Какие обязанности у субъектов КИИ по взаимодействию с ГосСОПКА?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Если по-простому, взаимодействие с ГосСОПКА для субъекта КИИ – это «правило сообщать и сотрудничать»:
- сообщать в НКЦКИ (центр ГосСОПКА) о компьютерных инцидентах в установленные сроки и в нужном формате;
- передавать набор данных, который требуется регулятором (что произошло, где, когда, последствия и т. п.);
- помогать уполномоченным органам разбираться в инциденте и ликвидировать последствия;
- если вы ставите средства ГосСОПКА/реагирования – согласовать установку, затем уведомить о вводе, обеспечить их корректную и бесперебойную работу.

Что говорит законодательство

Базовые обязанности закреплены в 187-ФЗ:

• Субъект КИИ обязан незамедлительно информировать уполномоченный орган в части функционирования ГосСОПКА о компьютерных инцидентах; для банковской сферы и иных сфер финансового рынка – также Банк России (в установленном порядке).
• Субъект КИИ обязан оказывать содействие должностным лицам уполномоченного органа в обнаружении/предупреждении/ликвидации последствий компьютерных атак, а также в установлении причин и условий инцидентов.
• Если на объектах КИИ установлены средства обнаружения/предупреждения/ликвидации последствий атак и реагирования, субъект обязан обеспечивать выполнение порядка и технических условий их установки и эксплуатации, а также их сохранность.

Конкретные «как именно и в какие сроки» раскрывают приказы ФСБ (как органа, уполномоченного по ГосСОПКА и НКЦКИ):

Приказ ФСБ № 282 (инциденты, реагирование):

• Информация об инциденте, связанном с функционированием значимого объекта КИИ, направляется в НКЦКИ не позднее 3 часов с момента обнаружения; по иным объектам КИИ – не позднее 24 часов.
• Для значимых объектов также предусматривается разработка плана реагирования (в т. ч. в срок до 90 календарных дней после включения объекта в реестр), и ряд организационных требований (учения и т. п.).

Приказ ФСБ № 367 (перечень и порядок представления информации в ГосСОПКА):

• Устанавливает перечень передаваемой информации (включая сведения о компьютерных инцидентах и их параметрах).
• Информация об инциденте (по п. 5 перечня) направляется субъектом КИИ в НКЦКИ не позднее 24 часов с момента обнаружения.

Приказ ФСБ № 281 (установка/эксплуатация средств ГосСОПКА):

• Для согласования установки средств субъект КИИ направляет сведения в ФСБ не позднее чем за 45 календарных дней до планируемой установки.
• После ввода средств в эксплуатацию субъект КИИ информирует НКЦКИ в течение 5 календарных дней, а также обеспечивает круглосуточную и бесперебойную работу средств для непрерывного взаимодействия с ГосСОПКА.

Дополнительно сам 187-ФЗ описывает, что в ГосСОПКА осуществляется сбор/анализ информации, а уполномоченный орган организует обмен информацией о компьютерных инцидентах между субъектами КИИ (в установленном порядке).

Как это работает на практике

В реальной компании взаимодействие с ГосСОПКА обычно выглядит как процесс, а не «разовая отправка письма»:

1. Назначают ответственных и точки контакта 24/7 (дежурная смена/диспетчер/ИБ-специалист), чтобы уложиться в 3 часа для значимых объектов и 24 часа для прочих.
2. Определяют, что считать компьютерным инцидентом для КИИ, и вводят внутреннюю классификацию (критичность, затронутые сервисы, масштаб, последствия).
3. Настраивают канал взаимодействия с НКЦКИ:
   • через техническую инфраструктуру НКЦКИ (если подключены),
   • либо по резервным каналам, если подключение отсутствует (это прямо допускается в порядке).
4. Готовят “карточку инцидента” под требования перечня: место/время, затронутый объект, техпараметры, возможная связь с атакой, последствия и т. д. (чтобы отправка в НКЦКИ не превращалась в «сбор по кускам»).
5. Если есть значимые объекты – отдельно выстраивают процедуру реагирования по плану, проводят учения (минимум раз в год), фиксируют результаты и соблюдают сроки информирования о результатах мероприятий.
6. Если планируется установка средств обнаружения/реагирования – заранее закладывают время на согласование (45 дней), ввод, а затем уведомление НКЦКИ (5 дней) и организацию бесперебойной работы.

Выводы и рекомендации

Обязанности субъекта КИИ по ГосСОПКА – это оперативно сообщать об инцидентах в НКЦКИ по установленным срокам и форматам, передавать требуемые сведения по перечню, содействовать уполномоченным органам, и при использовании средств – согласовывать установку и обеспечивать эксплуатацию/доступность.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге