| Рубрикатор |  |
 |
Реклама
| Блоги |  |
Алексей ЛУКАЦКИЙ | |
|
Почему коммерческие SOCи не имеют права работать с ГосСОПКОЙ
| 31 августа 2017 |
|
Наверное все слышали и видели, как на мероприятиях по центрам
мониторинга ИБ, различные коммерческие SOCи активно эксплуатируют тему
ГосСОПКИ, называя себя корпоративными ее центрами, которые с
удовольствием возьмут на себя функцию мониторинга ИБ критических
информационных инфраструктур. Такое желание вполне понятно - создан
совершенно новый сегмент рынка ИБ, который с 1-го января 2018-го года
будет развиваться семимильными шагами. Однако надо заметить, что
оптимизм таких коммерческих SOCов, почему-то называющих себя
корпоративными центрами ГосСОПКА, не совсем правомерен. И вина тут в
том, что авторы закона "О безопасности критической информационной
инфраструктуры", в пылу страсти посчитали себя умнее всех и не
прислушались к мнению экспертов. И вот что получилось...
В ст.5 закона о БКИИ, посвященной ГосСОПКЕ говорится о том, что сия очень важная (без сарказма) национальная система обнаружения атак, представляет собой силы и средства... Средства мы пока оставим за рамками (хотя там тоже очень много интересного), а вот про силы сейчас и поговорим. Согласно той же статье к силам относятся:
Но и это еще не все. В ст.5.5 говорится о том, что ГосСОПКА осуществляет накопление информации, которая поступает от средств ГосСОПКИ, а также от иных органов и организаций, не являющимися субъектами КИИ. Тут, вроде, все нормально. Коммерческие SOCи, а также компании, предоставляющие услуги Threat Intelligence, вполне имеют право делиться своими данными с ГосСОПКОЙ, но... передача эта односторонняя - только в сторону ГоСОПКИ. А все потому, что согласно ст.5.6 закона о БКИИ НКЦКИ осуществляет обмен информации только между субъектами КИИ или между субъектами КИИ и иностранными органами и международными организациями, занимающимися реагированием на иниденты. Российских компаний в этом списке нет! То есть ни получать, ни передавать данные об инцидентах в КИИ коммерческие SOCи не могут :-(
В ст.5 закона о БКИИ, посвященной ГосСОПКЕ говорится о том, что сия очень важная (без сарказма) национальная система обнаружения атак, представляет собой силы и средства... Средства мы пока оставим за рамками (хотя там тоже очень много интересного), а вот про силы сейчас и поговорим. Согласно той же статье к силам относятся:
- подразделения и должностные лица ФСБ
- созданный национальный координационный центр по компьютерным инцидентам (НКЦКИ), часть людей из которого, недавно перешла в Positive Technologies
- подразделения и должностные лица субъектов КИИ.
Но и это еще не все. В ст.5.5 говорится о том, что ГосСОПКА осуществляет накопление информации, которая поступает от средств ГосСОПКИ, а также от иных органов и организаций, не являющимися субъектами КИИ. Тут, вроде, все нормально. Коммерческие SOCи, а также компании, предоставляющие услуги Threat Intelligence, вполне имеют право делиться своими данными с ГосСОПКОЙ, но... передача эта односторонняя - только в сторону ГоСОПКИ. А все потому, что согласно ст.5.6 закона о БКИИ НКЦКИ осуществляет обмен информации только между субъектами КИИ или между субъектами КИИ и иностранными органами и международными организациями, занимающимися реагированием на иниденты. Российских компаний в этом списке нет! То есть ни получать, ни передавать данные об инцидентах в КИИ коммерческие SOCи не могут :-(
Я вижу только одно исключение, когда описываемые мной предприятия могут
стать полноправными членами ГосСОПКИ, - они должны стать субъектами КИИ и
взять на себя все те обязанности, которые накладываются на субъектов.
Правда и тут нас поджидает очередной терминологический тупик. Вспомните
список тех, кто может называться субъектом КИИ. Там 13 отраслей и
организации, которые обеспечивают взаимодействие субъектов КИИ между
собой. К этой чертовой дюжине отраслей коммерческие SOCи не относятся.
Но и к последней, 14-й "отрасли" их отнести сложно, ведь они не
обеспечивают взаимодействие субъектов КИИ, а только обслуживание.
Вот такая засада :-( А все от того, что одни субъекты законотворческой деятельности посчитали себя умнее всех, а другие (те, кого затрагивают нормы закона о БКИИ) не посчитали нужным активно проявить свою позицию и объяснив авторам закона всю ошибочность написанного. В итоге получается, что субъекты КИИ, которые хотели бы передать мониторинг ИБ своей инфраструктуры профессиональным игрокам рынка, обеспечивающим свои функцию в режиме 24х7, сделать это не удасться - придется создавать собственные центры мониторинга (чего многие хотели бы избежать, не имея соответствующих ресурсов) или подключаться к ведомственным центрам ГосСОПКИ. Есть и третий сценарий - собраться коммерческим SOCам (через SOC Club, например, или на грядущем SOC Forum) и сообща пробить изменения в законодательстве :-)
Понимаю, что тема дискуссионная и поэтому приглашаю желающих подисскутировать на круглый стол "SOC vs SIEM", который я веду в рамках грядущей InfoSecurity Russia 21-го сентября с 14.00 до 16.00. В круглом столе согласились принять участие:
ЗЫ. Но это не последний тупик, который поджидает нас с законодательством
по безопасности КИИ. Их впереди еще много и я к ним еще вернусь.
Вот такая засада :-( А все от того, что одни субъекты законотворческой деятельности посчитали себя умнее всех, а другие (те, кого затрагивают нормы закона о БКИИ) не посчитали нужным активно проявить свою позицию и объяснив авторам закона всю ошибочность написанного. В итоге получается, что субъекты КИИ, которые хотели бы передать мониторинг ИБ своей инфраструктуры профессиональным игрокам рынка, обеспечивающим свои функцию в режиме 24х7, сделать это не удасться - придется создавать собственные центры мониторинга (чего многие хотели бы избежать, не имея соответствующих ресурсов) или подключаться к ведомственным центрам ГосСОПКИ. Есть и третий сценарий - собраться коммерческим SOCам (через SOC Club, например, или на грядущем SOC Forum) и сообща пробить изменения в законодательстве :-)
Понимаю, что тема дискуссионная и поэтому приглашаю желающих подисскутировать на круглый стол "SOC vs SIEM", который я веду в рамках грядущей InfoSecurity Russia 21-го сентября с 14.00 до 16.00. В круглом столе согласились принять участие:
- Мона Архипова, директор по безопасности, WayRay
- Александр Бабкин, начальник Ситуационного центра информационной безопасности Департамента защиты информации, Газпромбанк
- Александр Бодрик, заместитель генерального директора по развитию бизнеса, ANGARA Professional Assistance
- Александр Бондаренко, генеральный директор, R-Vision
- Алексей Качалин, исполнительный директор Центра Киберзащиты, Сбербанк
- Илья Шабанов, директор, Anti-malware.ru
ЗЗЫ. Кстати, по ссылке
вы можете найти презентацию и видеозапись с проведенного 21-го июля
вебинара ”Обзор нового законодательства по безопасности критической
инфраструктуры”, где я рассматриваю различные нюансы нового
регулирования.
Адрес: 105082, Россия, г. Москва, 2-й Ирининский пер, д. 3
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.