ФСБ утвердила перечень данных для предоставления в ГосСОПКА и порядок обмена информацией о компьютерных инцидентах между субъектами КИИ

571

На официальном портале правовой информации опубликованы приказы Федеральной службы безопасности Российской Федерации от 24.07.2018 №367 об утверждении перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) и порядка представления информации в ГосСОПКА; а также №368 об утверждении порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации (КИИ), между субъектами КИИ РФ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и порядка получения субъектами КИИ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения.

Согласно приказу №367, в систему должна передаваться:

  • информация, содержащаяся в реестре значимых объектов критической информационной инфраструктуры Российской Федерации;
  • информация об отсутствии необходимости присвоения объекту КИИ одной из категорий значимости;
  • информация об исключении объекта КИИ из реестра значимых объектов критической информационной инфраструктуры, а также об изменении категории его значимости;
  • информация по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов КИИ о нарушении требований по обеспечению безопасности значимых объектов КИИ, в результате которого создаются предпосылки возникновения компьютерных инцидентов;
  • информация о компьютерных инцидентах, связанных с функционированием объектов КИИ (дата, время, местонахождение объекта КИИ, на котором произошел компьютерный инцидент; наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой; связь с другими компьютерными инцидентами (при наличии); состав технических параметров компьютерного инцидента; последствия компьютерного инцидента);
  • иная информация в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, предоставляемая субъектами КИИ и иными не являющимися субъектами КИИ органами и организациями, в том числе иностранными и международными.

Порядок устанавливает, что информация должна передаваться в ГосСОПКА через Национальный координационный центр по компьютерным инцидентам (НКЦКИ); описывает алгоритм, форматы и сроки передачи данных и т.д.

Согласно приказу №368, при проведении мероприятий по реагированию на компьютерные инциденты, связанные с функционированием объектов критической информационной инфраструктуры, субъекты КИИ осуществляют обмен информацией о таких инцидентах с другими субъектами КИИ в целях минимизации последствий компьютерных инцидентов и предотвращения компьютерных инцидентов на других объектах критической информационной инфраструктуры. Субъекты КИИ при этом вправе самостоятельно определять круг субъектов критической информационной инфраструктуры, с которыми осуществляется такой обмен.

Обмениваются информацией субъекты КИИ с помощью «взаимного направления уведомлений», в соответствии с форматами представления информации о компьютерных инцидентах в ГосСОПКА и составом технических параметров компьютерного инцидента, указываемых при представлении информации в ГосСОПКА, определенными НКЦКИ, а также запросов, уточняющих представляемую информацию. Субъекты КИИ должны информировать НКЦКИ о переданных уведомлениях. Обмен данными о компьютерных инцидентах с иностранными сторонами производится через НКЦКИ. В документе описываются сроки и нюансы подобных взаимодействий.

Как устанавливается документом, субъекты КИИ получают информацию о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения путем:

  • обращения к официальному сайту cert.gov.ru;
  • направления запросов в НКЦКИ с использованием технической инфраструктуры НКЦКИ, либо, при отсутствии подключения к ней, посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ;
  • направления обращений в ФСБ России;
  • направления запросов другим субъектам критической информационной инфраструктуры, иностранным (международным) организациям, если такой запрос не содержит сведений о компьютерных инцидентах, связанных с функционированием объектов критической информационной инфраструктуры.

Напомним, опубликованные документы являются подзаконными актами к закону от 26 июля 2017 г. №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».