Проект Приказа ФСБ России "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации" (подготовлен ФСБ России 12.03.2018)
Досье на проект
Пояснительная записка
В соответствии с пунктом 6 части 4 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"*(1)
приказываю
утвердить прилагаемый Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации.
Директор | А.Бортников |
-------------------------------------------
*(1) Собрание законодательства Российской Федерации, 2017, N 31 (ч. I), ст. 4736.
Приложение
к приказу ФСБ России
от ___ ________ 20 г. № _______
Порядок
информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации
1. Субъекты критической информационной инфраструктуры Российской Федерации (далее - КИИ) информируют ФСБ России обо всех компьютерных инцидентах, связанных с функционированием принадлежащих им на праве собственности, аренды или ином законном основании объектов КИИ.
2. Информирование осуществляется путем направления субъектом КИИ информации в Национальный координационный центр по компьютерным инцидентам (далее - НКЦКИ) в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ, а также с иными не являющимися субъектами КИИ органами и организациями, в том числе иностранными и международными.
В случае отсутствия подключения к данной технической инфраструктуре информация направляется посредством факсимильной, электронной и телефонной связи на адреса (телефонные номера) НКЦКИ, указанные на сайте в информационно-телекоммуникационной сети «Интернет» по адресу: «http://cert.gov.ru».
3. Информация о компьютерном инциденте направляется субъектом КИИ в НКЦКИ незамедлительно.
4. В случае, если компьютерный инцидент связан с функционированием объекта КИИ, принадлежащего на праве собственности, аренды или ином законном основании субъекту КИИ, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, одновременно с информированием ФСБ России о таком компьютерном инциденте также информируется Центральный банк Российской Федерации.
5. Субъект КИИ осуществляет реагирование на компьютерные инциденты, связанные с функционированием принадлежащих ему на праве собственности, аренды или ином законном основании значимых объектов КИИ, и принимает меры по ликвидации последствий проведенных в отношении этих объектов компьютерных атак силами подразделений и должностных лиц, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты (далее - силы субъекта КИИ), а в случаях, предусмотренных регламентом взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак (далее - Регламент) - с привлечением подразделений и должностных лиц ФСБ России.
6. В целях подготовки к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектом КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, разрабатывается план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (далее - План), включающий:
технические характеристики и состав значимых объектов КИИ;
события (условия), при наступлении которых осуществляется ввод в действие Плана;
мероприятия, проводимые в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;
силы субъекта КИИ, ответственные за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.
7. Субъект КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, не реже одного раза в год организует и проводит тренировки по отработке мероприятий Плана. По результатам тренировок в План вносятся необходимые коррективы.
8. Для организации мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак с привлечением подразделений и должностных лиц ФСБ России субъектом КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, во взаимодействии с НКЦКИ разрабатывается, согласовывается с 8 Центром ФСБ России и утверждается Регламент.
9. В Регламенте определяются:
условия привлечения подразделений и должностных лиц ФСБ России к проведению мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак;
порядок проведения субъектом КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, совместно с привлекаемыми подразделениями и должностными лицами ФСБ России мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак в отношении значимых объектов КИИ.
10. Субъект КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак осуществляет:
первичный анализ компьютерных инцидентов, установление их связи с компьютерными атаками;
проведение мероприятий в соответствии с Планом;
определение в соответствии с Регламентом необходимости привлечения к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак подразделений и должностных лиц ФСБ России.
11. Непосредственно перед принятием мер по ликвидации последствий компьютерных атак субъект КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, определяет:
очередность значимых объектов КИИ (их структурных элементов), в отношении которых будут приниматься меры по ликвидации последствий компьютерных атак;
состав сил субъекта КИИ и их задачи в рамках принимаемых мер;
возможность восстановления функционирования значимого объекта КИИ;
перечень средств, необходимых для принятия мер по ликвидации последствий компьютерных атак.
12. В ходе ликвидации последствий компьютерных атак субъектом КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, принимаются меры по восстановлению функционирования и проверке работоспособности значимого объекта КИИ.
13. О результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъект КИИ, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, информирует НКЦКИ в срок не позднее 48 часов после завершения таких мероприятий в соответствии с пунктом 2 настоящего Порядка.
Обзор документа
Планируется урегулировать вопросы информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры.
Сведения должны будут направляться в Национальный координационный центр по компьютерным инцидентам с использованием специальной технической инфраструктуры. При отсутствии подключения к последней данные предоставляются посредством факсимильной, электронной и телефонной связи на адреса (телефонные номера) центра.
Предусматривается разработка плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак. Также составляется регламент взаимодействия.
Закрепляются функции участников мероприятий.