РКН требует информацию об инцидентах

[svcons]

РКН разослал письма: https://t.me/net_law/28130

Уважаемые коллеги - операторы связи!
Просим Вас выполнить требования Федерального закона № 90-ФЗ в вопросе ежедневной передачи информации об инцидентах на принадлежащей Вам (Вашей организации) сети электросвязи.
В случае отсутствия инцидентов в ЦМУ ССОП ежедневно Вами должна направляться указанная в прилагаемой инструкции таблица с указанием об отсутствии инцидентов.
Все Ваши предложения, замечания и пожелания по направлению в ЦМУ ССОП информации об инцидентах в порядке предусмотренном Инструкцией просим Вас направить до 17.03.2021 на этот электронный адрес для обобщения и направления в Роскомнадзор.
О дате направления Вами в ЦМУ ССОП информации об инцидентах прошу сообщить на этот адрес электронной почты.

 

 

Вот что мы накопали: https://t.me/svcons/120
Закон "О связи" (пп.4 п.8 ст.56.2) в редакции закона 90-ФЗ обязывает предоставлять информацию:  
-об имеющемся у них номере автономной системы, а также о сетевых адресах, принадлежащих автономной системе;
-о взаимодействии с имеющими номер автономной системы операторами связи, собственниками или иными владельцами технологических сетей связи, иными лицами;
-о местах подключения своих средств связи к линиям связи, пересекающим Государственную границу Российской Федерации;
-о местах установки своих средств связи, подключенных к линиям связи, расположенным за пределами территории Российской Федерации;
-о маршрутах сообщений электросвязи;
-о технических и программных средствах, указанных в подпункте 3 настоящего пункта;
-об инфраструктуре своей сети связи.

 

Как видим про инциденты в законе ничего нет!

 

Во исполнение пп.4 п.8 ст.56.2 принят приказ 221.
И вот в  221 приказе РКН появляется требование о предоставлении информации об инцидентах!

 

Что имеем? Приказ 221 противоречит закону...
Есть все основания, если РКН будет настаивать, обжаловать приказ 221 в этой части.

 

И еще. На основании п.8 приказа 221 информацию можно предоставлять XMLфайлами, формами и автовзаимодействием. 
Попросим РКН сделать формы для предоставления информации об инцидентах?

[Связной (С)]

34 минуты назад, svcons сказал:

Что имеем? Приказ 221 противоречит закону...

Пр221 не оспорен и не отменен. Значит его должны исполнять.

 

И еще - когда проходило обсуждение всей нормативки возражений почти не было, в основной массе все операторы молчали и молча согласились по итогу.

[Andrei]

39 минут назад, Связной (С) сказал:

когда проходило обсуждение всей нормативки возражений почти не было, в основной массе все операторы молчали

потому что толку от таких обсуждений чуть меньше, чем никакого.

[sdy_moscow]

40 минут назад, Andrei сказал:

потому что толку от таких обсуждений чуть меньше, чем никакого.

Есть, еще какой! Но только для одной стороны. Такие попытки "диалога" в последнее время стабильно заканчиваются как в одной известной старой басне (мне кажется есть повод ее вспомнить):

 

....

 Ягнёнок в жаркий день зашел к ручью напиться;
                   И надобно ж беде случиться,
     Что около тех мест голодный рыскал Волк.
     Ягнёнка видит он, на добычу стремится;
     Но, делу дать хотя законный вид и толк,
     Кричит: «Как смеешь ты, наглец, нечистым рылом
                   Здесь чистое мутить питье
                                 Мое
                          С песком и с илом?
                          За дерзость такову
                   Я голову с тебя сорву». —
     «Когда светлейший Волк позволит,
     Осмелюсь я донесть, что ниже по ручью
     От Светлости его шагов я на сто пью;
                   И гневаться напрасно он изволит:
     Питья мутить ему никак я не могу». —
                   «Поэтому я лгу!
     Негодный! слыхана ль такая дерзость в свете!
     Да помнится, что ты еще в запрошлом лете
            Мне здесь же как-то нагрубил:
            Я этого, приятель, не забыл!» —
            «Помилуй, мне еще и отроду нет году», —
     Ягненок говорит. «Так это был твой брат». —
     «Нет братьев у меня». — «Так это кум иль сват
     И, словом, кто-нибудь из вашего же роду.
     Вы сами, ваши псы и ваши пастухи,
                          Вы все мне зла хотите
     И, если можете, то мне всегда вредите,
     Но я с тобой за их разведаюсь грехи». —
     «Ах, я чем виноват?» — «Молчи! устал я слушать,
     Досуг мне разбирать вины твои, щенок!
     Ты виноват уж тем, что хочется мне кушать».
     Сказал — и в темный лес Ягнёнка поволок.

 

1808 год

 

З.Ы. Годы идут, но ничего не меняется!

[straus]

3 часа назад, svcons сказал:

информации об инцидентах

Нет определения, что такое "инцидент".

А вот ежедневные отчёты независимо от наличия этих "инцидентов" сильно напрягают.

[Urs_ak]

Блин, надо писать бота который будет генерить отчёт что инцидентов не было...

[nemo_lynx]

И так во всём в этой стране - сплошная генерация отчётов ботами о том, что всё у нас хорошо. Одна имитация.

[jffulcrum]

Кстати, по КИИ отчетность об инцидентах см. Состав технических параметров компьютерного инцидента, указываемых при представлении информации в ГосСОПКА, и форматы представления информации о компьютерных инцидентах (safe-surf.ru)

[sdy_moscow]

Вообще, интересный вопрос, что считать "Инцидентом"? С одной стороны у любого оператора на 1000 абонентов около 5 обращений в день, из них примерно половина требует выезда. Где-то проблемы у клиентов (та же вирусня), где-то, что-то с оборудованием. Вопрос, что же слать РКН?

В РФ наверно около 20 млн подключений, т.е. условно более 200 тысяч "инцидентов" в день, 6 млн в месяц. Не дофига ли для анализа? И какая ценность у этого "фонового" шума?

[Urs_ak]

1 час назад, nemo_lynx сказал:

И так во всём в этой стране - сплошная генерация отчётов ботами о том, что всё у нас хорошо. Одна имитация.

Есть куча историй из интеграторов и it-лавок, когда админчега заставляли писать в тикетную систему приход-уход и продолжение, когда сотрудник уходил в отпуск, а его бот писал отчёт что он на работу ходит :)

[straus]

44 минуты назад, sdy_moscow сказал:

Вообще интересный вопрос, что считать "Инцидентом"? С одной стороны у любого оператора на 1000 абонентов около 5 обращений в день, из них примерно половина требует выезда. Где-то проблемы у клиентов (та же вирусня), где-то, что-то с оборудованием. Вопрос, что же слать РКН?

В РФ наверно около 20 млн подключений, т.е. условно более 200 тысяч "инцидентов" в день, 6 млн в месяц. Не дофига ли для анализа? И какая ценность у этого "фонового" шума?

Ну можно слать все логи с подозрительными действиями. Например сканирование портов из-за пределов сети, это на каждого пользователя по паре десятков инцидентов в сутки. А что, сканирование здесь прямо указано https://safe-surf.ru/specialists/article/5252/638030/

Тупизм в этой стране можно победить, только если исполнить требования с инициативой и перевыполнением.

[sdy_moscow]

40 минут назад, straus сказал:

Тупизм в этой стране можно победить, только если исполнить требования с инициативой и перевыполнением.

Прямо Бравый солдат Швейк какой-то.

http://militera.lib.ru/prose/foreign/hasek/03.html

Цитата

 

"Господа, да здравствует государь император Франц-Иосиф Первый!"

...

— Сколько будет, если умножить двенадцать тысяч восемьсот девяносто семь на тринадцать тысяч восемьсот шестьдесят три?

— Семьсот двадцать девять,— не моргнув глазом, ответил Швейк.

— Я думаю, вполне достаточно....

 

 

[Связной (С)]

8 часов назад, Andrei сказал:

потому что толку от таких обсуждений чуть меньше, чем никакого.

Толк как минимум есть в том, чтобы выразить свое несогласие, чем больше возражений и отзывов тем больше вероятность, что проект не пройдет.

 

В части инцидентов - они касаются не всех. Только тех, у кого есть АС.

- В случае, если операторы связи, собственники или иные владельцы технологических сетей связи имеют номер автономной системы.

 

Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"

Цитата

компьютерный инцидент - факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки;..."

 

3 часа назад, sdy_moscow сказал:

Вообще, интересный вопрос, что считать "Инцидентом"?

Нужно писать запросы, пусть разъясняют.

[Andrei]

8 часов назад, Urs_ak сказал:

надо писать бота который будет генерить отчёт что инцидентов не было...

+1.

2 часа назад, Связной (С) сказал:

компьютерный инцидент - факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки;..."

"Вы не понимаете, это другое" :)

"компьютерный инцидент" и просто "инцидент" - видимо разные вещи, если придумали разные термины.

[Стич]

Кто нибудь загружал отчет?

Я попробовал. Без инцендентов типа инцентетов нету.

В ответ получил что отчет отклонен ибо отсутствует теги инцендент и актор.

[ixi]

11 часов назад, Urs_ak сказал:

Блин, надо писать бота который будет генерить отчёт что инцидентов не было...

Не бывает такого. Только попыток авторизации сотни ежедневно. Шлите все, пусть обрабатывают..

[alibek]

37 минут назад, ixi сказал:

Только попыток авторизации сотни ежедневно.

Кстати, да.

Все дисконнекты, попытки подключения при недостатке средств, либо неуспешные попытки с неверным логином/паролем это ведь тоже инциденты.

[Urs_ak]

Более интересно как это автоматизировать, потому как ежедневно руками что-то отправлять - это очень плохо.

 

Сейчас сделано максимально неудобно для автоматизации, надо 1) загрузить xml и 2) подтвердить, нажав кнопку "Представить"

 

Вот так выглядит загрузка файла (в формате curl):

Скрытый текст

curl "https://epp.noc.gov.ru/services/uploadChunk?id=d01a5d34-49cf-4b9a-868c-80523a357fb0&sectionId=4" ^
  -H "Connection: keep-alive" ^
  -H "Pragma: no-cache" ^
  -H "Cache-Control: no-cache" ^
  -H "sec-ch-ua: ^\^"Chromium^\^";v=^\^"88^\^", ^\^"Google Chrome^\^";v=^\^"88^\^", ^\^";Not A Brand^\^";v=^\^"99^\^"" ^
  -H "Accept: application/json" ^
  -H "DNT: 1" ^
  -H "sec-ch-ua-mobile: ?0" ^
  -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36" ^
  -H "Content-Type: application/json" ^
  -H "Origin: https://epp.noc.gov.ru" ^
  -H "Sec-Fetch-Site: same-origin" ^
  -H "Sec-Fetch-Mode: cors" ^
  -H "Sec-Fetch-Dest: empty" ^
  -H "Referer: https://epp.noc.gov.ru/information/file/4" ^
  -H "Accept-Language: ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7,uk;q=0.6,af;q=0.5,mt;q=0.4" ^
  -H "Cookie: session-cookie=<ваши данные>; access-token=<ваши данные>; refresh-token=<ваши данные>" ^
  --data-raw "^{^\^"content^\^":^\^"<сжатые данные файла xml>",^\^"size^\^":3816,^\^"checkSum^\^":^\^"a3f0e406478eb9ad92af78043a6dff63^\^",^\^"index^\^":0^}" ^
  --compressed

 

 

А так выглядит подтверждение (в формате curl):

Скрытый текст

curl "https://epp.noc.gov.ru/graphql" ^
  -H "Connection: keep-alive" ^
  -H "Pragma: no-cache" ^
  -H "Cache-Control: no-cache" ^
  -H "sec-ch-ua: ^\^"Chromium^\^";v=^\^"88^\^", ^\^"Google Chrome^\^";v=^\^"88^\^", ^\^";Not A Brand^\^";v=^\^"99^\^"" ^
  -H "accept: */*" ^
  -H "DNT: 1" ^
  -H "sec-ch-ua-mobile: ?0" ^
  -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36" ^
  -H "content-type: application/json" ^
  -H "Origin: https://epp.noc.gov.ru" ^
  -H "Sec-Fetch-Site: same-origin" ^
  -H "Sec-Fetch-Mode: cors" ^
  -H "Sec-Fetch-Dest: empty" ^
  -H "Referer: https://epp.noc.gov.ru/information/file/4" ^
  -H "Accept-Language: ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7,uk;q=0.6,af;q=0.5,mt;q=0.4" ^
  -H "Cookie: session-cookie=<ваши данные>; access-token=<ваши данные>; refresh-token=<ваши данные>" ^
  --data-raw "^{^\^"operationName^\^":^\^"PublishFile^\^",^\^"variables^\^":^{^\^"input^\^":^{^\^"sectionId^\^":^\^"4^\^"^}^},^\^"query^\^":^\^"mutation PublishFile(^$input: PublishFileInput^!) ^{^\^\n  publishFile(input: ^$input) ^{^\^\n    status^\^\n    publishAt^\^\n    __typename^\^\n  ^}^\^\n^}^\^\n^\^"^}" ^
  --compressed

 

 

Такое можно автоматизировать imho, только виртуалкой виндовз и автокликером на питоне, т.к. надо проверять цвет в области экрана - есть красная рамочка или нет

 

Если без шуток, то надо требовать API от них, даже для честного предоставления данных.

[sdy_moscow]

Ох! Боюсь я, что потом, как у нас это принято, по каждому "инциденту" потребуют пару отчетов, сводную статистику и план их предотвращения с отчетом о его перевыполнении (что-бы статистику не дай бог не испортили).

Так-что, я бы не торопился что-то особо слать туда.

[Rivia]

Quote

9.20. При возникновении инцидента (аварии)

...

10. Информация, предусмотренная подпунктами 9.20.1 - 9.20.15 пункта 9 настоящего акта, представляется лицами, имеющими номер автономной системы, в течение 1 часа с момента возникновения инцидента (аварии).

В 90 ФЗ нет ничего про инциденты, в приказе 221 есть требование предоставить информацию об аварии в течение часа с момента возникновения. Требования о ежедневной отчетности можно считать незаконными?

PS к нам кстати подобного письма не поступало. Ну и в целом какой же е**й в целом сейчас занимаемся, слов нет.  

 

1 hour ago, Urs_ak said:

Более интересно как это автоматизировать, потому как ежедневно руками что-то отправлять - это очень плохо.

 

Сейчас сделано максимально неудобно для автоматизации, надо 1) загрузить xml и 2) подтвердить, нажав кнопку "Представить"

 

Вот так выглядит загрузка файла (в формате curl):

  Reveal hidden contents

curl "https://epp.noc.gov.ru/services/uploadChunk?id=d01a5d34-49cf-4b9a-868c-80523a357fb0&sectionId=4" ^
  -H "Connection: keep-alive" ^
  -H "Pragma: no-cache" ^
  -H "Cache-Control: no-cache" ^
  -H "sec-ch-ua: ^\^"Chromium^\^";v=^\^"88^\^", ^\^"Google Chrome^\^";v=^\^"88^\^", ^\^";Not A Brand^\^";v=^\^"99^\^"" ^
  -H "Accept: application/json" ^
  -H "DNT: 1" ^
  -H "sec-ch-ua-mobile: ?0" ^
  -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36" ^
  -H "Content-Type: application/json" ^
  -H "Origin: https://epp.noc.gov.ru" ^
  -H "Sec-Fetch-Site: same-origin" ^
  -H "Sec-Fetch-Mode: cors" ^
  -H "Sec-Fetch-Dest: empty" ^
  -H "Referer: https://epp.noc.gov.ru/information/file/4" ^
  -H "Accept-Language: ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7,uk;q=0.6,af;q=0.5,mt;q=0.4" ^
  -H "Cookie: session-cookie=<ваши данные>; access-token=<ваши данные>; refresh-token=<ваши данные>" ^
  --data-raw "^{^\^"content^\^":^\^"<сжатые данные файла xml>",^\^"size^\^":3816,^\^"checkSum^\^":^\^"a3f0e406478eb9ad92af78043a6dff63^\^",^\^"index^\^":0^}" ^
  --compressed

 

 

А так выглядит подтверждение (в формате curl):

  Reveal hidden contents

curl "https://epp.noc.gov.ru/graphql" ^
  -H "Connection: keep-alive" ^
  -H "Pragma: no-cache" ^
  -H "Cache-Control: no-cache" ^
  -H "sec-ch-ua: ^\^"Chromium^\^";v=^\^"88^\^", ^\^"Google Chrome^\^";v=^\^"88^\^", ^\^";Not A Brand^\^";v=^\^"99^\^"" ^
  -H "accept: */*" ^
  -H "DNT: 1" ^
  -H "sec-ch-ua-mobile: ?0" ^
  -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36" ^
  -H "content-type: application/json" ^
  -H "Origin: https://epp.noc.gov.ru" ^
  -H "Sec-Fetch-Site: same-origin" ^
  -H "Sec-Fetch-Mode: cors" ^
  -H "Sec-Fetch-Dest: empty" ^
  -H "Referer: https://epp.noc.gov.ru/information/file/4" ^
  -H "Accept-Language: ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7,uk;q=0.6,af;q=0.5,mt;q=0.4" ^
  -H "Cookie: session-cookie=<ваши данные>; access-token=<ваши данные>; refresh-token=<ваши данные>" ^
  --data-raw "^{^\^"operationName^\^":^\^"PublishFile^\^",^\^"variables^\^":^{^\^"input^\^":^{^\^"sectionId^\^":^\^"4^\^"^}^},^\^"query^\^":^\^"mutation PublishFile(^$input: PublishFileInput^!) ^{^\^\n  publishFile(input: ^$input) ^{^\^\n    status^\^\n    publishAt^\^\n    __typename^\^\n  ^}^\^\n^}^\^\n^\^"^}" ^
  --compressed

 

 

Такое можно автоматизировать imho, только виртуалкой виндовз и автокликером на питоне, т.к. надо проверять цвет в области экрана - есть красная рамочка или нет

 

Если без шуток, то надо требовать API от них, даже для честного предоставления данных.

В вышеуказанном тексте вообще написано

Quote

В случае отсутствия инцидентов в ЦМУ ССОП ежедневно Вами должна направляться указанная в прилагаемой инструкции таблица с указанием об отсутствии инцидентов.

То есть речи о портале и не идет.

[vols-vl]

Цитата

...Он мою защиту разрушает

Старую индийскую в момент.

Это смутно мне напоминает

Индо-пакистанский инцидент.

 

Только зря он шутит с нашим братом,

У меня есть мера, даже две:

Если он меня прикончит матом,

Я его - через бедро с захватом,

Или ход - конем по голове!

 

(с) Владимир Высоцкий, Честь шахматной короны

:)))

[Urs_ak]

11 минут назад, Rivia сказал:

То есть речи о портале и не идет.

Гм, ну может это местный РКН чудит, может у них мало операторов, им скучно.

Ладно, подожду что наши пришлют официально, может они поумнее будут.

[Rivia]

11 minutes ago, Urs_ak said:

Гм, ну может это местный РКН чудит, может у них мало операторов, им скучно.

Ладно, подожду что наши пришлют официально, может они поумнее будут.

Ну вот чисто формально нам присылали например вот такое:

Quote

Тема: FW: Инструкции по инцидентам

Уважаемые владельцы АС!  Направляем вам обещанную ранее инструкции по 5 этапу (системе инцидентов), а также

просим вас в срочном порядке активизировать работу по внесению и предоставлению информации в рамках 90 фз и осуществить требуемые действия согласно направленных вам ранее инструкций.
А также убедительно просим вас обратить внимание на Федеральный закон от 24.02.2021 № 19-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях".

И во вложении инструкция по заполнению xml по инцидентам. Так что требования все равно есть, но не более чем указано в приказе.

В любом случае предоставление информации об инцидентах в xml формате (там еще тонна дурных атрибутов, очевидно притянутых за уши из ростелекомовских сетей) - глупость какая-то, да и на портал к тому же без ЭЦП не попасть. У вас вот каждому сотруднику ЭЦП выдают? У меня вот все взаимодействие с этим порталом происходит через бухгалтерию. И если сочинение xml-файла с сопутствующими атрибутами еще как-то можно автоматизировать и присобачить к своей системе работы с инцидентами, то отправка отчета об инциденте в 3 часа ночи через бухгалтера звучит как что-то нереальное.

Edited March 16, 2021 by Rivia

[ayf]

4 часа назад, ixi сказал:

Не бывает такого. Только попыток авторизации сотни ежедневно. Шлите все, пусть обрабатывают..

Лог Fail2ban прямо туда отправлять?

[Urs_ak]

36 минут назад, Rivia сказал:

да и на портал к тому же без ЭЦП не попасть. У вас вот каждому сотруднику ЭЦП выдают? У меня вот все взаимодействие с этим порталом происходит через бухгалтерию.

Ну у меня ЭЦП генерального есть, но там же ещё "вход через ЕСИА".

 

Я ещё не пробовал, но как мне сказали коллеги, в общих чертах, там на госуслугах физ.лицо привязываешь к организации и можешь заходить по ЕСИА под собой, а далее тебя спросит - ты как хочешь: как физ.лицо или как юр.лицо.