ГосСОПКА - все? Разбор приказов ФСБ 281 и 282.

В заголовке - не приговор (всЁ) ГосСОПКЕ, а местоимение всЕ. Я о том, что все долги приказы ФСБ касательно 187-ФЗ "О безопасности критической информационной инфраструктуры РФ" похоже вышли из под пера регулятора. Как и предыдущие, новые приказы ФСБ небольшие: 6 и 9 страниц, для сравнения 239 приказ ФСТЭК - 32 страницы. На момент написания заметки не удалось их найти на официальных сайтах, наверное, это вопрос времени.

Итак, приказы:
Приказ ФСБ России от 19.06.2019 № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации»

http://publication.pravo.gov.ru/Document/View/0001201907170025
и

Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации».

http://publication.pravo.gov.ru/Document/View/0001201907170027

Внимательно читайте

Советую при изучении приказов внимательно смотреть на наличие слова "значимый" перед "объект КИИ". Например 281 приказ - для всех, а в 282 явно указано "значимых". Но по тексту 282 приказа слово "значимый" порой то теряется, то появляется. Прочтите пункт 2 приказа 282 А в 4-м пункте так вообще сроки явно установлены для обоих типов объектов. Поэтому я бы не стал расслабляться и примерял оба приказа на себя, даже если у вас нет значимых объектов.

Цифры

• 45 дней - за такой срок до начала установки Средств СОПКА субъект КИИ должен направить на согласование в ФСБ схему их подключения. 
• еще 45 дней - есть после этого у ФСБ чтобы согласовать или нет схему.
• 5 дней - в такой срок после успешного согласования субъекты КИИ, поднадзорные Банку России, должны отправить сведения и туда.
• 5 дней - столько есть на уведомление при внесении изменений.
• 5 дней - срок уведомления НКЦКИ о вводе Средств СОПКА в эксплуатацию.
• 24х7х365 - именно такой режим безотказной работы Средств СОПКА субъект КИИ обязан соблюдать.
• 3 часа - для ЗНАЧИМЫХ объектов есть с момента обнаружения инцидента, чтобы передать сведения о нем в НКЦКИ.
• 24 часа - для ИНЫХ объектов есть с момента обнаружения инцидента, чтобы передать сведения о нем в НКЦКИ.
• 90 дней - есть у владельцев значимых объектов на подготовку плана реагирования на инциденты.
• 48 часов - есть у владельцев значимых объектах на доклад в ФСБ об успешной ликвидации последствий инцидента.

Интересные факты

• Субъект КИИ, поднадзорный Банку России, обязан взаимодействовать с ФСБ и только, как кажется по тексту, "факультативно" с ФинЦЕРТ. Это обидно.
• Помимо схемы установки Средств СОПКА в ФСБ нужно пофамильно предоставить ответственных должностных лиц, вот это уже интересно.
• Настраивать и обслуживать Средства СОПКА может либо субъект КИИ самостоятельно, либо с привлечением лицензиата ФСТЭК (конкретные виды лицензий пункты не указаны).
• Прописаны условия привлечения ФСБ России к реагированию на инциденты в случае необходимости, которая никак четко не определяется. Например, должен быть согласован план совместного реагирования, на согласование у ФСБ есть 30 дней.
• Владельцы значимых объектов обязаны не реже 1 раза в год проводить тренировки по отработке плана реагирования на инциденты. И это первое явное упоминание киберучений в отечественных НПА.

Оставайтесь на светлой стороне.

UPD: добавил ссылки на сами приказы.

Петербург. Конференция по безопасности финансовой отрасли #PaymentSecurity.

4-5 июля 2019 в городе культурном Санкт-Петербурге состоялась #PaymentSecurity. За свою многолетнюю история она превратилась из довольно нишевого мероприятие по стандартам безопасности карточных данных PCI SSC в традиционную конференцию, освещающую вопросы безопасности всей финансовой отрасли. Собралось более 200 чел., что довольно нехило для регионального тематического события.

Keynote.

Традиционно keynote-спикером выступал Jeremy King, International Director of the PCI Security Standards Council. Рассказывал про актуальные тренды и про будущее серии стандартов, которых суммарно уже более десятка. Самое интересное, что зацепило меня, как разработчика софта - это разработка требований Software Security Framework. Они будут так или иначе настоятельно рекомендованы разработчикам, участвующим своими продуктами в индустрии обработки данных платежных карт. При этом, много говорилось про flexibility и широкие возможности адаптации стандартов под реалии каждой компании... но. Количество требований и рекомендаций растет, а их детализация - настораживает.

Общение с J. King.

После пленарной части я пообщался с Mr. King в кулуарах и высказал свои опасения по этом поводу. Ведь мы в России привыкли, что отечественный подход к регулированию крайне прост и детализирован: делайте "раз, два, три" и между строк покупайте "раз, два три". Вот теперь и ГОСТ 56939-2016 по безопасной разработке стал обязательным для нас, лицензиатов ФСТЭК. Не говоря уже о проверке на НДВ, соответствие УД и прочее для софта во многих организациях в стране, в том числе для банков. Так вот, нашему законодательству часто противопоставляли "западное", мол, у них там свобода действий, риск-ориентированный подход. В ответ на мой вопрос, Jeremy ответил, что так-то оно так, но мы ведь должны убедиться, что у вас patch-менеджмент, что у вас цикл безопасной разработки, что у вас обученные люди...Буквально, один раз посмотрим одним глазком и все. Мораль в том, что с какой стороны не посмотри, а регулирование начинает детализироваться, в том числе международное. Может, это и хорошо? Выполнил все гранулированные требования - ответственности меньше. "У меня все сертифицировано, какой ущерб?".

Секции.

Кроме пленарного доклада, были крайне интересные секции. Все посетить не смог, было аж три потока. Отмечу, что вендорских докладов не было от слова СОВСЕМ, что очень круто! Только полезности, практика, личный опыт, живые обсуждения, истории из жизни. Я, кстати, рассказывал о том, как подружить безопасников из разных подразделений во имя одной цели - борьбы с мошенничеством. Организаторы обещали выложить все презентации.

О полезных инициативах.

Есть еще одно наблюдение. Я вижу большой спрос со стороны аудитории на простые вещи. Мы с коллегами частенько грешим тем, что хотим скорее поделиться новыми технологиями, зрелыми подходами, чем-то "космическим". Но гораздо более востребованы темы: ПДн, автоматизация очевидных вещей, разбор какой-то простой истории, "разжевывание" и раскладка по полочкам. В этом смысле инициатива Льва Палей "Посиделки по ИБ" и идея грядущего "Код ИБ: Профи" - учения в каждом выступлении.

Давайте не будем бояться говорить о простых вещах и разбирать будничные кейсы! Шаринг опыта и демонстрация на примере живой боли. Я - за. А вы?

Оставайтесь на светлой стороне.