ЗЫ. Три оставшиеся темы будут посвящены искусственному интеллекту и ИБ, киберучениям по ИБ для руководства, а также анатомии атаки на АСУ ТП.
Вообще в последнее время я мало пишу про законодательство (последний раз аж 2 месяца назад), занимаясь немного другими проектами. Но иногда, нет да приходится погрузиться в эту тему. На этот раз я попробовал вычленить что-то из тех приказов ФСБ, которые были анонсированы в декабре 2017-го - марте 2018-го годов, но которые до сих пор так и не приняты. Вот именно этим документам я и посвящу свое четвертое выступление на ITSF. И хотя это пока проекты и есть надежда, что финальные версии будут отличаться от текущих, я бы хотел задаться рядом вопросов, ответы на которые, возможно, прозвучат в Казани, а возможно авторы документов по ГосСОПКЕ учтут их в финальной версии.
Итак, вопросы следующие:
- Согласно правилам платежных систем Visa и Master Card, а также по правилам SWIFT, их клиенты сообщают об инцидентах, произошедших в указанных системах/сервисах. Однако согласно п.8 порядка "Обмена информацией о компьютерных инцидентах..." передача информации об инцидентах за пределы РФ осуществляется только через НКЦКИ. Согласно описанной в пп.9-14 процедуре субъект КИИ направляет в НКЦКИ обращение по каждому инциденту, а НКЦКИ в случае положительного решения переправляет информацию зарубеж в течение 12 часов с момента обращения субъекта посредством почтовой, факсимильной и электронной связи, а также через инфраструктуру НКЦКИ. Если же НКЦКИ считает необходимым отказать, то он это делает в течение 24 часов, о чем сообщает субъекту, направляя ему выписку из принятого решения. У меня возникает три вопроса. Посредством чего НКЦКИ направляет субъектам свой отказ? Является ли этот отказ мотивированным? И действительно ли надо по сотням тысяч инцидентов с картами Visa и Master Card (а именно такое число фигурирует в отчете ФинЦЕРТ за 2017-й год) оформлять обращения на каждое из них?
- Согласно методичке по созданию ведомственных и корпоративных центров ГосСОПКИ такие центры должны среди прочей информации о компьютерных атаках уведомлять о рассылках спама (п.8.6). Спам также фигурирует в п.8.7 уже в разряде инцидентов. У меня снова три вопроса по данному требованию. Зачем по спаму сообщать IP-адреса атакующих и пострадавших, а не их почтовые адреса и почтовые сервера? Сообщать надо именно о спаме или также о срабатывании репутационных фильтров? Также мне интересно, надо ли сообщать о каждом спамерском сообщении? Например, в Cisco ежемесячно спам-фильтрами блокируется около 5 миллионов сообщений, а репутационными - 81 миллион сообщений. Надо составлять 86 (в худшем случае) или 5 (в "лучшем") миллионов карточек инцидентов?
- Согласно перечня информации, предоставляемой в ГосСОПКУ, об инцидентах надо уведомлять незамедлительно, но не позднее 24-х часов с момента их обнаружения. Все бы ничего, но по каждому инциденту надо среди прочего сообщать о последствиях инцидента. У меня вопрос - как можно оценить последствия (ущерб) от инцидента в течение суток (и это в худшем варианте - если придерживать информацию) в течение такого короткого интервала времени? У ЦБ в 2831-У для этого предусмотрены формы за прошлый отчетный период, когда мы уже имеем собранную информацию, в том числе и по последствиям.
- Финальный вопрос, который я не перестаю задавать в последние месяцы, касается формата обмена информацией об атаках / инцидентах / признаках атак. Это STIX/TAXII, OpenIOC, иные стандарты обмена данными ? Кроме применения TLP пока ни о какой стандартизации речи не идет, что печально. Будет ли назван такой стандарт или разработан с нуля? Вот ЦБ недавно анонсировал проект СТО 1.5 как раз по описанию формата данных при обмене с ФинЦЕРТ (и вроде даже как заявляется, что проект стандарта согласован с ФСБ). А что регулятор по ГосСОПКЕ?
Ну вот такие предварительные вопросы. На самом деле их больше, но часть из них (с возможными ответами) я буду освещать в рамках своего выступления на ITSF.
ЗЫ. Три оставшиеся темы будут посвящены искусственному интеллекту и ИБ, киберучениям по ИБ для руководства, а также анатомии атаки на АСУ ТП.