Как решается вопрос отчетности о киберинцидентах на объектах критической инфраструктуры в США
Об этом подробно рассказывается в материале журнала-сайта Chief Security Officer.
Еще в прошлом году президент Байден подписал «Закон об отчетах о киберинцидентах на объектах критически важной инфраструктуры 2022». Закон обязывает Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) разработать и осуществить правила уведомлений о киберинцидентах и выплатах вымогателям. Закон устанавливает два требования:
-
В течение 24 часов уведомить CISA о любых платежах хакерам-вымогателям.
-
В течение 72 часов уведомить CISA о любом инциденте информационной безопасности на объекте КИИ.
Требования вступят в силу через 42 месяца (15 сентября 2025) после обсуждения и принятия окончательных правил. Сейчас агентство CISA запрашивает общественное мнение в отношении следующих правил:
Терминология, которая будет использоваться в правилах, критерии, а также какие субъекты КИИ и инциденты должны охватываться регулированием.
Форма, содержание отчета, сроки и порядок его подачи.
Меры по защите информации, которые потребуются для реализации правил.
Дополнительные защитные меры, процедуры и требования.
CISA обнародовало проект новых правил, получило 131 комментарий от предприятий, банков и прочих организаций, кроме того, провело несколько слушаний с различными промышленными группами.
Какие организации будут охвачены правилами?
Некоторые участники обсуждений настаивают на ограничениях по размеру бизнеса. Например, банковская ассоциация The Independent Community Bankers Association считает, что в перечень должны быть включены банки с капиталом не менее 50 миллиардов долларов. А другая ассоциация - The American Water Works Association - которая представляет массу небольших предприятий, занятых в водной индустрии, рекомендует ограничение по числу не менее 3, 300 клиентов, пользующихся услугами компании.
Энергетическая компания Exelon предлагает более сложный подход, который основывается на последствиях киберинцидента для национальной безопасности, экономической безопасности, здоровья и жизни людей. Подразумевается, что несанкционированное вторжение, включая захват важной информации и средств управления операциями, чревато сбоем, остановкой, разрушением работы предприятия.
С другой стороны, Microsoft оказался в числе организаций, которые считают слишком сложным определять перечень объектов по критерию степени риска. Достаточно включить те организации, которые сегодня уже проходят по категории принадлежности к критически важной инфраструктуре.
В каких случаях уведомления необходимы, а в каких нет?
The Rural Broadband Association полагает, что отчет должен включать подтвержденные инциденты, которые существенно затруднили возможность организации продолжать работу, и исключать инциденты, угрожающие последствиями, но не приведшие к ним.
Некоторые другие организации настаивают, что уведомления необходимы в случае утраты служебной информации, персональных данных, коммерческих секретов, финансовых потерь в результате нарушений производственных процессов.
72 часа для уведомления об инцидентах информационной безопасности
HIMSS, международная некоммерческая организация в сфере здравоохранения («Реформация глобальной экосистемы здравоохранения с помощью информации и технологий») рекомендует проявлять больше гибкости в определении срока для уведомлений, поскольку трех суток может не хватить для анализа инцидента и его последствий. С ней согласна ассоциация The Rural Broadband Association, рассматривая 72 часа как минимальный отрезок времени для подготовки уведомления после обнаружения инцидента. А объединение промышленников The National Association of Manufacturers уверено, что 72-часовой срок для подачи уведомления должен стартовать только после того, как организация убедится, что стала жертвой серьезной атаки со стороны криминала, поскольку «многие дни после обнаружения инцидента уходят на то, чтобы разобраться в противоречивой и часто путанной информации, проанализировать ее и отреагировать должным образом на угрозу».
В России порядок информирования о компьютерных инцидентах на объектах критической информационной инфраструктуры (КИИ) регулирует Приказ ФСБ России от 19.06.2019 №282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации».
Приказ устанавливает более жесткие рамки, чем в США и ЕС. Согласно документу, информация об инциденте ИБ на значимом объекте КИИ направляется субъектом критической информационной инфраструктуры в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) не позднее 3 часов с момента его обнаружения, а в отношении иных объектов КИИ — не позднее 24 часов с момента его обнаружения. Субъект КИИ также должен проинформировать о результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации их последствий не позднее 48 часов после их завершения.
|