Rambler's Top100
Статьи
Николай НОСОВ  06 февраля 2020

Безопасность КИИ: время внедрений

В ходе работ по обеспечению безопасности КИИ выяснилось, что практически для каждой организации требуются свои методические рекомендации, нужно подготовить огромное количество документации, специалистов же традиционно не хватает.

«Состояние дел с реализацией закона «О безопасности критической информационной структуры» выглядит оптимистично», – заявил заместитель директора ФСТЭК России Виталий Лютиков на 22-м Большом национальном форуме по информационной безопасности. Количество субъектов КИИ и органов государственной власти, которые провели инвентаризацию ресурсов и определили объекты КИИ, увеличилось за год в 2,5 раза, количество объектов КИИ – в три раза, включенных в реестр значимых объектов КИИ – в 35 раз.


Лидерами в выполнении требований законодательства по обеспечению безопасности КИИ Виталий Лютиков назвал топливно-энергетический комплекс и здравоохранение, в числе отстающих – транспорт и финансовый сектор.

Переход на новый этап

Переход от инвентаризации систем и определения объектов КИИ к принятию практических мер обеспечения безопасности дается многим предприятиям нелегко. Зачастую они, проведя организационную работу, считают, что требования регуляторов выполнены. Однако замдиректора ФСТЭК напомнил, что это только начало и теперь необходимо создавать системы безопасности, внедрять меры обеспечения ИБ и взаимодействовать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Руководители организаций уделяют этому недостаточно внимания, в то время как именно реализация практических мер определяет уровень защищенности объектов КИИ.

В 2019 году были внесены изменения в нормативные правовые акты, касающиеся обеспечения безопасности КИИ, установлены сроки работ по инвентаризации и категорированию объектов. Эти сроки уже прошли. Тем не менее некоторые компании так и не приступали к категорированию и ищут те или иные лазейки, чтобы этим не заниматься. Например, для субъектов частного сектора экономики установленный правительством срок имеет рекомендательный характер, поэтому компании не считают его соблюдение обязательным, утверждая, что выполнят задачу когда-нибудь позднее.

В случае компьютерных инцидентов руководители компаний могут быть привлечены к уголовной ответственности. Кроме того, ФСТЭК подготовила предложения по введению административной ответственности за невыполнение требований регулятора. Соответствующий законопроект внесли в правительство ФСБ и Минобороны. Виталий Лютиков призвал не ждать, пока гром грянет, а приступать к реализации требований 187-ФЗ «О безопасности КИИ». 

Проблемы безопасности

ФСТЭК значительно ужесточила требования к продуктам для обеспечения безопасности, ведет работу по стандартизации процедур создания ПО – приняты два стандарта и еще пять находятся в стадии разработки. 

К сожалению, не многие компании, занимающиеся созданием ПО и средств безопасности, внедряют процедуры безопасной разработки. Руководители компаний, которые используют такие процедуры в разработке, сопровождении и документировании программного кода, отмечают, что они дают большой положительный эффект. Компаниям, не применяющим процедур безопасной разработки, гораздо сложнее пройти сертификационные испытания, и сертификация обходится им в целом дороже.

Вызывает обеспокоенность безопасность аппаратных средств. В последнее время угрозы на аппаратном уровне получили широкое распространение. «Эта проблема стоит особенно остро ввиду слабого развития собственных разработок. Не владея технологиями разработки и производства элементной базы радиоэлектронной продукции, трудно бороться с низкоуровневыми угрозами», – подчеркнул Виталий Лютиков.

Еще одна болевая точка – подготовка кадров. Программы по информационной безопасности в большинстве учебных заведений устарели и не соответствуют современным требованиям. Например, вузы не выпускают специалистов по обеспечению безопасности на аппаратном уровне, практически не готовят юристов в области защиты информации.

Опыт энергетиков

В числе передовиков в выполнении требований 187-ФЗ представитель ФСТЭК отметил топливно-энергетический комплекс, хотя и там есть недоработки. Например, по словам начальника отдела обеспечения безопасности объектов ТЭК и КИИ департамента экономической безопасности в ТЭК Министерства энергетики РФ Евгения Новикова, в результате проверки, проведенной министерством в декабре прошлого года, выяснилось, что 80 организаций ТЭК никак не отреагировали на требования законодательства о КИИ. Им были разосланы письма с напоминанием о необходимости выполнения закона, и только после этого организации направили документы в ФСТЭК.


Выполнение требований об обеспечении безопасности КИИ включает три этапа. Первый – определение перечня объектов и их категорирование – находится в ТЭК на завершающей стадии. При этом немалую трудность представляет значительный объем подготавливаемых документов, особенно у крупных компаний. Как рассказал Евгений Новиков, документы привозят целыми машинами и их все надо проверить. Более 40% этих бумаг оказываются подготовленными неправильно, они отправляются обратно, их приходится переделывать, а потом – перепроверять.

Другая сложность ТЭК – большое количество направлений деятельности: электрогенерация, энергосети, энергосбыт, добыча и переработка угля, нефти и газа. В итоге практически для каждой организации нужны свои методические рекомендации, и все они ждут указаний, как надо действовать.

Это сказывается на выполнении второго этапа – разработке и внедрении систем защиты, соответствующих нормативным требованиям. А таких требований уже немало – ФСБ по запросу Минэнерго прислала шесть методических рекомендаций, кроме того, надо учитывать четыре приказа ФСТЭК. Последний этап – подключение к ГосСОПКА и эксплуатация систем защиты. 

Обеспечение безопасности КИИ не разовая, а постоянная работа, которая должна найти отражение в технологических процессах предприятия. Речь идет не только об эксплуатации систем. С появлением у организации новых объектов КИИ и совершенствованием систем защиты старых работы первого и второго этапов тоже будут повторяться.

В ответ на лавину возникающих с 187-ФЗ проблем в Минэнерго были приняты организационные меры. В департаменте экономической безопасности в ТЭК появился отдел обеспечения безопасности объектов ТЭК и критической информационной инфраструктуры. Создана рабочая группа по координации обеспечения безопасности КИИ на объектах ТЭК, в которую вошли представители практически всех крупнейших энергетических компаний. На заседаниях рабочей группы рассматриваются практические вопросы реализации проектов. При участии РГУ нефти и газа им. И.М. Губкина разработаны и согласованы с ФСТЭК рекомендации по определению и категорированию объектов КИИ.

Под эгидой Минэнерго создается ведомственный центр информационной безопасности в рамках ГосСОПКА. Семь крупных организаций ТЭК имеют свои центры информационной безопасности, которые подключены к ГосСОПКА напрямую, у остальных организаций есть выбор – подключиться напрямую или через ведомственный центр.


Помощь бизнеса

Большинству организаций сложно самостоятельно выполнить все требования законодательства о безопасности КИИ. Не хватает времени, экспертизы, специалистов. Но можно прибегнуть к помощи сторонних коммерческих компаний. 

Например, НПО «Эшелон» разработало методические рекомендации по практической реализации требований к защите критической инфраструктуры, а оператор «МегаФон» предлагает программно-аппаратный комплекс «Информационный периметр», позволяющий обеспечить безопасную мобильную связь на объекте КИИ. 

Решений на рынке много. Использование внешних организаций для проведения работ с целью выполнения требований 187-ФЗ – это нормально, но не стоит забывать, что всю юридическую ответственность несет субъект КИИ, напомнила заместитель начальника управления ФСТЭК России Елена Торбенко.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!