Когда мы говорим об особенностях мониторинга инцидентов безопасности, первым делом необходимо понять, является организация субъектом КИИ или нет, а затем уже определять, как организовывать мониторинг.
Главные особенности мониторинга в КИИ – режим, а именно время реагирования на инцидент, необходимость проведения периодических мероприятий и взаимодействие с ГосСОПКА.
Мониторинг инцидентов в организациях, не являющихся субъектами КИИ
Допустим, минфин субъекта РФ не попадает ни в одну из 14 сфер по 187-ФЗ, а значит, не относится к критической инфраструктуре.
В таких организациях процесс мониторинга можно организовывать не так строго, как на объектах КИИ. Как минимум в части реагирования – его обычно определяют совместно с клиентом и фиксируют в договоре.
Что касается коммерческих организаций, тут клиент, как правило, самостоятельно формирует собственные требования и выставляет их центру мониторинга. Время реагирования может варьировать от 20 минут до 24 часов.
Что происходит, когда нет требований по реагированию?
Например, произошел инцидент в 2 ночи, центр мониторинга направляет в организацию уведомление. Но специалисты в контролируемой организации увидят его в лучшем случае в 8-9 утра. А если приоритета на реагирование нет либо есть более срочные задачи, то меры могут быть приняты и вовсе на следующий день.
Обратимся к законодательству. В 17 приказе ФСТЭК можно найти отсылки на необходимость сбора информации о событиях, а также реагирования на инциденты для организаций, не относящихся к КИИ. Однако к непрерывному процессу мониторинга жестких требований нет.
Противоречие?
На самом деле, никакого противоречия в законодательстве нет. Чтобы эффективно реагировать на инциденты, необходимо правильно организовать работу по выявлению событий и их анализу. А каким образом это делать, законодатели оставляют на усмотрение самой организации.
Выстраивать работу можно разными способами, но результативнее всего с помощью подключения к центру мониторинга. Если придет проверяющий орган, принятая мера по мониторингу – безусловное доказательство выполнения требований законодательства.
Мониторинг на объектах КИИ. Периодические мероприятия и режим работы центров мониторинга
Теперь рассмотрим мониторинг на объектах КИИ, например, в Медицинском информационно-аналитическом центре (МИАЦ). МИАЦ имеет 1 категорию значимости, значит, это значимый объект КИИ. И к нему уже применяются законодательные требования по мониторингу и реагированию на инциденты безопасности, которые прописаны в 239 приказе ФСТЭК.
Кроме самого мониторинга инцидентов, такая организация обязана проводить периодические мероприятия – инвентаризацию, анализ уязвимостей и тестирование на проникновение. Обычно они входят в базовый функционал всех центров мониторинга.
Периодичность, как правило, обозначается во внутренних документах организации, либо организация может положиться на опыт и экспертизу центра мониторинга и проводить мероприятия согласно его рекомендациям. Например, анализ уязвимостей – раз в квартал, тестирование на проникновение – раз в год.
Отличается и время реагирования на инциденты на объектах КИИ.
Для незначимого объекта КИИ в соответствии с 386 приказом ФСБ время реагирования составляет 24 часа с момента обнаружения инцидента.
Но есть небольшая тонкость. Если инцидент реально произошел какое-то время назад, например неделю или даже месяц, самое важное в течение 24 часов от момента его обнаружения сообщить, что нашли такой-то инцидент. При этом оператор несет полную ответственность за последствия этого инцидента.
Таким образом, если инцидент выявлен в пятницу вечером, то до вечера субботы необходимо направить уведомление в организацию.
Для значимого объекта (282 приказ ФСБ) сроки еще более жесткие – 3 часа на реагирование. Например, при выявлении инцидента в 2 часа ночи SOC-специалисты должны уведомить клиента до 5 утра.
Мониторинг на объектах КИИ. Взаимодействие с ГосСОПКА
Третья особенность работы на объектах КИИ касается взаимодействия с ГосСОПКА, которая призвана формированию базы инцидентов НКЦКИ с целью принятия соответствующих решений по инцидентам, а также содействию в расследовании.
Таким образом, при получении уведомления о произошедшем инциденте клиент должен направить почтой уведомление в НКЦКИ по соответствующей форме.
Однако опыт показывает, что клиент чаще всего не хочет или не знает, как взаимодействовать с ГосСОПКА. Поэтому центры мониторинга в качестве дополнительной услуги организовывают это взаимодействие, передавая самостоятельно сведения о выявленном инциденте по строго установленной форме. Сроки уведомления НКЦКИ те же: 24 часа с момента обнаружения инцидента для незначимого объекта КИИ и 3 часа – для значимого.
В НКЦКИ инциденту присваивается регистрационный номер. Далее все работы ведутся в рамках этого инцидента.
Резюмируя, можно отметить, что к мониторингу инцидентов безопасности на объектах критической информационной инфраструктуры предъявляется более высокий уровень требований и контроля со стороны регулирующих органов.
