10 декабря 2018

SOC-Форум 2018: коротко о самом интересном (свидетельство очевидца)

27 — 28 ноября в Москве состоялась конференция «SOC-Форум 2018», самая масштабная в отрасли в 2018 году (авторизовалось более 2700 участников). Организаторами выступили ФСБ и ФСТЭК России (первая — в лице Национального координационного центра по компьютерным инцидентам — НКЦКИ) при поддержке Медиа Группы «Авангард». Тематика выступлений на конференции была шире вопросов создания и функционирования SOC-центров и сопутствующих технических задач и касалась реализации положений федерального закона от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — Закон) в целом, включая обеспечение безопасности критической информационной инфраструктуры (далее — КИИ).

Первый день конференции прошёл под знаком регуляторов: пленарное заседание вызвало такой интерес, что в зале Конгресс-парка гостиницы «Рэдиссон Ройал Москва», где проводился «SOC-Форум 2018», были заполнены не только сидячие места, но и проходы. Много участников было и на мероприятиях с участием регуляторов (таких было два: секция «Практика реализации положений 187-ФЗ и его подзаконных актов» и сессия ответов на вопросы из зала «Диалог с Регулятором»).

Наша заметка — не первая, посвящённая форуму (см., например, https://ics-cert.kaspersky.ru/away?url=https%3A%2F%2Fplutsik.blogspot.com%2F2018%2F12%2Fsoc-2018.html), поэтому ниже укажем то, что не попало в опубликованные обзоры, но представляет определённый интерес и может быть полезным при планировании и проведении работ по категорированию и защите КИИ, а также созданию системы ГосСОПКА.

На основании данных ФСТЭК России, приведённых в докладе Торбенко Е. Б. на «SOC-Форуме 2018» и в выступлении Кубарева А. В. на конференции «Информационная безопасность финансовой сферы» двумя месяцами ранее можно отследить динамику хода категорирования объектов КИИ (см. таблицу 1 ниже).

Время Субъекты КИИ Объекты КИИ Значимые объекты КИИ
Сентябрь 482 20524
Ноябрь 660 более 25000 более 60
прирост: 36,9% почти 21,8% более 60

Таблица 1. Статистика ФСТЭК России по категорированию КИИ.

Как видно из приведённых цифр, работы по категорированию идут достаточно активно, количество участников процесса растёт. В своём выступлении заместитель директора ФСТЭК России Лютиков В. С. отметил, что лидерами данного процесса являются предприятия ТЭК, здравоохранение и оборонно-промышленный комплекс, в то время как связь, банки и кредитно-финансовая сфера заняли выжидательную позицию. В этом же выступлении прозвучала информация о том, что сроки завершения категорирования объектов КИИ будут отодвинуты (напомним, что на данный момент это — 1-е января 2019 года, см. выступление Кубарева А. В.), а срок определится в первом квартале 2019 года. Однако не стоит рассчитывать на то, что время на категорирование продлят надолго. Скорее всего, срок его завершения передвинется на второй, максимум — на третий квартал 2019 года, что будет закреплено нормативным документом существенно более высокого уровня, чем решение коллегии ФСТЭК России (наиболее вероятно, постановлением Правительства Российской Федерации).

При этом ФСТЭК России обозначила свою позицию максимального содействия субъектам КИИ в процессе документального оформления результатов категорирования контролируемой ими КИИ, в частности, нацеленность на решение максимального количества вопросов в рабочем порядке, онлайн и «по телефону», по возможности исключая бюрократическую составляющую (напомним, что основное контактное лицо — Кубарев Алексей Валентинович, начальник 5 отдела 2 управления ФСТЭК России ((499) 246-11-89; (967) 065-82-70; otd25@fstec.ru)).

Оба регулятора — и ФСБ, и ФСТЭК России — заявили, что они видят отсутствие в Законе, скажем так, побуждающей части (возможных санкций в случае его неисполнения или ненадлежащего исполнения), за исключением тяжёлых последствий, для которых предусмотрена статья 274.1 Уголовного кодекса Российской Федерации. Для устранения этой лакуны в следующем году ФСТЭК России постарается внести соответствующие дополнения в Кодекс административных правонарушений Российской Федерации в части защиты КИИ, а ФСБ России активно думает над вопросом введения ответственности за игнорирование работ по созданию системы ГосСОПКА.

Основной вывод, который можно сделать из докладов представителей ФСБ России и их ответов на вопросы в ходе соответствующей сессии — НКЦКИ работает и в 2018 году де-факто начал играть определённую для него Законом роль координатора деятельности по созданию и эксплуатации системы ГосСОПКА. Было отмечено, что «враг не дремлет», и информационная инфраструктура постоянно «прощупывается» на предмет наличия слабых мест. Данный процесс идёт далеко не первый год, именно поэтому в соответствии с Законом и указом Президента Российской Федерации от 22.12.2017 г. № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» соответствующие задачи должны решаться во всём информационном пространстве нашей страны.

Далее — немного статистики, иллюстрирующей деятельность НКЦКИ на данный момент:

  • к НКЦКИ ппорядка 15500 объектов КИИ различной ведомственной принадлежности;
  • ведётся сотрудничество с 18 центрами ГосСОПКА;
  • с начала 2018 года было зарегистрировано около 700 обращений в НКЦКИ, 300 раз было оказано практическое содействие.

Другими словами, НКЦКИ оказывает реальное практическое содействие обращающимся туда по существу (с конкретной проблемой). Если соответствующая проблема «знакома», то НКЦКИ предоставляет методическую помощь по её преодолению на основании имеющегося опыта, если такая проблема зафиксирована впервые, то с ней начинают разбираться в рамках имеющихся полномочий, административных и технических возможностей.

В целом, хочется отметить креативность, проявленную сотрудниками НКЦКИ, которые на своём стенде раздавали всем желающим «корпоративные» блокноты, которые содержат справочную и полезную информацию по взаимодействию с системой ГосСОПКА. К сожалению, «пока верстался номер», нас с идеей предъявить читателям содержимое блокнота НКЦКИ опередило более «бойкое перо» — Валерий Комаров, автор блога «Рупор бумажной безопасности». Поэтому мы приводим соответствующую ссылку, хотя в заметке используем собственные фото «своего» экземпляра блокнота.

Обложка блокнота НКЦКИ

Полезная информация в блокноте

В заключении укажем, что «SOC-Форум 2018» был очень полезен для всех участников процесса реализации Закона, соответствующие работы ведутся достаточно динамично, регуляторы видят основные проблемы и сложности, настроены на их оперативное решение, а также на плотное и неформальное сотрудничество.

Удачи!

Авторы
  • Дмитрий Сатанин

    Руководитель направления по работе с государственными органами РФ и СНГ, Kaspersky ICS CERT