Часто сталкиваюсь в процессе общения (личном и в интернете) с представителями различных организаций- потенциальными субъектами КИИ по теме реагирования на компьютерные атаки с тем, что существует непонимание роли ФСБ и ФСТЭК в повышение защищенности объектов КИИ.
Для пояснения своей позиции приведу медицинский пример: существует инфекционная болезнь (компьютерная атака), которая может погубить человека (объект КИИ). Человек контактирует с внешней средой посредством слизистых, при способах передачи болезни -контактный, воздушно-капельный, половой пути распространения (это подключения к внешним сетям объекта КИИ), а могут через кровь или желудочно-кишечный тракт (компьютерная атака изнутри на объект КИИ). У человека могут быть обширные раны, ожоги, пониженный иммунитет (Компьютерная атака реализуется через уязвимости). У человека может быть все хорошо, но появилась новая бацилла, на которую не реагирует иммунитет (0-day уязвимости). И в обычной жизни человеку достаточно общения с терапевтом. Считается, что при выполнении мер гигиены (использования стандартных средств безопасности информации на объекте КИИ), профилактических осмотрах-диспансеризации (контроль уязвимостей на объекте КИИ), профилактической вакцинации (пентесты) - человек не заболеет (функционирование объекта КИИ не прекратится).
Вот ФСТЭК выполняет для субъекта КИИ ту же роль, что и терапевт для человека. ФСТЭК разработал приказы 235 и 239, выполнение которых субъектом КИИ, гарантированно в ШТАТНЫХ условиях обеспечивает безопасность функционирования объектов КИИ. Если посмотреть на перечень организационных мер в этих приказах, то легко заметить, что на реагирование субъекта КИИ на компьютерные инциденты уделено незначительное внимание. Гораздо важнее, с точки зрения ФСТЭК, правильно и полно оценить угрозы для объекта КИИ, реализовать систему безопасности объекта КИИ для нейтрализации актуальных угроз. А произошедшие инциденты - это лишь повод для корректировки оценки угроз. Вполне здравый подход.
В компьютерном мире, так же как и в человеческом происходят неординарные события, когда привычные меры безопасности не помогают и возникают эпидемии. Врачи общей практики здесь бессильны помочь и наступает очередь совсем других специалистов. Это НЕШТАТНЫЕ ситуации.
Сравним функциональные обязанности эпидемиолога и ГосСОПКи:
Анализ эпидемиологической ситуации в отдельно взятом регионе, исследование очагов заражения, разработка мероприятий, направленных на подавление эпидемии и их профилактику в дальнейшем.
и
а ) выявление признаков проведения компьютерных атак, определение их источников, методов, способов и средств осуществления и направленности, а также разработка методов и средств обнаружения, предупреждения и ликвидации последствий компьютерных атак;
ж) сбор и анализ информации о компьютерных атаках и вызванных ими компьютерных инцидентах в отношении информационных ресурсов Российской Федерации, а также о компьютерных инцидентах в информационных системах и информационно-телекоммуникационных сетях других стран, с которыми взаимодействуют владельцы информационных ресурсов Российской Федерации;
з) осуществление мероприятий по оперативному реагированию на компьютерные атаки и вызванные ими компьютерные инциденты, а также по ликвидации последствий данных компьютерных инцидентов в информационных ресурсах Российской Федерации;
ФСБ выступает в роли эпидемиолога для КИИ. Заболевший человек не лечится эпидемиологом. Эпидемиолога интересует эффективность принимаемых карантинных и иных мер, выявление путей распространения заразы, разработка рекомендация для врачей, выработка вакцин и лекарств.
Если посмотреть проекты приказов ФСБ по КИИ, то аналогия очень четко прослеживается.
ФСБ создает только НКЦКИ для взаимодействия с субъектами КИИ. А это только сбор первичной информации о компьютерных атаках. Никаких центров ГосСОПКи не предусмотрено. Есть Регламент привлечения сил ФСБ для ликвидации последствий компьютерных атак, но надо понимать, что речь идет про привлечение территориальных органов ФСБ. Задачей которых будет получение юридически значимых доказательств в рамках следственных действий по поиску и наказанию лиц, совершивших компьютерную атаку. Или работников самого субъекта КИИ за нарушение правил эксплуатации. Так же, НКЦКИ уведомит ФСТЭК об успешной компьютерной атаке, что бы те проверили на месте:
- мер безопасности из 235 и 239 достаточно и инцидент произошел из-за недостаточного рвения субъекта КИИ;
- меры безопасности из 235 и 239 не помогли и их надо корректировать и дополнять.
Задача НКЦКИ - спасение других субъектов КИИ, которые еще не подверглись компьютерной атаки и выработка методических рекомендаций для дальнейшего ШТАТНОГО функционирования.
* Все новости блога на публичном Telegram-канале t.me/ruporsecurite
Комментариев нет:
Отправить комментарий