Банк России разработал методические рекомендации по передаче кредитными организациями данных в МВД и ФСБ после инцидентов с КИИ. Также он обозначил систему ФинЦЕРТ как инструмент взаимодействия финансовых учреждений с ФСБ. Им стал полностью понятен процесс информирования, но он все равно будет сопряжен со сложностями. Виной тому — внутренние корпоративные регламенты.
Из всех отраслей российской экономики самое требовательное законодательное регулирование в сфере информационной безопасности имеет финансовый сектор. В последнее время для него стало еще больше предпосылок: количество атак выросло до максимума, контроль со стороны регуляторов усилился, позднее информирование об инцидентах теперь означает санкции.
ИБ-специалистам жизненно важно максимально оперативно предоставлять необходимую информацию нескольким регуляторам, ведь им необходимо сразу выполнять требования законодательства в области персональных данных, защиты критической инфраструктуры и безопасности финансовой информации.
Чтобы упростить работу ИБ-специалистов, в конце октября Центробанк разработал методические рекомендации №15 (МР №15) с подробным разъяснением процесса передачи данных кредитными организациями МВД и ФСБ после инцидентов с объектами критической информационной инфраструктуры.
Также в этом документе ЦБ обратил внимание, что цель информирования ими МВД и ФСБ заключается в процессуальных решениях в отношении злоумышленников. В методических рекомендациях №14 (МР №14) ЦБ обозначил, что финансовые — кредитные и некредитные — организации могут передавать данные ФСБ при помощи Автоматизированной системы обработки инцидентов ФинЦЕРТ ЦБ (АСОИ ФинЦЕРТ).
В ходе SOC-форума значимость новых рекомендаций подчеркнул Вадим Уваров, глава департамента информационной безопасности ЦБ.
Суть методических рекомендаций №15
Согласно МР №15, если компания зафиксировала инцидент в ходе анализа объекта КИИ, она должна обеспечить сохранность всех технических данных о событии, включая образы оперативной памяти, жестких дисков и информацию о сетевой активности.
Также кредитной организации необходимо учитывать дополнительные рекомендации стандарта ЦБ СТО БР ИББС-1.3-2016 к организационным, технологическим и техническим подходам в отношении сбора, обработки, анализа и распространения технических данных об инциденте.
Если кредитная организация понесла потери после инцидента, она должна определить суммы потерь в соответствии с видами потерь согласно и Положению ЦБ №716-П, и приложению 5 к нему. Далее она определяет общую сумму ущерба.
После инцидента с объектом КИИ в соответствии с законом №187 кредитной организации следует проинформировать о случившемся ЦБ, используя его техническую инфраструктуру. В сообщении компания должна указать данные об инциденте и оформить его в соответствии с требованиями СТО БР БФБО-1,5-2023.
Такое же уведомление ей следует отправить в Национальный координационный центр по компьютерным инцидентам (НКЦКИ), учитывая требования приказа ФСБ №282. После инцидента, результатом которого стала неправомерная передача персональных данных, она также должна проинформировать НКЦКИ согласно закону №152-ФЗ и в порядке, установленном приказом ФСБ №77.
Необходимость уведомлять НКЦКИ исчезает, если ранее кредитная организация приняла решение направлять информацию об инцидентах в НКЦКИ при помощи АСОИ ФинЦЕРТ.
Для уголовно-правовой оценки инцидентов кредитной организации следует обратиться с заявлением в МВД. Помимо событий, связанных с переводом злоумышленниками средств с ее счетов, в нем необходимо обратить внимание на незаконное воздействие на КИИ и изменение информации.
Подать заявление компания должна очно в территориальное подразделение МВД, которое находится там же, где и юридическое лицо компании. В исключительных случаях допускается подача заявления при помощи сервиса приема обращений граждан и организацией на сайте МВД. Также кредитная организация должна обратиться в ФСБ, используя аналогичный сервис.
Кроме того, в МР №15 указано, что перечень инцидентов, включающий критерии информирования о них, содержится в приложениях 11 и 18 к стандарту ЦБ СТО БР БФБО-1.5-2023.
Суть методических рекомендаций №14
Согласно МР №14, финансовые — кредитные и некредитные — организации могут информировать ФСБ о компьютерных инцидентах, реагировании на них и ликвидации последствий атак, передав соответствующие данные в систему АСОИ ФинЦЕРТ. Далее ЦБ направит их в НКЦКИ.
При этом компании должны вовремя актуализировать в личном кабинете системы информацию об IP-адресах, программном обеспечении и другие данные. Также им следует использовать перечень атак и инцидентов, указанный в приложении 18 к стандарту ЦБ СТО БР БФБО-1.5-2023 и брать во внимание обозначенные в стандарте сроки и критерии информирования о них.
Эту же систему компания может использовать для получения данных об актуальных угрозах, необходимых мерах борьбы с ними, средствах и способах проведения компьютерных атак, методах их обнаружения, предупреждения и противодействия, а также о признаках компьютерных инцидентов.
Для направления и получения данных из АСОИ ФинЦЕРТ организация должна передать ЦБ и НКЦКИ информацию о соответствующем согласии. Исключение — случаи, когда это было сделано ранее.
Значение методических рекомендаций
В документах ЦБ собраны воедино требования к информационной безопасности из различных нормативно-правовых актов. Порядок и процесс информирования после компьютерных инцидентов и атак были закреплены в приказах ФСБ, связанных с функционированием системы ГосСОПКА, и известны организациям.
"Но методические рекомендации, содержащие краткую инструкцию о том, в каких объемах, порядке и последовательности следует направлять уведомления, конечно же, облегчают выполнение требований службам ИБ", — заявляет Анастасия Федорова, директор по развитию Центра мониторинга кибербезопасности "К2 Кибербезопасность".
По мнению Валерия Степанова, руководителя направления Центра компетенций по информационной безопасности Т1 Интеграция, роль новых документов заключается в упорядочивании и стандартизации передачи данных кредитными организациями ФСБ и МВД.
"Данные рекомендации имеют большое значение, поскольку у участников рынка возникали противоречия и вопросы о том, кому — ФСБ, МВД, ФинЦЕРТ или НКЦКИ — предоставлять информацию и в каком объеме. Ведь обычно госорганы привлекаются организациями только в случае больших потерь, а данные о маленьких кейсах передаются выборочно", — пояснил Валерий Степанов.
По его словам, новые документы также стимулируют компании не умалчивать об инцидентах и обращаться в госорганы.
"Конечно, все знают, куда обращаться. Рекомендации уточняют форму и порядок, чтобы помочь компаниям отбросить все сомнения и четко, в соответствии с регламентом, обращаться в госорганы", — отметил Валерий Степанов.
В то же время, по словам Павла Каткова, юриста и члена Комитета ТПП России по предпринимательству в сфере медиакоммуникаций, если компания решит действовать на своё усмотрение, то может только частично следовать рекомендациям.
"Кроме того, организация теоретически не лишена права утверждать свои внутренние документы. Однако теперь, очевидно, они не должны будут противоречить принятым рекомендациям ЦБ. Еще следует понимать, что у кредитных есть ответственность перед клиентами и правоохранителями. В рекомендациях ЦБ как бы берет ее на себя и говорит: действуйте так", — пояснил Павел Катков.
Более того, новые документы позволяют финансовым организациям информировать ФСБ об инцидентах на объектах КИИ при помощи привычной для них АСОИ ФинЦЕРТ. Также они связывают перечень инцидентов со стандартом, который вступил в силу с октября этого года — СТО БР БФБО-1.5-2023.
Порядок информирования кредитными организациями госучреждений об инцидентах, обозначенный в документах, по словам Александра Моисеева, эксперта Aktiv, оптимален.
"Главное, чтобы у них были силы и средства противодействовать атакам на КИИ, ведь это прежде всего укомплектованный и обученный штат ИБ-специалистов, инструментальные средства, меры защиты информации и ряд других вещей", — отметил эксперт Aktiv.Consulting Александр Моисеев.
По мнению Валерия Степанова, в дальнейшем следует постоянно анализировать насколько эффективен порядок информирования и при необходимости корректировать его.
"Это может включать обновление рекомендаций с учетом появления новых угроз и технологических изменений", — пояснил Валерий Степанов.
Сложности на пути информирования
По мнению Валерия Степанова, сложности у финансовых организаций при передаче данных ЦБ и другим госорганам после инцидентов могут возникать из-за внутренних корпоративных регламентов, которые не предусматривают сбор и передачу сведений об атаках во вне.
"Организациям важно правильно оформить и подать данные в госорганы. На расследование инцидентов привлекают профильных специалистов — собственных и сторонних. Сбор информации должен осуществляться по специальной протокольной форме. Запреты внутренних регламентов осложняют этот процесс", — пояснил Валерий Степанов.
Александр Моисеев считает, что трудности у компаний может вызвать не только порядок передачи данных, требуемый рекомендациями, но и сроки. Чтобы их не нарушить организации должны будут выделять ресурсы и принимать организационные решения.
"Для того чтобы, например, в сжатые сроки взаимодействовать с ФинЦЕРТ, им необходимо выстроить систему управления ИТ-активами, отработать взаимодействие персонала, регулярно совершенствовать данный процесс. Усилий также, в частности, потребует определение сумм потерь, вызванных инцидентами", — заметил Александр Моисеев.
