Можно ли считать средства защиты информации средствами ГосСОПКА?

78

Дата: 17.02.2022 г.
Автор статьи: Иван Вершинин — Специалист по защите информации в Альтирикс Групп

Главный вопрос: можно ли средства защиты информации (СрЗИ) субъекта критической информационной инфраструктуры (КИИ) считать средствами Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)?

Согласно выписки из «Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (Концепция утверждена Президентом Российской Федерации 12 декабря 2014 г. № К 1274):

…Субъектами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – Система) являются:

  1. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;
  2. Федеральный орган исполнительной власти, уполномоченный в области создания и обеспечения функционирования Системы;
  3. Владельцы информационных ресурсов Российской Федерации;
  4. Операторы связи;
  5. Иные организации, осуществляющие лицензируемую деятельность в области защиты информации.

Если под информационными ресурсами Российской Федерации (РФ) понимаются государственные информационные ресурсы, то только государственные организации, владеющие информационными ресурсами, являются субъектами Системы. Если же под этим понимаются любые информационные ресурсы, размещаемые на физических носителях информации на территории Российской Федерации, то каждый владелец информационных ресурсов, размещаемый сервер с данными на территории РФ, становится субъектом Системы. Учитывая то, что даже в случае размещения серверов на территории РФ, Российская Федерация не становится владельцем информационных ресурсов, размещаемых на сервере, можно предположить, что речь идёт о государственных информационных ресурсах. А значит субъекты критической информационной инфраструктуры – не являющиеся государственными учреждениями, но являющиеся подмножеством «владельцев информационных ресурсов» – не являются субъектами Системы.

Согласно этой же Концепции:

Средства обнаружения, предупреждения и ликвидации последствий компьютерных атак – технологии, а также технические, программные, лингвистические, правовые, организационные средства, включая сети и средства связи, средства сбора и анализа информации, поддержки принятия решений (ситуационные центры), предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

То есть, средствами Системы можно считать СрЗИ организаций, владеющих государственными информационными ресурсами Российской Федерации.

Однако

Согласно Указа Президента РФ от 22 декабря 2017 г. № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»:

В целях совершенствования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и в соответствии со статьей 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» постановляю:

1. Возложить на Федеральную службу безопасности Российской Федерации функции федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации — информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории Российской Федерации, в дипломатических представительствах и консульских учреждениях Российской Федерации.

Всё-таки информационные ресурсы Российской Федерации – это любые ресурсы, которые находятся на её территории. А значит средствами обнаружения, предупреждения и ликвидации последствий компьютерных атак можно считать СрЗИ любого субъекта критической информационной инфраструктуры.

Далее

Согласно 187-ФЗ Пункта 3 Части 2 Статьи 5:

Статья 5. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации

2. К силам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, относятся:

3) подразделения и должностные лица субъектов критической информационной инфраструктуры, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.

Согласно 187-ФЗ Части 3 Статьи 5:

3. Средствами, предназначенными для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, являются технические, программные, программно-аппаратные и иные средства для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации.

Межсетевой экран попадает под определение «…средства для обнаружения <…>, предупреждения, ликвидации последствий компьютерных атак…». Межсетевой экран необходим субъекту КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, иначе как субъект КИИ обеспечит безопасность значимых объектов (ЗОКИИ)? А безопасность ЗОКИИ субъект КИИ обеспечивает самостоятельно, согласно 187-ФЗ Части 1 Статьи 10:

1. В целях обеспечения безопасности значимого объекта критической информационной инфраструктуры субъект критической информационной инфраструктуры в соответствии с требованиями к созданию систем безопасности таких объектов и обеспечению их функционирования, утвержденными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, создает систему безопасности такого объекта и обеспечивает ее функционирование.

Учитывая то, что к силам ГосСОПКА относятся подразделения субъекта КИИ, а к средствам ГосСОПКА относятся СрЗИ, необходимые субъекту КИИ (и которые, вероятно, эксплуатируются силами ГосСОПКА – подразделениями и должностными лицами субъектов КИИ), можно предположить, что любые СрЗИ субъекта КИИ являются средствами ГосСОПКА, так как они нужны субъекту КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак и используются для обнаружения, предупреждения, ликвидации последствий компьютерных атак – полное совпадение с определением средств ГосСОПКА согласно 187-ФЗ.

Но что-то вызывает сомнения

187-ФЗ Пункт 3, Часть 1, Статья 9:

1. Субъекты критической информационной инфраструктуры имеют право:

3) при наличии согласия федерального органа исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, за свой счет приобретать, арендовать, устанавливать и обслуживать средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;

187-ФЗ Пункт 3, Часть 2, Статья 9:

2. Субъекты критической информационной инфраструктуры обязаны:

3) в случае установки на объектах критической информационной инфраструктуры средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность.

Получается, что субъект КИИ имеет право установить СрЗИ с согласия ФСБ России. И в случае, если субъект КИИ воспользуется таким правом, он обязан обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность.

И обратим ещё раз внимание на 187-ФЗ Часть 1 Статья 10:

1. В целях обеспечения безопасности значимого объекта критической информационной инфраструктуры субъект критической информационной инфраструктуры в соответствии с требованиями к созданию систем безопасности таких объектов и обеспечению их функционирования, утвержденными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, создает систему безопасности такого объекта и обеспечивает ее функционирование.

Вместо «установки средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» используется «создает системы безопасности». Получается, что создание системы безопасности ЗОКИИ не равно установке средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты?

Вероятнее всего, это стоит трактовать так: субъект КИИ создает систему защиты ЗОКИИ, в состав которой входят средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, установку которых нужно согласовывать с ФСБ России.

Также обращаем внимание на Приказ ФСБ России № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации», в котором описан порядок согласования установки средств защиты. Из первой части Приказа (да и из названия тоже) понятно, что согласовывать установку всех средств не требуется. Установка средств, предназначенных для «поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации», не требует согласования. То есть все средства, которые защищают каналы электросвязи, при помощи которых «общаются» объекты КИИ, не требуют предварительного разрешения на установку.

Стоить отметить

Комаров Валерий в своём блоге «Рупор «бумажной» безопасности» в статье «Средства ГосСОПКА это СЗИ? Часть 2» отмечает, что формулировка меры СОВ.1 из 239 приказа ФСТЭК России дословно совпадает с определением средств ГосСОПКА в части «обнаружения компьютерных атак», а раздел ИНЦ дословно с «реагированием на компьютерные инциденты». Из этого сделан вывод, что «технические средства, задействованные  в системе безопасности ЗОКИИ для выполнения требований разделов ИНЦ и СОВ, однозначно относятся  к средствам ГосСОПКА».

Помимо этого, стоит отметить

Комаров Валерий в своём блоге «Рупор «бумажной» безопасности» в статье «SOC-ФОРУМ 2019. НКЦКИ о центрах ГосСОПКА» делится деталями презентации, проведённой представителем Национального координационного центра по компьютерным инцидентам (НКЦКИ) Андреем Раевским.

В частности Валерий Комаров пишет: «Средства защиты информации ОКИИ не являются техническими средствами ГосСОПКА, а служат источниками информации для них», ретранслируя слова представителя НКЦКИ.

А к техническим средствам ГосСОПКА относятся только две системы

Валерий Комаров также пишет: «Практически рассказано о ситуации «де факто», но не » де юре». В последующей дискуссии, представители НКЦКИ признали необходимость внесения изменения в законодательство».

ВЫВОД

Однозначная трактовка НПА затруднительна. Прочтение «как есть», без «додумываний», предполагает определять средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты – то есть, средства защиты информации, которые выполняют перечисленные функции – как средства ГосСОПКА. При этом, установку не всех средств ГосСОПКА необходимо согласовать с ФСБ России (согласно Приказа ФСБ России № 281).

Однако НКЦКИ, в лице своего представителя, заявляет о том, что СрЗИ объектов КИИ являются только источниками информации для средств ГосСОПКА, а законодательная база требует доработки.

В условиях неопределённости лучше не полагаться на «авось», если такой «авось» грозит правовой ответственностью.

На основании Приказа ФСБ России № 281 мы рекомендуем не позднее чем за 45 календарных дней до даты планируемой установки средств напрямую обращаться в НКЦКИ для согласования установки и уточнения предоставляемых в НКЦКИ сведений, в том числе в отношении каких СрЗИ требуется предоставить сведения в связи с неоднозначной трактовкой законодательства. К таким сведениям относятся:

  • структурно-функциональная схема подключения средств к информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления;
  • сведения об устанавливаемых средствах (наименование, предназначение, версия (при наличии);
  • сведения о местах установки средств (место нахождения или географическое местоположение зданий или сооружений, в которых планируется установка средств);
  • сведения о лицах, ответственных за эксплуатацию средств (фамилия, имя, отчество (при наличии), должность, телефонные номера);
  • сведения о контролируемых средствами объектах критической информационной инфраструктуры (наименования информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления).

Похожие статьи

Титул_3
Информационная безопасность АСУ ТП. Что грозит работникам? Новые обязанности, права и ответственность.
  • Как распределить новые обязанности.
  • Как выстроить эффективное взаимодействие между участниками.
  • Можно ли переложить ответственность за реализацию мероприятий по ИБ в АСУ ТП на одного человека.
  • Требования к образованию в области ИБ для персонала, задействованного в эксплуатации АСУ ТП, ее администрировании и защите информации.
  • Административная и уголовная ответственность за нарушение ИБ в АСУ ТП.
  • Как обосновать расширение штата специалистов ИБ.
578
Блог_Обзор НПА_ГОСТы
Обзор обновлений ГОСТ по информационной безопасности в 2022 году

В начале 2022 года вступили в силу изменения в комплексе стандартов на автоматизированные системы (далее – АС) и ряде стандартов в области информационной безопасности (далее – ИБ), утвержденных Федеральным агентством по техническому регулированию и метрологии (далее – Росстандарт)…

Скачать ГОСТы.

150
Для блога2
Защита критической информационной инфраструктуры 2021-2022. Тренды и прогнозы.
  • Основные этапы и особенности реализации требований 187-ФЗ.
  • АСУ ТП как объект КИИ. Практика реализации защиты.
  • Импортозамещение в КИИ. Проблемы и решения.
  • Субсидии для субъектов КИИ. Как получить?
  • Обеспечение безопасности КИИ за минимальный бюджет.
1120