ФСБ разработала порядок отражения компьютерных атак

Выставленные на общественное обсуждение со стороны ФСБ документы регламентируют работу средств для обнаружения, предупреждения и ликвидации последствий компьютерных атак на критическую инфраструктуру РФ.

Федеральная служба безопасности РФ подготовила ряд документов, касающихся защиты объектов критической информационной инфраструктуры. Первый — проект приказа «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации», второй — «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты».

Соглано пояснительной записке, первый документ направлен на совершенствование правового регулирования в сфере координации деятельности субъектов критической информационной инфраструктуры Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, а также на реализацию пункта 10 части 4 статьи 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

«Принятие приказа не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства», — уверяют авторы документа, — а также «позволит обеспечить повышение эффективности работы по обеспечению функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».

«Настоящие порядок и технические условия регламентируют порядок и технические условия установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации (далее – средства и КИИ соответственно), в том числе в банковской сфере и в иных сферах финансового рынка», — говорится в приложении к приказу.

Согласно предлагаемому ФСБ порядку реагирования на кибератаки, субъект КИИ должен согласовать с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) установку средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры (далее — «средств»). Для этого субъект КИИ направляет в НКЦКИ в определяемом им формате сведения о средствах; о лицах, ответственных за эксплуатацию средств; о контролируемых средствами объектах КИИ; о местах установки средств. Место установки средств определяется субъектом КИИ самостоятельно.

«Субъектом КИИ должна быть обеспечена круглосуточная и бесперебойная работа средств, — сказано в документе. — При этом субъектом КИИ определяется порядок доступа к эксплуатируемым средствам и осуществления контроля за ним. При аварийном отключении электропитания субъектом КИИ должно обеспечиваться продолжение работы средств в текущем режиме или корректное автоматическое завершение их работы с оповещением субъекта КИИ. Восстановление работоспособности средств после сбоя или отказа должно осуществляться в максимально короткие сроки, в том числе с использованием запасных инструментов и принадлежностей средств».

В пояснительной записке второго документа ФСБ сказано, что он также «направлен на совершенствование правового регулирования в сфере координации деятельности субъектов критической информационной инфраструктуры Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, а также на реализацию 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»».

Приказ должен «утвердить прилагаемые Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты».

«Настоящие Требования определяют требования к устанавливаемым и используемым на всей территории Российской Федерации техническим, программным, программно-аппаратным и иным средствам для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ РФ, предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографическим средствам защиты такой информации», — говорится в приложении к приказу.

Средства, предназначенные для обеспечения безопасности значимых объектов КИИ, должны обеспечивать:

• обнаружение компьютерных атак;
• предупреждение компьютерных атак;
• ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты;
• поиск признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ;
• криптографическая защита обмена информацией необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак.

«Данные задачи могут реализовываться одним или несколькими программно-аппаратными или программными средствами», — сказано в документе.

В средствах должны отсутствовать:
— принудительное обновление программного обеспечения ПО и управление с территории иностранного государства;
— возможность несанкционированной передачи информации, включая технологическую, в том числе их разработчику (производителю);
— недекларированные возможности в ПО.

В средствах должна быть возможность осуществления их модернизации силами российских организаций без участия иностранных организаций и организаций с иностранными инвестициями. Они должны обеспечиваться гарантийной и технической поддержкой российскими организациями, также — без иностранного участия.

Также в средствах необходимо наличие: резервных копий ПО, формуляр, руководство администратора. В формуляре средств в отдельном разделе должны быть приведены условия эксплуатации, средства и способы подключения к сетям электросвязи, в том числе к сети «Интернет».

В технических, программных, программно-аппаратных и иных средствах, предназначенных для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ), предупреждения, ликвидации последствий компьютерных атак должны быть реализованы функции:
— собственной безопасности;
— визуализации информации;
— построения сводных отчетов;
— хранения информации.

Средства в части обнаружения компьютерных атак должны обладать следующими функциональными возможностями:
— сбор и первичная обработка информации, поступающей от источников событий информационной безопасности (ИБ);
— автоматический анализ событий ИБ и выявление компьютерных инцидентов (компьютерных атак);
— ретроспективный анализ данных и выявление не обнаруженных ранее компьютерных инцидентов.

Средства в части предупреждения компьютерных атак должны обладать следующими функциональными возможностями:
— сбор и обработка сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации;
— сбор и обработка сведений об уязвимостях и недостатках в настройке ПО, используемого на объектах контролируемых информационных ресурсов;
— учет угроз безопасности информации.

При осуществлении сбора и обработки сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации средства должны обеспечивать:
— сбор и обработку конфигурационной информации;
— сбор и обработку справочной информации (о репутации IP-адресов, доменных имен, DNS-серверов и почтовых серверов, владельцах IP-адресов, доменных имен, DNS-серверов и почтовых серверов, местоположении и географической принадлежности IP-адресов, известных уязвимостях, правилах обнаружения компьютерных атак (сведения о сигнатурах), бот-сетях, включая сведения об их управляющих серверах);
— возможность расширения перечня используемой информации об инфраструктуре контролируемых информационных ресурсов и справочной информации;
— возможность добавления, просмотра и изменения сведений об инфраструктуре и справочной информации.

Требования также касаются постоянного взаимодействия с НКЦКИ, информационно-аналитического сопровождения, учёта компьютерных инцидентов, а также целого ряда других соответствующих факторов в работе средств, предназначенных для обеспечения безопасности значимых объектов КИИ.

Дата окончания общественного обсуждения обоих разработанных ФСБ документов — 22 февраля 2018 года:

1. «Об утверждении порядка, технических условий установки и эксплуатации средств…»

2. «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак…»

Читайте также:

ФСБ укрепляет оборону на случай кибератак
?
ФСБ идентифицирует пользователей онлайн-игр и соцсетей через sim-карты
?
ФСБ даст интернет-сервисам 10 дней на предоставление ключей шифрования
?
В ООН отправлена жалоба по делу «ФСБ против Telegram»
?
Правительство РФ запретило интернет-сервисам рассказывать об их сотрудничестве с ФСБ