Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
В США обсуждают отчетность об инцидентах на объектах КИИ
Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) вынесло на общественное обсуждение Закон об отчетах о киберинцидентах на объектах КИИ от 2022 г. (Cyber Incident Reporting for Critical Infrastructure Act, CIRCIA). CISA заинтересованно в общественном мнении по поводу содержания и формата предоставляемой отчетности об инцидентах на объектах КИИ.
Сам закон был подписан президентом США Байденом 15 июля 2022 г.
В отношении уведомлений об инцидентах на объектах критической информационной инфраструктуры закон CIRCIA устанавливает два требования:
- В течение 24 часов уведомить CISA о любых платежах из-за программ-вымогателей.
- В течение 72 часов уведомить CISA о любом инциденте информационной безопасности на объекте КИИ.
Требования вступят в силу через 42 месяца (15 сентября 2025) — после публикации соответствующего уведомления и принятия окончательных правил.
Сейчас агентство CISA запрашивает общественное мнение в отношении правил:
- Терминология, которая будет использоваться в правилах, критерии, а также какие субъекты КИИ и инциденты должны охватываться регулированием.
- Форма, содержание отчета и порядок его подачи.
- Меры по защите информации, которые потребуются для реализации правил.
- Дополнительные меры, процедуры и требования.
Общественное обсуждение на федеральном портале regulations.gov продлится до 14 ноября 2022 г.
Если провести сравнение с требованиями по отчетности о киберинцидентах в других странах, то, например, Регламент Евросоюза о персональных данных (GDPR) от 27.04.2016 г. (вступил в силу 25.05.2018 г.) требует уведомить регулирующий орган в течение 72 часов после инцидента ИБ.
В России порядок информирования о компьютерных инцидентах на объектах КИИ регулирует Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации».
Приказ устанавливает более жесткие рамки, чем в США и ЕС. Согласно документу, информация об инциденте ИБ на значимом объекте КИИ направляется субъектом критической информационной инфраструктуры в НКЦКИ не позднее 3 часов с момента его обнаружения, а в отношении иных объектов КИИ — не позднее 24 часов с момента его обнаружения. Субъект КИИ также должен проинформировать о результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации их последствий не позднее 48 часов после их завершения.