Выставленные на общественное обсуждение со стороны ФСБ документы регламентируют работу средств для обнаружения, предупреждения и ликвидации последствий компьютерных атак на критическую инфраструктуру РФ.
Федеральная служба безопасности РФ подготовила ряд документов, касающихся защиты объектов критической информационной инфраструктуры. Первый — проект приказа «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации», второй — «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты».
Соглано пояснительной записке, первый документ направлен на совершенствование правового регулирования в сфере координации деятельности субъектов критической информационной инфраструктуры Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, а также на реализацию пункта 10 части 4 статьи 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
«Принятие приказа не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства», — уверяют авторы документа, — а также «позволит обеспечить повышение эффективности работы по обеспечению функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
«Настоящие порядок и технические условия регламентируют порядок и технические условия установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации (далее – средства и КИИ соответственно), в том числе в банковской сфере и в иных сферах финансового рынка», — говорится в приложении к приказу.
Согласно предлагаемому ФСБ порядку реагирования на кибератаки, субъект КИИ должен согласовать с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) установку средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры (далее — «средств»). Для этого субъект КИИ направляет в НКЦКИ в определяемом им формате сведения о средствах; о лицах, ответственных за эксплуатацию средств; о контролируемых средствами объектах КИИ; о местах установки средств. Место установки средств определяется субъектом КИИ самостоятельно.
«Субъектом КИИ должна быть обеспечена круглосуточная и бесперебойная работа средств, — сказано в документе. — При этом субъектом КИИ определяется порядок доступа к эксплуатируемым средствам и осуществления контроля за ним. При аварийном отключении электропитания субъектом КИИ должно обеспечиваться продолжение работы средств в текущем режиме или корректное автоматическое завершение их работы с оповещением субъекта КИИ. Восстановление работоспособности средств после сбоя или отказа должно осуществляться в максимально короткие сроки, в том числе с использованием запасных инструментов и принадлежностей средств».
В пояснительной записке второго документа ФСБ сказано, что он также «направлен на совершенствование правового регулирования в сфере координации деятельности субъектов критической информационной инфраструктуры Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, а также на реализацию 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»».
Приказ должен «утвердить прилагаемые Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты».
«Настоящие Требования определяют требования к устанавливаемым и используемым на всей территории Российской Федерации техническим, программным, программно-аппаратным и иным средствам для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ РФ, предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографическим средствам защиты такой информации», — говорится в приложении к приказу.
Средства, предназначенные для обеспечения безопасности значимых объектов КИИ, должны обеспечивать:
«Данные задачи могут реализовываться одним или несколькими программно-аппаратными или программными средствами», — сказано в документе.
В средствах должны отсутствовать:
— принудительное обновление программного обеспечения ПО и управление с территории иностранного государства;
— возможность несанкционированной передачи информации, включая технологическую, в том числе их разработчику (производителю);
— недекларированные возможности в ПО.
В средствах должна быть возможность осуществления их модернизации силами российских организаций без участия иностранных организаций и организаций с иностранными инвестициями. Они должны обеспечиваться гарантийной и технической поддержкой российскими организациями, также — без иностранного участия.
Также в средствах необходимо наличие: резервных копий ПО, формуляр, руководство администратора. В формуляре средств в отдельном разделе должны быть приведены условия эксплуатации, средства и способы подключения к сетям электросвязи, в том числе к сети «Интернет».
В технических, программных, программно-аппаратных и иных средствах, предназначенных для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ), предупреждения, ликвидации последствий компьютерных атак должны быть реализованы функции:
— собственной безопасности;
— визуализации информации;
— построения сводных отчетов;
— хранения информации.
Средства в части обнаружения компьютерных атак должны обладать следующими функциональными возможностями:
— сбор и первичная обработка информации, поступающей от источников событий информационной безопасности (ИБ);
— автоматический анализ событий ИБ и выявление компьютерных инцидентов (компьютерных атак);
— ретроспективный анализ данных и выявление не обнаруженных ранее компьютерных инцидентов.
Средства в части предупреждения компьютерных атак должны обладать следующими функциональными возможностями:
— сбор и обработка сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации;
— сбор и обработка сведений об уязвимостях и недостатках в настройке ПО, используемого на объектах контролируемых информационных ресурсов;
— учет угроз безопасности информации.
При осуществлении сбора и обработки сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации средства должны обеспечивать:
— сбор и обработку конфигурационной информации;
— сбор и обработку справочной информации (о репутации IP-адресов, доменных имен, DNS-серверов и почтовых серверов, владельцах IP-адресов, доменных имен, DNS-серверов и почтовых серверов, местоположении и географической принадлежности IP-адресов, известных уязвимостях, правилах обнаружения компьютерных атак (сведения о сигнатурах), бот-сетях, включая сведения об их управляющих серверах);
— возможность расширения перечня используемой информации об инфраструктуре контролируемых информационных ресурсов и справочной информации;
— возможность добавления, просмотра и изменения сведений об инфраструктуре и справочной информации.
Требования также касаются постоянного взаимодействия с НКЦКИ, информационно-аналитического сопровождения, учёта компьютерных инцидентов, а также целого ряда других соответствующих факторов в работе средств, предназначенных для обеспечения безопасности значимых объектов КИИ.
Дата окончания общественного обсуждения обоих разработанных ФСБ документов — 22 февраля 2018 года:
1. «Об утверждении порядка, технических условий установки и эксплуатации средств…»
Читайте также:
ФСБ укрепляет оборону на случай кибератак
?
ФСБ идентифицирует пользователей онлайн-игр и соцсетей через sim-карты
?
ФСБ даст интернет-сервисам 10 дней на предоставление ключей шифрования
?
В ООН отправлена жалоба по делу «ФСБ против Telegram»
?
Правительство РФ запретило интернет-сервисам рассказывать об их сотрудничестве с ФСБ
The main news of the week in the field of law.
On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.