Особенности мониторинга на объектах КИИ

Особенности мониторинга на объектах КИИ

Когда мы говорим об особенностях мониторинга инцидентов безопасности, первым делом необходимо понять, является организация субъектом КИИ или нет, а затем уже определять, как организовывать мониторинг.

Главные особенности мониторинга в КИИ – режим, а именно время реагирования на инцидент, необходимость проведения периодических мероприятий и взаимодействие с ГосСОПКА.

Мониторинг инцидентов в организациях, не являющихся субъектами КИИ

Допустим, минфин субъекта РФ не попадает ни в одну из 14 сфер по 187-ФЗ, а значит, не относится к критической инфраструктуре.

В таких организациях процесс мониторинга можно организовывать не так строго, как на объектах КИИ. Как минимум в части реагирования – его обычно определяют совместно с клиентом и фиксируют в договоре.

Что касается коммерческих организаций, тут клиент, как правило, самостоятельно формирует собственные требования и выставляет их центру мониторинга. Время реагирования может варьировать от 20 минут до 24 часов.

Что происходит, когда нет требований по реагированию?

Например, произошел инцидент в 2 ночи, центр мониторинга направляет в организацию уведомление. Но специалисты в контролируемой организации увидят его в лучшем случае в 8-9 утра. А если приоритета на реагирование нет либо есть более срочные задачи, то меры могут быть приняты и вовсе на следующий день.

Обратимся к законодательству. В 17 приказе ФСТЭК можно найти отсылки на необходимость сбора информации о событиях, а также реагирования на инциденты для организаций, не относящихся к КИИ. Однако к непрерывному процессу мониторинга жестких требований нет.

Противоречие?

На самом деле, никакого противоречия в законодательстве нет. Чтобы эффективно реагировать на инциденты, необходимо правильно организовать работу по выявлению событий и их анализу. А каким образом это делать, законодатели оставляют на усмотрение самой организации.

Выстраивать работу можно разными способами, но результативнее всего с помощью подключения к центру мониторинга. Если придет проверяющий орган, принятая мера по мониторингу – безусловное доказательство выполнения требований законодательства.

Мониторинг на объектах КИИ. Периодические мероприятия и режим работы центров мониторинга

Теперь рассмотрим мониторинг на объектах КИИ, например, в Медицинском информационно-аналитическом центре (МИАЦ). МИАЦ имеет 1 категорию значимости, значит, это значимый объект КИИ. И к нему уже применяются законодательные требования по мониторингу и реагированию на инциденты безопасности, которые прописаны в 239 приказе ФСТЭК.

Кроме самого мониторинга инцидентов, такая организация обязана проводить периодические мероприятия – инвентаризацию, анализ уязвимостей и тестирование на проникновение. Обычно они входят в базовый функционал всех центров мониторинга.

Периодичность, как правило, обозначается во внутренних документах организации, либо организация может положиться на опыт и экспертизу центра мониторинга и проводить мероприятия согласно его рекомендациям. Например, анализ уязвимостей – раз в квартал, тестирование на проникновение – раз в год.

Отличается и время реагирования на инциденты на объектах КИИ.

Для незначимого объекта КИИ в соответствии с 386 приказом ФСБ время реагирования составляет 24 часа с момента обнаружения инцидента.

Но есть небольшая тонкость. Если инцидент реально произошел какое-то время назад, например неделю или даже месяц, самое важное в течение 24 часов от момента его обнаружения сообщить, что нашли такой-то инцидент. При этом оператор несет полную ответственность за последствия этого инцидента.

Таким образом, если инцидент выявлен в пятницу вечером, то до вечера субботы необходимо направить уведомление в организацию.

Для значимого объекта (282 приказ ФСБ) сроки еще более жесткие – 3 часа на реагирование. Например, при выявлении инцидента в 2 часа ночи SOC-специалисты должны уведомить клиента до 5 утра.

Мониторинг на объектах КИИ. Взаимодействие с ГосСОПКА

Третья особенность работы на объектах КИИ касается взаимодействия с ГосСОПКА, которая призвана формированию базы инцидентов НКЦКИ с целью принятия соответствующих решений по инцидентам, а также содействию в расследовании.

Таким образом, при получении уведомления о произошедшем инциденте клиент должен направить почтой уведомление в НКЦКИ по соответствующей форме.

Однако опыт показывает, что клиент чаще всего не хочет или не знает, как взаимодействовать с ГосСОПКА. Поэтому центры мониторинга в качестве дополнительной услуги организовывают это взаимодействие, передавая самостоятельно сведения о выявленном инциденте по строго установленной форме. Сроки уведомления НКЦКИ те же: 24 часа с момента обнаружения инцидента для незначимого объекта КИИ и 3 часа – для значимого.

В НКЦКИ инциденту присваивается регистрационный номер. Далее все работы ведутся в рамках этого инцидента.

Резюмируя, можно отметить, что к мониторингу инцидентов безопасности на объектах критической информационной инфраструктуры предъявляется более высокий уровень требований и контроля со стороны регулирующих органов.

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии