В день весны и труда 1 мая Президент РФ подписал ожидаемый указ №250 «О дополнительных мерах по обеспечению ИБ РФ», в котором для повышения устойчивости и безопасности функционирования информационных ресурсов Российской Федерации было фактически сильно расширено применение государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА). До недавнего времени подключение к ней было обязательно только для владельцев значимых объектов КИИ, а текущий указ обязывает организовать такое взаимодействие всем «федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов РФ, государственным фондам, государственным корпорациям, компаниям и иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющихся субъектами критической информационной инфраструктуры РФ», а не только владельцам ЗОКИИ.
Ускорение критезации инфраструктуры
Когда закон №187-ФЗ «О безопасности КИИ РФ» был принят и начал внедряться на предприятиях все эксперты по ИБ предупреждали, что правительство будет постепенно усиливать «необходимость» его внедрения: вначале меры рекомендательные, затем обязательные только для государственных компаний, затем — для тех кто работает с государственными, затем сократит сроки приведения в соответствие и так далее до тех пор, пока все владельцы КИИ так или иначе не реализуют требования по защите. Однако сейчас, видимо, скорость такого усиления не устраивает руководство НКЦКИ, и даже принятие законодательных поправок через Госдуму — для них слишком медленный процесс, поэтому и решили пойти наиболее быстрым путем — через указы Президента, которые могут перекрывать юридическую силу даже федерального закона.
Указ перескакивает сразу несколько ступеней усиления критичности объектов информатизации — и в этом его революционность. В частности он расширяет сферу применения ГосСОПКА на ФОИВы, государственные фонды, стратегические предприятия и другие организации, перечисленные выше. НКЦКИ всегда приглашал присоединяться к построенной им системе не только владельцев ЗОКИИ, но и всех нуждающихся в защите, и теперь, по мнению Президента РФ, список таких организаций нужно сильно расширить. Однако, важно, чтобы в подключаемых компаниях работали всё-таки специалисты, которые смогут адекватно отреагировать на предупреждения НКЦКИ. Именно поэтому в указе есть следующие требования: возложить на заместителя руководителя организации полномочия по обеспечению ИБ; создать в организации структурное подразделение, осуществляющее функции по обеспечению ИБ (это и есть служба ИБ — СИБ) или назначить из существующих; принимать в случае необходимости решения о привлечении внешних организаций к осуществлению мероприятий по обеспечению ИБ (аутсорсинг); и обеспечивать незамедлительную реализацию организационных и технических мер, решения о необходимости осуществления которых принимаются ФСБ России и ФСТЭК России.
Интересным пунктом является требование «обеспечивать должностным лицам органов ФСБ беспрепятственный доступ (в том числе удаленный) к принадлежащим организациям либо используемым ими информационным ресурсам, доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети «Интернет», в целях осуществления мониторинга». Алексей Лукацкий в своем блоге отметил, что «боятся этого не стоит — это просто формулировка. Она существовала и в законодательстве по КИИ и всего лишь означала, что если у вас произойдет инцидент ИБ и к вам придет разбираться и проводить расследование ФСБ, то чинить препятствие им вы не имеете права. Сейчас, правда, добавили еще про удаленный доступ, но тут пока сложно что-то сказать». В общем, организациям стоит предусмотреть собственную систему мониторинга системы государственного мониторинга, чтобы чего не вышло. Но появление этого требования было, в принципе, предсказуемо.
Недосказанности
Стоит отметить, что в самом указе нет ответственности за его несоблюдение, кроме фразы «возложить на руководителей органов персональную ответственность за обеспечение ИБ соответствующих организаций». Скорее всего, ответственность будет в рамках изменений в КоАП и УК, которые были внесены ранее за несоблюдение требований к безопасности КИИ — штрафы и уголовная ответственность. Но для юристов здесь есть хорошее пространство для того, чтобы показать свою компетентность в крючкотворстве.
Аналогичная проблема и с проверками — если в текущей версии закона №187-ФЗ предполагаются проверки Прокуратуры, то в указе процедура проверки не предусмотрена. Предполагается, что Правительство РФ за месяц должно сформировать перечень ключевых организаций, которые должны пройти “мероприятия по оценке уровня защищенности своих информационных систем” до 1 июля этого года и по их результатам сделать доклад в Правительство. Что будет с предприятиями из этого “расстрельного списка”, которые не отчитаются о завершении мероприятий — непонятно.
Но и даже одно дело “оценка уровня защищенности”, и другие дело “обеспечение информационной безопасности” — для первого срок определен, а для второго — нет. Это и понятно, поскольку большая часть организаций — государственные, а в их бюджетах не предусмотрено средств для исполнения данного указа. Поэтому для его реализации нужно пройти как минимум один цикл бюджетирования, проведения тендеров и всего того, что связано с контролем расходования бюджетных средств. А это процесс не быстрый.
Также не совсем очевидна необходимость построения системы управления информационной безопасностью (СУИБ). Если в законодательстве о КИИ ее построение предусмотрено на уровне приказа ФСТЭК №235, то текущий указ обтекаемо требует только “обеспечивать незамедлительную реализацию организационных и технических мер, решения о необходимости осуществления которых принимаются ФСБ РФ и ФСТЭК РФ”. Но распространяется ли требование приказа №235, который разработан в рамках законодательства КИИ, на организации, которые подпадают под действие указа №250, не совсем понятно. В результате, требование по созданию “средств обеспечения безопасности” (СУИБ) может не распространяться на новых членов “содружества КИИ”.
Аккредитация центров ГосСОПКА
Собственно, наиболее удобный способ быстро выполнить требования данного указа — воспользоваться услугами коммерческих SOC. Это, как уже было выше сказано, вполне предусмотрено существующим указом — не строить свою СУИБ, но арендовать уже готовую. До недавнего времени существовали SOC, которые взаимодействовали с ГосСОПКА в соответствии с соглашениями о сотрудничестве. В новом же указе от ФСБ потребовали ограничить срок действия этих соглашений и организовать официальную аккредитацию центров ГосСОПКА. Но для этого правила аккредитации ещё нужно разработать и утвердить отдельным приказом. Однако в указе не перечислено даже принципов подобной аккредитации, что подозрительно.
Следует отметить, что сейчас “Ростелеком” уже сформировать целую систему государственных центров реагирования на компьютерные инциденты в регионах. Скорее всего, именно к ним и будут подключаться региональные организации, которые перечислены в указе. Кроме того, аккредитацию с большой долей вероятности пройдет еще пару-тройку коммерческих SOC. Для них этот указ — способ расширения рынка потенциальных клиентов. А вот небольшие центры реагирования, скорее всего, погрязнут в бумажной работе — доказательствах своих компетенций и лояльности государству. В общем порядок аккредитации — один из ожидаемых приказов ФСБ с 1 мая этого года.
Кроме того, в указе №250 Президент РФ потребовал от ФСБ разработать порядок осуществления мониторинга защищенности информационных ресурсов. Возможно, речь идет о процедуре аккредитации объектов в соответствии с разработанными НКЦКИ требованиями, но не исключен вариант создания на базе НКЦКИ государственного сканера уязвимостей, который дистанционно будет проверять защищенность информационных систем организаций, перечисленных в указе. Это станет понятно после разработки и принятия перечисленных правил. И скорее всего, именно этот порядок должен использоваться при оценке защищенности “ключевых организаций”, реестр которых должно составить Правительства РФ. А ведь для этой процедуры установлен фиксированный срок — до 1 июля. В целом же можно отметить, что указ очень усилил позиции НКЦКИ по формированию системы защиты российских предприятий и роль ГосСОПКА в защите всей государственной инфраструктуры.
