13 сентября 2018

ФСБ определила перечень сведений, предоставляемых в ГосСОПКА

Федеральная служба безопасности определила перечень сведений, которые должны в обязательном порядке направляться в государственную систему обнаружения предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Согласно первому приложению к приказу ФСБ, в ГосСОПКА должна направляться информация, прямо или косвенно связанная с функционированием объектов критической информационной инфраструктуры РФ.

То есть: 

1. сведения о самих объектах, зачисленных в реестр критической инфраструктуры, а также об их возможном исключении из этого реестра.

2. сведения о компьютерных инцидентах, сказывающихся на функционировании объектов КИИ, со всеми доступными подробностями: дата, время, место нахождение объекта; наличие "причинно-следственной связи между компьютерным инцидентом и компьютерной атакой"; возможное наличие связи с другими инцидентами; состав технических параметров компьютерных инцидентов и его последствия.

Кроме того, в ГосСОПКА должна поступать информация о выявлении существенных нарушений требований безопасности значимых объектов КИИ, если в результате них создаются предпосылки для возникновения компьютерных инцидентов.

Отдельным пунктом значится "иная информация" в области обнаружения, предупреждения и ликвидации последствий кибератак и реагирования на инциденты. Её могут предоставлять как субъекты КИИ, так и другие органы и организации, не входящие в критическую инфраструктуру РФ, в том числе международные.

Во втором приложении к приказу описывается порядок предоставления информации в ГосСОПКА. В частности, оговаривается, что общие сведения из реестра КИИ и информация по итогам проведения государственного контроля должна направляться в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) не реже раза в месяц и не позднее месячного срока с момента включения объекта КИИ в реестр значимых объектов или исключения из него, изменения категории его значимости или составления акта проверки по итогам осуществления государственного контроля (если выявлены нарушения).

Формат, в котором уполномоченный орган отправляет эти сведения, определяется самим уполномоченным органом.

Что касается сведений о конкретных инцидентах, то они должны направляться в соответствии с форматами, определёнными НКЦКИ, и с использованием технической инфраструктуры Координационного центра, предназначенной для получения и обработки данных об инцидентах.

Если доступа к этой инфраструктуре у объекта КИИ по какой-либо причине нет, то информация направляется по каким-либо иным каналом, в том числе по почтовой, факсимильной или электронной связи на адреса или телефонные номера НКЦКИ.

Информация должна поступить в НКЦКИ не позднее, чем через 24 часа после обнаружения инцидента. Ещё 24 часа отводится НКЦКИ на уведомление субъекта КИИ о получении этой информации.

«Список сведений, поступающих в ГосСОПКА, можно было бы дополнить результатами прошлых мероприятий по аудиту безопасности, которые проводят на объектах КИИ коммерческие структуры, специализирующиеся на поиске уязвимостей в цифровой инфраструктуре, — считает Дмитрий Гвоздев, генеральный директор компании "Информационные технологии будущего". — Также в ГосСОПКА имело бы смысл регулярно вносить данные о том, какие уязвимости могли быть выявлены в программном обеспечении, используемом на объектах КИИ, и какие из них исправлены. Это поможет с профилактикой компьютерных инцидентов и кибератак».     

Текст Приказа ФСБ РФ от 24.07.2018 № 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" доступен здесь.

Мы в соцсетях