24.3.15

СОПИЛКА? СОПИПКА? Нет, СОПКА!

Когда недавно многие издания разразились статьями на тему "ФСБ займется хакерами" я стойко пытался промолчать, не желая влезать в эту тему, но... не удержался :-) Поводом для статей послужила публикация выписки из Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, которая была утверждена Президентом Российской Федерации 12 декабря 2014 г. (на сайте ФСБ и на сайте Совета Безопасности).

На заднем плане сопки Кольского полуострова (снимал в 2008-м году)
Почему-то данный документ, датированный концом 2014-го года, преподносят как нечто совершенно новое и ранее неизвестное. А с чего вдруг? Если мы посмотрим на "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации", то увидим, что уже там говорится о "силах обнаружения и предупреждения компьютерных атак - уполномоченных подразделениях федерального органа исполнительной власти в области обеспечения безопасности, федеральных органов исполнительной власти, осуществляющих деятельность в области обеспечения безопасности, государственного надзора и контроля, управления деятельностью критически важных объектов и иных элементов критической информационной инфраструктуры, а также физические лица и специально выделенные сотрудники организаций, осуществляющих эксплуатацию автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры на правах собственности либо на иных законных основаниях, принимающие участие в обнаружении и предупреждении компьютерных атак на критическую информационную инфраструктуру, мониторинге уровня ее реальной защищенности и ликвидации последствий компьютерных инцидентов на основании законодательства Российской Федерации". А ведь это 2012-й год!

Спустя полгода упоминание СОПКА мы находим в Указе Президента №31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ". А еще про нее говорит законопроект "О безопасности критических информационных инфраструктур". О самой системе специалистам было известно еще раньше, до 2012-го года уж точно. Хотя публично ФСБ о ней заявила (по крайней мере мне известно только об одном случае) только в Магнитогорске, на форуме "Информационная безопасность банков" (доклад делал представитель ФСБ). И тут журналисты открывают Америку :-)

Меня в данном документе СовБеза удивляет немного иное. Почему документ появляется спустя два года с момента принятия Указа 31с? По идее столь концептуальный документ должен был появиться если не одновременно с 31-м указом, то уж точно недалеко от него по времени. Но нет... Спустя два года. А ведь согласно Указу Президента, ФСБ обязана была разработать и более детальные требования, а именно:
  • методику обнаружения компьютерных атак на информационные системы и информационно-телекоммуникационные сети государственных органов и по согласованию с их владельцами - на иные информационные системы и информационно-телекоммуникационные сети
  • порядок обмена информацией между федеральными органами исполнительной власти о компьютерных инцидентах, связанных с функционированием информационных ресурсов Российской Федерации
  • методические рекомендации по организации защиты критической информационной инфраструктуры Российской Федерации от компьютерных атак
  • порядок обмена информацией между федеральными органами исполнительной власти и уполномоченными органами иностранных государств (международными организациями) о компьютерных инцидентах, связанных с функционированием информационных ресурсов.
И где? Если они еще будут разрабатываться, то как-то уж очень небыстро. А если они входят в закрытую часть концепции, то это уж совсем нелогично. А ведь согласно выписке из концепции должен быть разработан еще ряд документов (помимо уже упомянутых два года назад и до сих пор не разработанных):
  • порядок осуществления деятельности субъектов СОПКИ в области обнаружения, предупреждения и ликвидации последствий компьютерных атак
  • порядок и периодичность проведения мероприятий по оценке степени защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак.

Такая "оперативность" по выпуску основополагающих документов лично меня смущает. Я мог бы объяснить это традиционной секретностью, так привычной 8-му Центру. Но документов реально еще нет. И если бы СОПКА была сугубо внутренним делом 8-го Центра, то и пусть с ним. Но ведь данная система должна внедряться на широком круге объектов - государственных и критически важных. И тут без нормальной методологической базы не обойтись - не та тема.

Очень уж похожа ситуация на принятие 378-го приказа ФСБ по защите персональных данных. О нем впервые заговорили еще в 2011-м году, задолго до появления 21-го приказа ФСТЭК. Но вышел он спустя 3 (!) года с момента появления первого проекта. При этом суть приказа мало чем отличается от первой редакции. Но если с 378-м приказом такая скорость нормотворчества была только на руку многим операторам, то в контексте обнаружения атак действовать надо гораздо оперативнее. А вот с этим у 8-го Центра явно некоторые проблемы.

ЗЫ. Главное, чтобы такой опыт "оперативности" (во всех смыслах) не распространился и на FinCERT, который, как мы услышали в Магнитогорске, будет очень тесно завязан с СОПКОЙ и на техническом и на организационном уровне.

ЗЗЫ. Не удержался :-)