На этой неделе были опубликованы три приказа ФСБ № 366−368, которые содержат документы по функционированию Национального координационного центра по компьютерным инцидентам (НКЦКИ) [1]. Собственно, о его формировании было известно еще с осени прошлого года − на SOC-форуме, который состоялся 22 ноября 2017 г., было анонсировано формирование центра [2]. Тогда же было объявлено, что он станет ядром ГосСОПКА, через который будут осуществляться как информирование государства о происходящих на объектах КИИ инцидентах, так и получение рекомендательных материалов по реагированию на инциденты.
Все это и утверждено в приказе №366 [3], где в качестве приложения содержится «Положение о НКЦКИ». В нем, в частности, указано, что «задачей НКЦКИ является обеспечение координации деятельности субъектов КИИ РФ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты». НКЦКИ выполняет следующие функции:
— координирует мероприятия по реагированию на компьютерные инциденты и непосредственно участвует в таких мероприятиях;
— организует и осуществляет обмен информацией о компьютерных инцидентах между субъектами КИИ, а также между субъектами КИИ и уполномоченными органами иностранных государств или международными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты;
— осуществляет методическое обеспечение деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;
— участвует в обнаружении, предупреждении и ликвидации последствий компьютерных атак;
— обеспечивает своевременное доведение до субъектов КИИ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения;
— осуществляет сбор, хранение и анализ информации о компьютерных атаках, а также анализ эффективности мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты;
— осуществляет эксплуатацию, обеспечение функционирования и развитие технической инфраструктуры НКЦКИ;
— организует получение информации, предоставляемой в ГосСОПКА субъектами КИИ и ФСТЭК, а также информации, которая может предоставляться иными, не являющимися субъектами КИИ органами и организациями, в том числе международными и иностранными;
— определяет необходимые для организации взаимодействия форматы представления информации о компьютерных инцидентах в ГосСОПКА и доводит их до субъектов КИИ;
— определяет состав технических параметров компьютерного инцидента, указываемых при предоставлении информации в ГосСОПКА и доводит ее до субъектов КИИ.
Директором НКЦКИ в соответствии с приказом назначается заместитель руководителя Научно-технической службы, – начальник Центра защиты информации и специальной связи ФСБ России, т. е. Восьмого центра ФСБ. По данным портала agentura.ru, им является Андрей Михайлович Ивашко. Информационно-аналитическое, организационное и материально-техническое обеспечение НКЦКИ также осуществляет Центр защиты информации и специальной связи ФСБ России. То есть НКЦКИ фактически является частью ФСБ с правом публикации методических рекомендаций, создания рабочих групп и проведения конференций по реагированию на компьютерные инциденты.
Приказом №367 [4] «Об утверждении Перечня информации, предоставляемой в ГосСОПКА, и Порядка предоставления информации в ГосСОПКА» утвержден перечень информации, которую субъекты КИИ обязаны предоставлять в НКЦКИ, и порядок предоставления этой информации. К ней, в частности, относятся информация о категорировании объектов, результаты проверки объекта (особенно если были обнаружены нарушения требований Федерального закона №187) и сведения о компьютерных инцидентах. Если информация о категорировании и результатах проверки поступает в НКЦКИ раз в месяц, то сведения об инцидентах должны передаваться в течение 24 часов. Эти сведения должны содержать дату и время события, географическое расположение объекта КИИ, сведения о связанных инцидентах и компьютерных атаках, частью которой является инцидент, а также технические параметры и последствия компьютерного инцидента.
Приказ №368 [5] «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами КИИ РФ, между субъектами КИИ РФ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами КИИ РФ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения» устанавливает правила обмена информацией о инцидентах. В соответствии с опубликованным в приложении к приказу порядком предоставления информации субъекты КИИ могут направлять данную информацию только в НКЦКИ, но не международным или иностранным организациям. Взаимодействие с последними берет на себя НКЦКИ. Не совсем понятно, попадают ли под такое взаимодействие сервисы класса Threat Intelligence, которые часто передают сведения об инцидентах в иностранные компании. В соответствии с порядком предоставления информации передавать сведения иностранным организациям субъекты КИИ могут только при наличии международных договоров, но даже в этом случае о передаче сведений по каждому инциденту необходимо сообщать в НКЦКИ с течение 24 часов.
Этот же приказ определяет правила запроса аналитической или методической информации по инцидентам и реагированию на них. Правда, из принятых приказов не ясно, что произойдет с субъектом КИИ, который передавал информацию иностранным организациям и не сообщил в НКЦКИ. Возможно, их обвинят в нарушении требований закона №187, если такие факты будут выявлены. В целом же приказы официально фиксируют то, что уже функционировало в виде НКЦКИ и ГосСОПКА еще со времен указа Президента №31с.
[1] http://www.connect-wit.ru/nktski-teper-ofitsialno.html
[2] http://www.connect-wit.ru/soc-forum-vitaminy-bezopasnosti.html
[3] http://publication.pravo.gov.ru/Document/View/0001201809100001
[4] http://publication.pravo.gov.ru/Document/View/0001201809100002
[5] http://publication.pravo.gov.ru/Document/View/0001201809100003