СОИБ. Анализ. Уведомление регуляторов о компьютерных инцидентах

На 20-22 сентября выставке InfoSecurity Russia 2016 Дмитрий Николаевич Шевцов из ФСТЭК России рассказал о планируемых изменениях в 149-ФЗ в части информирования ФСТЭК России и ФСБ России о компьютерных инцидентах.

У меня сразу же возникли вопросы: как, кого и о чем необходимо будет информировать. Обязательно или добровольно? К сожалению, во время доклада никаких подробностей по этой теме не прозвучало. Давайте проведем самостоятельный анализ и попробуем определить, как оно может быть.

Текст законопроекта, о котором говорил Дмитрий Шевцов доступен по ссылке. Он уже прошел общественные обсуждения и антикоррупционную экспертизу. Процитирую его в части касающейся информирования:

"5.2. Операторы государственных информационных систем, а также иных информационных систем, в которых на основании договоров или иных законных основаниях обрабатывается информация, обладателями которой являются государственные органы или государственные корпорации, информируют федеральный орган исполнительной власти в области обеспечения безопасности и федеральный орган исполнительной власти, уполномоченный в области противодействия иностранным техническим разведкам и технической защиты информации, о событиях безопасности, в результате которых нарушено или прекращено функционирование информационной системы и (или) нарушена безопасность обрабатываемой в информационной системе информации (компьютерных инцидентах).»."

Что-то подобное мы уже слышали раньше в рамках концепции ГосСОПКА, не хватало только федерального закона, обязывающего сообщать об инцидентах.

Итак, давайте подумаем, как именно будет производится информирование (автоматически с СЗИ или вручную) и по каким каналам связи (телефон, почта, web портал, ГОССОПКА, отдельная система)?

В документах по ГосСОПКА применяются термин “компьютерная атака” которую надо обнаружить, предупредить, ликвидировать последствия, собирать и анализировать; и “компьютерный инцидент”, по которому необходимо установить причины и которым необходимо обмениваться. Вполне логично что “компьютерная атака” это то что автоматически обнаруживают сенсоры ГосСОПКА и автоматически пересылают в Центры ГосСОПКА. А “компьютерный инцидент” это то, что должно регистрировать вручную и пересылаться вручную же.     

К сожалению, о документе, который “в) определяет порядок обмена информацией между федеральными органами исполнительной власти о компьютерных инцидентах, связанных с функционированием информационных ресурсов Российской Федерации;” пока ничего не известно. А он мог бы пролить свет на то, как это будет.

Давайте посмотрим на самое близкое что уже используют наши регуляторы:

ФСТЭК России мог бы использовать уже существующий web портал БДУ и к имеющимся формам сообщения об уязвимости и угрозе, добавить ещё форму сообщения о компьютерном инциденте.  Единственное чего не хватает – возможности использования электронной подписи (про шутников и поддельные сообщения не надо забывать)

В части ФСБ России вполне можно взглянуть на актуальное в рамках борьбы с терроризмом информирование об инцидентах транспортной безопасности:

Приказ Минтранса №56: “3. Информирование об угрозах совершения и о совершении актов незаконного вмешательства на объектах транспортной инфраструктуры и транспортных средствах субъектами транспортной инфраструктуры и перевозчиками посредством имеющихся средств связи органов Федеральной службы безопасности Российской Федерации и органов внутренних дел Российской Федерации или их уполномоченных структурных подразделений, Федеральной службы по надзору в сфере транспорта и ее территориальных органов осуществляется по месту фактического нахождения объектов транспортной инфраструктуры..

4. Субъекты транспортной инфраструктуры и перевозчики при информировании об угрозах совершения и о совершении актов незаконного вмешательства на объектах транспортной инфраструктуры и транспортных средствах государственных органов, указанных в пункте 2 настоящего Порядка, используют телефонные и радиосредства связи, в случае их отсутствия используют электронные и/или факсимильные средства связи.

9. При представлении информации об угрозах совершения и о совершении актов незаконного вмешательства на объектах транспортной инфраструктуры и транспортных средствах в государственные органы, указанные в пункте 2 настоящего Порядка, по средствам электронной связи в электронном виде, информация подписывается электронно-цифровой подписью лица, заполнившего соответствующее приложение к настоящему Порядку …”

Ну и более-менее свежий пример конкретных контактов из публичного документа:

Как мы видим – основные каналы сбора информации об инцидентах у ФСБ России сейчас это телефон и email.

Ещё можно посмотреть на ЦБ которые в рамках FINCERT собирают информацию об инцидентах на email fincert@cbr.ru в форме указанной в регламенте. Какой-либо электронной подписи не предусмотрено. Упоминается такой вариант защиты как шифрование архива под пароль и передача пароля по альтернативному каналу. Не очень похоже на лучшие практики. Зато в регламенте fincert можно посмотреть содержание информации об инцидентах, которую могут попросить регуляторы.

PS: Отправил запросы в ФСТЭК и ФСБ, посмотрим что подскажут ...