[ad_1]
Алексею Комарову, и в целом согласен с его выводами. Но есть пара моментов, которые не могу не прокомментировать.
Обязанности, установленные нормативным документом, не стоит рассматривать в отрыве друг от друга — они взаимосвязаны. Вот произошел у вас на значимом объекте инцидент. Согласно букве закона этим инцидентом связаны три обязанности:
- вы обязаны об этом инциденте сообщить в НКЦКИ (статья 9 п. 3 ФЗ-187);
- вы обязаны на этот инцидент отреагировать в порядке, установленном ФСБ(там же, статья 9 п. 2);
- а для того, чтобы суметь все это проделать, вы еще раньше должны были создать систему защиты, соответствующую требованиям ФСТЭК.
Уже из этого видно, что информирование НКЦКИ об инциденте — сущая мелочь по сравнению с остальными двумя обязанностями, взаимосвязанными с этой. Смотрим дальше — вот упрощенная схема процесса «обнаружения и ликвидации последствий компьютерного инцидента» (кликабельно).
Итак, в подразделение ИБ поступила информация (от SIEM или от пользователей) о возможном инциденте. Эта информация перепроверяется, и если факт инцидента подтвержден, субъект информирует НКЦКИ. Дальше по обстановке:
- подразделение ИБ (или персонал объекта) может быть достаточно компетентным (или подобные инциденты уже могли достаточно часто случаться в прошлом), чтобы с инцидентом можно было справиться самостоятельно;
- необходимой компетенции может не быть, и тогда нужна «помощь зала».
Так или иначе, формируется определенный набор действий, которые признаются целесообразными для реагирования на инцидент. Этих действий может оказаться недостаточно, и тогда итерация повторяется снова и снова, пока с инцидентом не удастся справиться. В итоге с процессной точки зрения реагирование на инцидент — это процесс обмена сообщениями, в котором потенциально могут участвовать подразделения ИТ и ИБ, возможно — бизнес-подразделения и, в некоторых случаях, НКЦКИ.
Безусловно, такие сообщения можно передавать и голосом по телефону, и на бумаге, и по электронной почте, но опять есть несколько «но»:
- и при взаимодействии с НКЦКИ, и при взаимодействии между ИБ и ИТ (особенно в случае территориально удаленного объекта) вместе с таким сообщением может понадобиться передавать данные довольно большого (для электронной почты) объема (образцы файлов, записи трафика и т.п.);
- поскольку при реагировании иногда приходится выполнять болезненные операции, вроде остановки жизненно важных для организации сервисов, неплохо бы сохранять всю историю обмена сообщениями (вместе с сопутствующими им данными) для последующих разборок.
То есть, если есть значимый объект КИИ, то есть и потребность взаимодействовать, в том числе — и с НКЦКИ, в рамках реагирования на инцидент. Это взаимодействие не может быть голосовым — голосом бинарные данные не передашь. Передаваемые сообщения вряд ли могут быть чисто бумажным: отправка бумаги и носителей через экспедицию (или, Боже упаси, спецсвязью) удлиннит каждую итерацию обмена сообщениями на одну-две недели. И далеко не все готовы отправлять чувствительную информацию, связанную с инцидентом, обычной электронной почтой (особенно в инцидентах, связанных с взломом инфраструктуры, когда нарушитель, возможно, контролирует почтовую переписку).
В итоге уже у самого субъекта появляется потребность в защищенной системе обмена сообщениями (карточками инцидентов), интегрированной с инфраструктурой НКЦКИ. Ею будут пользоваться подразделения, участвующие в реагировании на инцидент, она же при необходимости будет использоваться для привлечения к инциденту НКЦКИ. И возможность использовать эту систему для информирования об инцидентах, становится всего лишь вишенкой на торте.
Обязан ли субъект непременно использовать подобную систему? Нет, не обязан. В далекие времена, когда нас в Позитиве работало человек сто, наше ИТ-подразделение прекрасно справлялось с координацией своей деятельности с помощью обычной электронной почты. Но, по мере роста компании и увеличения количества заявок, пришлось перейти на специализированный хелпдеск. Так же и здесь: потребность в формализации процесса реагирования на инциденты зависит от количества случаев, требующих скоординированных действий (то есть, прежде всего, от количества защищаемых информационных систем), и от территориальной распределенности субъекта.
Но в любом случае, в ответе на вопрос «использовать ли инфраструктуру НКЦКИ для информирования об инцидентах или обойтись подручными средствами» буква нормативных актов имеет второстепенное значение.
Второй момент, который меня резанул в отчете блогеров о встрече в ФСТЭК — фраза «у нас в стране всё теперь средства ГоСОПКА«. Не знаю, обсуждался ли на встрече контекст, в котором эта фраза была сказана изначально, но отчеты этот контекст не передают. Об этом — в следующий раз.
[ad_2]
Источник