Опубликованы и вступили в силу последние два приказа ФСБ, которые входят в пакет документов по ГосСОПКА. Первый приказ №281 «Об утверждении Порядка, технических условий установки и эксплуатации средств (далее − «Порядок установки и эксплуатации»), предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты…» [1], определяет правила установки и эксплуатации средств взаимодействия с ГосСОПКА. Второй приказ №282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак (далее − «Порядок информирования и реагирования»), проведенных в отношении ЗОКИИ РФ» [2], устанавливает правила взаимодействия корпоративного центра ГосСОПКА с вышестоящими. Оба приказа были подписаны директором ФСБ Александром Бортниковым 19 июня этого года, зарегистрированы в Минюсте 16 июля и вступили в силу на следующий день после опубликования на официальном портале.
В приказе №281 написано, что нельзя просто так взять и установить средство для взаимодействия с ГосСОПКА. Предварительно («за 45 календарных дней до дня планируемой установки») нужно согласовать схему подключения этого средства в ФСБ РФ. Для согласования необходимо указывать наименование продуктов, адреса их установки, лиц, ответственных за эксплуатацию, и сами объекты КИИ, которые этими продуктами контролируются. Причем ФСБ может и не согласовать схему подключения, особенно если обнаружится «наличие оснований для отказа в согласовании». Если КИИ относится к финансовой сфере, то после получения письма из ФСБ надо всю информацию из него в течение пяти дней направить и в ЦБ РФ.
Только после получения разрешения можно устанавливать средства взаимодействия с ГосСОПКА − либо самостоятельно, либо с привлечением лицензиата «в области защиты информации». Когда средства взаимодействия установлены, сведения об этом, а также о всех изменениях в схеме подключения должны сообщаться в ФСБ/ЦБ в течение пяти календарных дней. В данном приказе все более-менее ясно, кроме наименования подразделений ФСБ и ЦБ, с которыми необходимо согласовывать установку средств взаимодействия. При этом никаких указаний на обязательность установки средств ГосСОПКА вроде бы нет, следовательно, для большинства организаций приказ может вообще остаться незамеченным.
Казалось бы, приказ №281 относится только к владельцам значимых объектов КИИ (ЗОКИИ), что явно обозначено в его названии, однако это не совсем так. Во всяком случае, в требованиях по информированию об инцидентах указывается, что ЗОКИИ должны сообщать в ГосСОПКА об инцидентах в течение трех часов, но для иных КИИ установлен более щадящий срок реагирования − в течение 24 часов. К тому же первые пункты «Порядка информирования и реагирования» сформулированы таким образом, что они относятся ко всем объектам КИИ, а не только к значимым. На эту особенность приказа указывают все его комментаторы. Так что владельцам незначимых объектов КИИ придется выполнять требования данного приказа хотя бы в части информирования.
Для ЗОКИИ он является строго обязательным как по информированию, так и по реагированию − это требование есть и в законе №187-ФЗ. Однако приказ уточняет сроки и методику реагирования. В нем определяется, что в течение 90 дней со дня внесения в реестр ЗОКИИ его владелец должен сформировать план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (далее − План реагирования), проект которого должен быть согласован с ФСБ и ЦБ РФ (последний только для финансовой сферы). План содержит технические характеристики ЗОКИИ, события, при которых инициируются мероприятия по реагированию, список мероприятий и подразделений субъекта КИИ, которые в них участвуют. В план также могут быть включены условия для привлечения сотрудников ФСБ для помощи в проведении мероприятий. Кроме того, на субъект ЗОКИИ возлагаются обязанности не реже раза в год проводить учения для отработки мероприятий в соответствии с разработанным планом, анализировать его результаты и при необходимости модернизировать план мероприятий.
Если события, указанные в плане реагирования, произошли и были инициированы соответствующие процедуры, то их результаты сообщаются в ФСБ и при необходимости − в ЦБ РФ в течение не более 48 часов с момента завершения мероприятий. В этом приказе указывается, что взаимодействовать нужно с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) − специализированным подразделением ФСБ. Причем на субъект возлагается обязанность не только отразить атаку, но и восстановить функционирование ЗОКИИ и проверить его работоспособность. В целом план и мероприятия по его реализации похожи на процедуры обеспечения непрерывности работы ключевых информационных ресурсов, которые уже достаточно давно пропагандируются для критических систем с той лишь разницей, что к ним добавляется требование по информированию о проделанной работе государственных органов.
В целом, можно заключить, что приказы содержат программу развития отрасли ИБ на следующий год. В текущем году всем компаниям предстоит завершить процедуру категорирования, после которой должен наполниться реестр ЗОКИИ. В 2020 г. субъекты КИИ должны разработать планы реагирования на инциденты и подключиться к ГосСОПКА, что и определяется обсуждаемыми приказами. Скорее всего, до нового года никаких активных действий по этим приказам предприниматься не будет, но на следующий год компании должны запланировать приведение своих процедур обеспечения непрерывности бизнеса в соответствие с требованиями приказов №282 и №281 ФСБ.
[1] http://publication.pravo.gov.ru/Document/View/0001201907170027
[2] http://publication.pravo.gov.ru/Document/View/0001201907170025