03 декабря 2018

Нормативная база ФСБ России: что есть на начало декабря 2018

Во второй статье заявленной серии с обзором основных результатов реализации положений федерального закона от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — Закон и КИИ соответственно) рассмотрим нормативные документы, разработанные ФСБ России в рамках его исполнения. Напомним, что в соответствии с пунктом 2 статьи 5 Закона именно данное ведомство является уполномоченным федеральным органом государственной власти в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации — ГосСОПКА.

На данный момент стал ясен перечень таких нормативных документов:

  • приказ ФСБ России № 366 от 24.07.2018 «О Национальном координационном центре по компьютерным инцидентам» (далее — приказ 366 или Об НКЦКИ);
  • приказ ФСБ России № 367 от 24.07.2018 «Об утверждении Перечня информации, представляемой в ГосСОПКА, и Порядка представления информации в ГосСОПКА» (далее — Перечень и Порядок);
  • приказ ФСБ России № 368 от 24.07.2018 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами КИИ Российской Федерации, между субъектами КИИ Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами КИИ Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения» (далее — Порядок обмена и получения);
  • проект приказа ФСБ России «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» (текст согласован, далее — Требования);
  • проект приказа ФСБ России «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ Российской Федерации»;
  • проект приказа ФСБ России «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации»;
  • проект указа Президента Российской Федерации «О внесении изменений в Указ Президента Российской Федерации от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».

Ниже будут рассмотрены первые четыре документа, текст которых согласован, остальные пока анализировать рано, так как их содержание ещё может поменяться.

Об НКЦКИ

Задачей Национального координационного центра по компьютерным инцидентам является координация деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Приказ 366 определяет задачи, функции и права данного органа.

В качестве функций НКЦКИ указаны:

  • координация и участие в мероприятиях по реагированию на компьютерные инциденты;
  • организация и осуществление обмена информацией о компьютерных инцидентах между субъектами КИИ и с зарубежными партнёрами;
  • методическое обеспечение деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и участие в соответствующих мероприятиях;
  • своевременное доведение до субъектов КИИ информации о средствах и способах проведения компьютерных атак, методах их обнаружения и предупреждения, а также другой значимой информации по защите КИИ;
  • сбор, хранение и анализ информации о компьютерных инцидентах и компьютерных атаках, анализ эффективности соответствующих мероприятий.

НКЦКИ имеет следующие права:

  • обращаться к субъектам КИИ и зарубежным партнёрам по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, публиковать данные материалы, отказывать зарубежным партнёрам в их получении;
  • создавать соответствующие рабочие группы из представителей субъектов КИИ с привлечением сторонних экспертов и заключать соглашения о сотрудничестве;
  • участвовать в научно-практических мероприятиях, в том числе международных.

Таким образом, под существование и функционирование НКЦКИ подведена нормативная основа, а также появилось формальное основание туда обращаться.

Перечень информации, представляемой в ГосСОПКА

Согласно Перечню, в ГосСОПКА представляется:

  • информация из реестра значимых объектов КИИ (категория значимости или её отсутствие, внесение/исключение объекта КИИ и т.д.);
  • итоги проведения государственного контроля безопасности КИИ;
  • информация по компьютерным инцидентам: дата, время и местоположение соответствующего объекта КИИ, наличие связей с компьютерной атакой и/или другими инцидентами, технические параметры, последствия;
  • иная информация от субъектов КИИ и из других источников.

Порядок обмена информацией о компьютерных инцидентах

Порядок обмена информацией о компьютерных инцидентах устанавливает, что:

  • НКЦКИ информируется в обязательном порядке;
  • другие возможные адресаты субъект КИИ определяет сам;
  • обмен информацией с зарубежными партнёрами осуществляет НКЦКИ (за исключением действующих международных договоров, когда соответствующее сообщение, адресованное зарубежной организации, дублируется в НКЦКИ);
  • формат сообщения должен соответствовать формату НКЦКИ;
  • при подключении к НКЦКИ обмен должен осуществляться с использованием инфраструктуры НКЦКИ;
  • при наличии секретных сведений обмен должен соответствовать требованиям действующего законодательства в области защиты гостайны.

Порядок получения информации субъектами КИИ от ГосСОПКА:

  • НКЦКИ предоставляет субъектам КИИ информацию о средствах и способах проведения кибератак, методах их обнаружения и предупреждения в зависимости от особенностей функционирования соответствующих объектов КИИ (в течение 24-х часов с момента её получения НКЦКИ);
  • способы (каналы) доведения информации: сайт НКЦКИ https://ics-cert.kaspersky.ru/away?url=http%3A%2F%2Fgov-cert.ru, ответы на запросы в НКЦКИ и/или ФСБ России, а также запросы другим субъектам КИИ или зарубежным партнёрам (в случае отсутствия в запросе информации о функционировании объектов КИИ).

Другими словами, любая информация о компьютерных инцидентах должна попадать в НКЦКИ, взаимодействие с зарубежными партнёрами — только через НКЦКИ (за исключением прямых международных договоров).

Требования ФСБ России к средствам ГосСОПКА

Средства ГосСОПКА — это технические, программные, программно-аппаратные и иные средства:

  • обнаружения компьютерных атак;
  • предупреждения компьютерных атак;
  • ликвидации последствий компьютерных атак;
  • поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ;
  • обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и/или ликвидации последствий компьютерных атак;
  • криптографической защиты информации субъектов КИИ (далее — СКЗИ).

Средства ГосСОПКА могут реализовываться одним или несколькими техническими, программными и программно-аппаратными средствами.

Данный документ состоит из нескольких разделов: общих требований, которые предъявляются ко всем средствам ГосСОПКА и специальным требованиям к каждому их типу.

Общие требования

  • отсутствие возможности несанкционированного принудительного обновления или удаленного управления;
  • отсутствие возможности бесконтрольной передачи обрабатываемой информации неуполномоченным лицам;
  • возможность осуществления модернизации, гарантийной и технической поддержки российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц;
  • исключение нарушений функционирования объектов КИИ (невлияние);
  • реализация функций собственной безопасности (см. ниже).

Требования к средствам обнаружения

Назначением средств обнаружения является сбор, первичная обработка, автоматический и ретроспективный анализ информации, поступающей от источников событий информационной безопасности (далее — события ИБ1) и выявление компьютерных инцидентов (компьютерных атак), где:

  • сбор осуществляется:
    • удаленно или локально;
    • непрерывно или периодически;
    • непосредственно от источников событий ИБ, из файлов либо посредством агентов2;
  • первичная обработка состоит в сохранении информации о событиях ИБ, в том числе в исходном виде, и в синхронизации системного времени;
  • автоматический анализ — отбор, фильтрация, корреляция, агрегация и приоритезация событий ИБ, а также управление соответствующими правилами;
  • выявление компьютерных инцидентов (компьютерных атак) — регистрация способов обнаружения;
  • ретроспективный анализ — выявление на глубину не менее шести месяцев не обнаруженных ранее компьютерных инцидентов и/или компьютерных атак на основании зарегистрированных событий ИБ и новых или измененных справочной информации и правил выявления.

Требования к средствам предупреждения

Средства предупреждения должны обеспечивать:

  • сбор и обработку (добавление, просмотр, изменение и т.д.) сведений об инфраструктуре и составе контролируемых ИС/ИТС/АСУ (дате и времени проведения исследования контролируемых систем, сетевые адреса и имена объектов, ОС, используемое сервисное и прикладное ПО, перечень выявленных уязвимостей и недостатков в его настройке и т.д.) и справочной информации (о репутации, владельцах, географической принадлежности IP-адресов, доменных имен, DNS-серверов и почтовых серверов, об известных уязвимостях, о бот-сетях, включая сведения об их управляющих серверах, и т.д.);
  • учёт угроз безопасности информации (создание и изменение записей с уведомлением об угрозе безопасности информации и типовыми сценариями реагирования на соответствующие компьютерные инциденты (в том числе — во взаимодействии с НКЦКИ));
  • возможность взаимодействия с НКЦКИ.

Требования к средствам ликвидации последствий

  • учёт и обработка компьютерных инцидентов (создание, регистрация, изменение, учёт, фильтрация, сортировка и поиск карточек инцидентов);
  • управление процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак (возможность заполнения карточки инцидента, назначение шаблонного или специализированного сценария реагирования, формирование сообщений для других субъектов КИИ);
  • осуществление взаимодействия с НКЦКИ (автоматизированный обмен сведениями согласно Перечню и Порядку (см. выше), учет карточек инцидентов в соответствии с системой идентификации НКЦКИ);
  • информационно-аналитическое сопровождение (интерактивное формирование выборок данных из карточек, уведомлений об актуальных угрозах безопасности информации и справочной информации).

Требования к средствам поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ3

  • обнаружение в сетях электросвязи (далее — СЭ) признаков компьютерных атак по значениям служебных полей (заголовков) протоколов сетевого взаимодействия, признаков управления, изменений настроек телекоммуникационного оборудования, систем управления и СЭ в целом, сбор, накопление и статистическая обработка результатов, сигнализация и уведомление о них;
  • хранение, анализ и выгрузка копий соответствующего сетевого трафика;
  • наличие интерфейса (порта) передачи фрагментов копий такого сетевого трафика, результатов его обработки;
  • возможность формирования обобщенных сведений, представляемых в НКЦКИ.

Средства обмена должны обеспечивать гарантированную передачу и гарантированный прием информации между субъектами КИИ.

СКЗИ, используемые субъектами КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть сертифицированы (напомним, что регулятором в области криптографии является ФСБ России).

Требования по реализации функций собственной безопасности

  • идентификация и аутентификация администраторов с использованием паролей и/или аппаратных средств;
  • разграничение прав доступа к информации и уровней доступа к функциям на основе политик безопасности с возможностью управления учетными записями и ролями пользователей и журналирования всех действий администраторов с момента авторизации;
  • регистрация событий ИБ (минимум: идентификатора администратора, времени авторизации, запуска (завершения) программ и процессов, связанных с реализацией функций безопасности средств ГосСОПКА, команд управления, попыток неудачной аутентификации, данных о сбоях и неисправностях в работе средств ГосСОПКА) с функциями защиты от стирания и редактирования;
  • обновление, резервирование и восстановление программных компонентов и служебных баз данных;
  • синхронизация времени;
  • самотестирование и контроль целостности ПО с фиксированием результатов.

Дополнительные требования

  • визуализация информации о событиях ИБ, обнаруженных компьютерных инцидентах, уязвимостях и недостатках в настройке контролируемых систем, инфраструктуры контролируемых систем, справочной и другой необходимой информации;
  • построение сводных отчетов (с использованием таблиц, графиков, диаграмм и гистограмм), их визуализация с возможностью выбора параметров;
  • автоматическое формирование отчетов по расписанию, их экспорт и/или автоматическая отправка в адреса;
  • надежное и достоверное хранение загружаемой информации в течение заданного периода времени, обеспечение постоянной доступности к ней с возможностью экспорта.

Важно: для реализации Требований могут привлекаться организации-лицензиаты в области защиты информации.

Какие можно сделать выводы на данный момент?

  1. В части разработки нормативной базы формально ФСБ России решила половину задачи, но введённые в действие документы открывают зелёную улицу субъектам КИИ для первичных работ по подключению к системе ГосСОПКА и развёртыванию соответствующих центров. Уже запущен НКЦКИ, туда можно обращаться и устанавливать соответствующие контакты, стало ясно, как и чем обмениваться с ним и другими субъектами КИИ, можно приступать к проектированию центров системы ГосСОПКА.
  2. Ничего неожиданного и невероятно сложного и затратного в реализации введённая нормативная база не содержит, её положения достаточно понятны, и серьёзных проблем с их реализацией пока не просматривается.
  3. Это нормативно закреплённая возможность привлекать специализированные организации для реализации Требований к средствам ГосСОПКА.

Есть и вопросы, на которые рассмотренные документы ответа не дают, а именно:

  • обязательно ли использовать сертифицированные средства (спойлер: скорее всего, — да, но пока напрямую об этом нигде не сказано);
  • не понятен механизм контроля выполнения Требований к средствам ГосСОПКА;
  • прямого соответствия существующих средств защиты информации Требованиям к средствам ГосСОПКА не просматривается.

Что делать и как быть?

Надеемся, что разъяснить ситуацию и получить кое-какие ответы получится по результатам конференции «SOC-Форум 2018».

В любом случае — УДАЧИ!


1 — Источники событий ИБ — ОС, сервисное и прикладное ПО, СОВ/СОА, МЭ, средства предотвращения утечек данных, АВС, ТКО и средства управления им, прикладные сервисы, средства контроля (анализа) защищенности, иные средства и системы, эксплуатируемые субъектом КИИ.

2 — Компоненты средств защиты информации, осуществляющие контроль конкретного узла сети и/или ПО.

3 — Раздел напрямую касается операторов связи.

Авторы
  • Дмитрий Сатанин

    Руководитель направления по работе с государственными органами РФ и СНГ, Kaspersky ICS CERT