17 июля 2019 г. официально опубликован Приказ ФСБ России от 19.06.2019 № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации» (далее – Приказ). Приказ вступил в силу 28 июля 2019 г.
Приказ не распространяется на средства, предназначенные для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ (далее – средства ППКА). Средства ППКА применяются для операторов связи. Требования к порядку, техническим условиям установки и эксплуатации средств ППКА устанавливаются Минкомсвязь России. Приказ с данными требованиями все еще находится на стадии разработки: в 2017 году проект Приказа получил отрицательную оценку регулирующего воздействия и был повторно опубликован с изменениями в конце 2018 года.
Приказ ФСБ России №281 распространяется на средства обнаружения, предупреждения, ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее – средства).
Требования Приказа применимы ко всем субъектам КИИ, в том числе и к субъектам КИИ, функционирующим в банковской сфере и в иных сферах финансового рынка.
Субъекты КИИ могут приобретать, арендовать, устанавливать и обслуживать средства, но только при наличии согласия ФСБ России. Порядок согласования и описывает Приказ.
Субъекты КИИ обязаны предоставить не позднее чем за 45 календарных дней до даты планируемой установки средств в ФСБ России регламентированный Приказом пакет документов. Рассмотрение представленных сведений ФСБ России составляет не более 45 календарных дней.
Для субъектов КИИ, функционирующих в банковской сфере или в иных сферах финансового рынка, процедура согласования с ФСБ России аналогична. После согласования с ФСБ России упомянутые ранее субъекты КИИ обязаны предоставить весь пакет документов в течение не более 5 дней в Центральный банк России.
При изменении структурно-функциональной схемы подключения, состава или места установки средств необходимо пройти повторно процедуру согласования с надзорным органом. О любых изменениях в остальных данных, которые были направлены в ФСБ России на согласование, обязательно информировать надзорный орган в течении 5 календарных дней. Для субъектов КИИ из банковской сферы или иных сфер финансового рынка дополнительно обязательно информирование Банка России – также в течении 5 дней.
После приема в эксплуатацию средств субъект КИИ обязан информировать в течении 5 календарных дней об этом НКЦКИ (структурное подразделение ФСБ России). Дальнейший порядок доступа к средствам определяет и обеспечивает сам субъект КИИ. А для эксплуатации и технического обслуживания может быть привлечена подрядная организация, имеющая лицензию в области защиты информации. При этом субъект КИИ обязан при отключении электропитания обеспечить работу средств или их завершение работы с автоматическим оповещением ответственных за эксплуатацию лиц.
Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации» (далее – Приказ) также был опубликован 17 июля 2019 года. Приказ вступает в силу 28 июля 2019 г.
Исходя из названия Приказа, можно сделать вывод, что требования Приказа применимы только к субъектам КИИ, у которых есть значимые объекты КИИ, однако это не так. Информированием ФСБ России о компьютерных инцидентах является обязательным требованием ко всем субъектам КИИ. Требования же по реагированию и ликвидации устанавливаются для субъектов КИИ, которым принадлежат значимые объекты КИИ.
Информирование
Приказ определяет срок, в который субъект КИИ должен проинформировать НКЦКИ:
- не позднее 3 часов с момента обнаружения – для значимых объектов КИИ;
- не позднее 24 часов с момента обнаружения – для не значимых объектов КИИ.
Также в тексте Приказа учтены особенности взаимодействия субъектов КИИ, функционирующих в банковской сфере или иных сферах финансового рынка, с Банком России. Таким образом, согласно Приказу, упомянутые ранее субъекты КИИ для информирования надзорных органов о компьютерных инцидентах могут быть подключены к двум техническим инфраструктурам: к инфраструктуре НКЦКИ и (или) инфраструктуре Банка России.
Реагирование и ликвидация
После поступления уведомления о включении значимых объектов КИИ в реестр субъект КИИ в течении 90 дней разрабатывает план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (далее – План). При необходимости в План можно включить порядок привлечения к реагированию и ликвидации ФСБ России. В таком случае План необходимо разработать совместно с НКЦКИ и согласовать с ФСБ России.
Если субъект КИИ, функционирует в банковской сфере или иных сферах финансового рынка, то в План также должен быть включен порядок привлечения представителей Банка России. Такой План и любые его изменения согласовываются с Банком России.
Субъекты КИИ должны проводить на ежегодной основе тренировки по отработке Плана.
О результатах по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак не позднее 48 часов должен быть проинформирован НКЦКИ и для банковской сферы и сферы иных финансовых рынков Банк России.