Критической инфраструктуре определили срок
Недавно в суде рассматривалось дело оператора сотовой связи, сотрудник которого отправил базу клиентов на свою личную почту.
Его действия были классифицированы как нарушение правил обращения с защищаемой информацией, так как помимо данных об абонентах в файлах содержались сведения о расположении узлов связи, обеспечивающих деятельность государственных органов
и специальных служб.
Подсудимый получил условный срок. Но наказание могло быть серьезнее — нарушитель имел все шансы на трехлетнее заключение
в колонии. Если бы в компании были соответствующие регламенты, а сотрудники оповещены о последствиях халатности при обращении
с критически важной информацией, то, возможно, подобный инцидент бы не произошел.
Мыслить категориями
Отечественная концепция предполагает строгий контроль за процессом обеспечения безопасности объектов критической информационной инфраструктуры (КИИ). Сначала субъекты КИИ должны самостоятельно провести категорирование, а затем принять меры по защите значимых объектов. Сейчас сроки категорирования регламентированы только для государственных предприятий — согласно закону
«О безопасности критической информационной инфраструктуры Российской Федерации», госорганизации должны были уведомить ФСТЭК России о результатах категорирования своих объектов КИИ до 1 сентября. Для частных компаний все сроки являются рекомендуемыми. Некоторые организации убеждены, что если не проводить категорирование и не уведомлять регуляторов о своих объектах, то и обязанности по выполнению остальных требований у них не возникнет.
По статистике ФСТЭК России за 2019 год, количество субъектов КИИ, закончивших категорирование и зарегистрированных в реестре, составляет порядка 3,5 тыс. Если судить по обращениям в STEP LOGIC, то активнее всего процесс идет в энергетике (на нее приходится порядка 22% от всех запросов на категорирование), нефтегазовой и горнодобывающей отрасли (19%), машиностроении (16%), на финансовом рынке (13%), в транспортной и телекоммуникационной сферах (по 9%).
При этом порядка 40% владельцев объектов КИИ еще не завершили эту процедуру. Получается, что остальные компании пока игнорируют требования 187-ФЗ.
Справочная информация
Вступивший в силу более двух лет назад 187-ФЗ определяет, какие меры должны принимать организации для защиты от компьютерных атак объектов КИИ.
Субъектами КИИ являются как государственные, так и коммерческие организации. Всего в законе выделено 13 секторов экономики,
на которые приходится более 50% ВВП. Среди них — предприятия, занимающиеся оборонной и горнодобывающей деятельностью, относящиеся к ракетно-космической, металлургической, химической промышленности, топливно-энергетическому комплексу, атомной энергетике. Также в список включены организации, работающие на финансовом рынке, в сфере здравоохранения, науки, транспорта, связи, энергетики.
Компании, подпадающие под действие 187-ФЗ, должны провести категорирование принадлежащих им информационных, информационно-телекоммуникационных и автоматизированных систем управления, распределив их по категориям значимости. После этого — разработать и реализовать комплекс соответствующих мер защиты.
Информацию об инцидентах на всех объектах КИИ — как значимых, так и незначимых — владельцы обязаны передавать в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), подключившись к ней самостоятельно или при помощи корпоративных либо ведомственных центров.
Прокуратура начинает проверки
Интересно, что некоторые компании, напрямую не относящиеся к указанным в законе отраслям, тоже попадают под действие 187-ФЗ.
В качестве такого примера можно привести организацию, обслуживающую ЦОД, в котором размещаются информационные системы субъектов КИИ, или любую не транспортную компанию, имеющую сервис по продаже билетов на автобусы. Они тоже могут являться владельцами объектов КИИ и даже не подозревать об этом.
Чтобы определить, нужно ли приводить инфраструктуру в соответствие с законом о безопасности КИИ, компания должна ответить на два важных вопроса.
Первый — действительно ли организация относится к субъектам КИИ? На этом этапе в уставе, ОКВЭД или лицензиях компании осуществляется поиск видов деятельности, относящихся к сферам, перечисленным в 187-ФЗ.
Второй — есть ли среди объектов КИИ организации значимые? Для распределения объектов по уровням значимости проводится категорирование. Его задача — оценить последствия полного или частичного нарушения работы объектов КИИ и связанных с ним критических процессов. В сети можно найти множество методических материалов, которые помогут осуществить эту процедуру самостоятельно.
В любом случае решение о соблюдении требований регуляторов или их игнорировании является выбором каждой организации. Пока что наказание за уклонение от категорирования или занижение категорий объектов КИИ достаточно эфемерно, но стоит учитывать, что поправки в КоАП, определяющие ответственность за нарушения, связанные как с процессом категорирования, так и с невыполнением требований по обеспечению безопасности КИИ, находятся уже на финальной стадии согласования. Также на последней тематической конференции, прошедшей 17 сентября, представители ФСТЭК России предупредили участников рынка о начинающихся проверках субъектов КИИ с привлечением прокуратуры, вне зависимости от того, было ли проведено категорирование или нет.
Критическое импортозамещение
В феврале текущего года Минпромторг и ФСТЭК представили проект документа, согласно которому для защиты объектов КИИ должно применяться оборудование, созданное с использованием аппаратной части и микроэлектроники российского производства. Предполагается, что эти нормы введут с 2024 и 2028 года соответственно.
Минцифры пошло в этом вопросе еще дальше: в конце мая ведомство опубликовало предложение обязать субъекты КИИ перейти
на российское ПО с 1 января 2021 года, а с 2022 — на отечественное оборудование.
С одной стороны, это хорошая новость для отечественных вендоров, так как программа импортозамещения распространится на целые сектора экономики. С другой — если переводить инфраструктуру на российское оборудование субъектам КИИ придется полностью и в сжатые сроки, то даже с учетом программ господдержки их ожидают большие затраты. По данным аналитиков, такой переход обойдется кредитным организациям более чем в 700 млрд руб., а госкомпаниям — в 150 млрд руб.
Так или иначе, переход к импортозамещению для владельцев КИИ — вопрос практически решенный: разработаны соответствующие изменения в подзаконные акты, регуляторы занимаются согласованием дальнейших планов по переходу на отечественные решения. Перечисленным в 187-ФЗ секторам экономики пора готовиться к нововведениям.
Кстати, 15 сентября были утверждены изменения в 239-м приказе ФСТЭК, регламентирующие требования по использованию методов безопасной разработки и проведения специальных испытаний на наличие уязвимостей в коде для прикладного ПО и средств защиты значимых объектов КИИ, которые вступят в силу с 2023 года.
Согласно документу, средства защиты для значимых объектов КИИ должны разрабатываться по специальным методикам, доступ к которым ограничен и предоставляется ФСТЭК по запросу. Казалось бы, напрямую эти меры не касаются импортозамещения, однако иностранные разработчики не смогут получить закрытую информацию — а значит, и соответствовать вышеобозначенным требованиям. По своей сути это тоже станет заградительной мерой.
Автор: Николай Забусов, директор Департамента информационной и сетевой безопасности STEP LOGIC
Источник: ko.ru