Rambler's Top100
 
Статьи ИКС № 3 2022
Николай НОСОВ  20 мая 2022

Каждой компании – своего киберкомиссара

Сегодняшние условия требуют усилить информационную безопасность российских предприятий. Новый указ президента предписывает создание служб безопасности на всех субъектах КИИ и резко повышает их статус. 

Революция сверху

Военная спецоперация на Украине сопровождается активными боевыми действиями в киберпространстве. Угрозы кибербезопасности из умозрительных превратились в обыденные. «Мы видим утечки данных, DDoS-атаки на публичные сервисы. Это все стало частью нашей повседневной жизни», – констатировал на форуме форуме по практической безопасности Positive Hack Days 2022 (PHD-22) руководитель Минцифры России Максут Шадаев.

В кибервойне нет линии фронта – на передовой под атакой может оказаться любая компания. Если раньше атаки проводились в основном для получения денег, и набор целей определялся перспективами монетизации, то теперь, как отметил директор департамента обеспечения кибербезопасности Минцифры России Владимир Бенгин, появились другие цели. «У многих нет задачи монетизации. Они уже монетизированы, чтобы развлекаться на большом киберполигоне – всей гражданской инфраструктуре нашей страны», – заявил он. А представитель Национального координационного центра по компьютерным инцидентам Сергей Корелов добавил, что после 24 февраля произошел тектонический сдвиг – все российские организации, даже раньше не интересовавшие киберпреступников, вышли из зоны комфорта и стали потенциальной мишенью злоумышленников.

«С 24 февраля начали “ломать” все крупные компании, в том числе нас. Наши специалисты полагают, что хактивистам помогали западные компании, потому что многие уязвимости и способы атак не наблюдались в публичных уведомлениях», – признал руководитель информационной безопасности компании СДЭК Павел Куликов.

Чрезвычайная ситуация требует чрезвычайных мер – быстрого повышения уровня информационной безопасности. Нет времени идти обычным путем внесения поправок в федеральные законы, регулирующие государственную службу, государственную безопасность, деятельность госкорпораций и безопасность КИИ. Согласно Конституции РФ, президент имеет право своими указами устанавливать нормы по вопросам, не урегулированным федеральными законами. И он этим правом воспользовался – подписал во многом чрезвычайный Указ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ).

К сожалению, многие российские компании не начнут действовать, «пока жареный петух не клюнет». Когда-то так вели себя даже банки. Но с 2007 г. регулятор в лице Банка России стал плавно закручивать гайки и выпускать стандарты по обеспечению информационной безопасности организаций банковской системы (СТО БР ИБСС), положения от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств …» и от 24.08.2016 № 552-П «О требованиях к защите информации в платежной системе Банка России». Он обязал финансовые организации предоставлять отчеты по инцидентам и начал проверять выполнение ими регуляторных требований. В результате в банках появились службы информационной безопасности, работа наладилась, и в настоящий момент они являются наиболее защищенными в киберпространстве гражданскими организациями.

В сегодняшней сложной обстановке государство решило не пускать дело на самотек и выдвинуло требования к информационной безопасности широкого круга органов и организаций (ОиО), причем не только созданных на основании федеральных законов (органов исполнительной власти, государственных фондов и корпораций), стратегических и системообразующих предприятий, но и всех юридических лиц, являющихся субъектами КИИ.

Органы и организации, на которые распространяется действие Указа Президента РФ от 01.05.2022 № 250
  • федеральные органы исполнительной власти; 
  • высшие исполнительные органы государственной власти субъектов Российской Федерации; 
  • государственные фонды;
  • государственные корпорации (компании) и иные организации, созданные на основании федеральных законов. Например, РЖД, «Росатом»;
  • стратегические предприятия и стратегические акционерные общества, перечень которых утвержден Указом Президента РФ от 04.08.2004 № 1009 «Об утверждении перечня стратегических предприятий и стратегических акционерных обществ»;
  • системообразующие организации российской экономики. Например, «Ростелеком», «1C», «Яндекс»;
  • юридические лица, являющиеся субъектами КИИ РФ, т.е. подпадающие под действие Федерального закона от 26.07.2017 №187-ФЗ «О защите критической информационной инфраструктуры РФ».

Значимость ИБ-службы сильно возрастает – согласно Указу, отвечать за информационную безопасность должен заместитель руководителя ОиО. В терминологии западных компаний – Chief information Security Officer (CISO), т.е. руководитель высшего звена организации, ответственный за разработку и реализацию стратегии и программы защиты ее информационных активов и технологий.

К началу июня правительство РФ должно подготовить типовые положения о заместителе руководителя и об обеспечивающем информационную безопасность структурном подразделении, которые конкретизируют возлагаемые на последних обязанности. Но, как отметил В. Бенгин, уже сейчас ясно, что руководство организаций будет нести ответственность не за формальное выполнение требований регулятора, а за последствия инцидентов ИБ.

«Указ, не побоюсь этого слова, революционный. Он должен коренным образом поменять процессы обеспечения информационной безопасности на российских предприятиях. ИБ взяли на знамя, и это хорошо. Главное, чтобы не на древко, а то будет больно!», – прокомментировал появление нового правового акта бизнес-консультант Алексей Лукацкий.

Проблемы реализации

Однако выполнить Указ будет непросто. Первая проблема – кадры. Новые требования предъявляются ко всем субъектам КИИ, в число которых входят, в частности, небольшие транспортные компании и больницы. Если банков в настоящее время осталось менее четырех сотен и кадры для их служб безопасности найти можно, то количество организаций, подпадающих под действие Указа, достигает десятков тысяч, и комплектование их сертифицированными специалистами по информационной безопасности, которые прошли обучение, например, по согласованной с ФСБ и ФСТЭК программе продолжительностью 512 ч, – задача не тривиальная. Даже если создавать службы безопасности из одного человека, как это практиковалось раньше в небольших банках. Сам в свое время совмещал должности заместителя ИТ-директора и руководителя службы ИБ банка, но сейчас в организациях – субъектах значимых объектов КИИ (ЗОКИИ) это невозможно: п. 13 Приказа ФСТЭК России от 21.12.2017 № 235 не допускает возложение на структурное подразделение ИБ функций, не связанных с информационной безопасностью. 

Вторая проблема – квалификация сотрудников создаваемых служб. «Большая часть промышленных предприятий уже имеет специалистов по информационной безопасности, хотя их качество оставляет желать лучшего. В лучшем случае они прошли курсы переподготовки, на которых можно изучить теорию, но не получить практические навыки. Специалистов с опытом будет катастрофически не хватать, а их стоимость – повышаться», – дал комментарий нашему изданию менеджер по развитию бизнеса компании «Ростелеком-Солар» Виталий Сиянов.

Третья проблема – деньги. Согласно закону о защите КИИ, при наличии в организации ЗОКИИ в ее штате должен быть человек, отвечающий за безопасность. Таким образом, у многих предприятий службы ИБ уже есть, поэтому заниматься их созданием не придется. Однако теперь ИБ-подразделения должны быть созданы и в организациях, имеющих незначимые объекты КИИ, которые ранее об этом не помышляли, считая, что хакерские атаки обойдут их стороной. Да и сейчас многие такие компании, особенно небольшие, сильно ограниченные в средствах, будут надеяться на авось, поскольку затраты на кибербезопасность могут подорвать их финансовую стабильность. В соответствии с принятым из-за санкций Постановлением Правительства РФ от 10.03.2022 № 336, в этом году проверки бизнеса проводиться не будут, так что выполнение требований Указа целиком зависит от сознательности компаний. По мнению В. Сиянова, введение новых должностей они будут оттягивать до последнего и только через год-два поймут, что это необходимо, и требования реализуют. 

Четвертая проблема – оборудование. В Указе говорится, что с 1 января 2025 г. ОиО «запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними». C программным обеспечением для ИБ, как считает В. Сиянов, особых сложностей не будет, а вот с аппаратное обеспечение вызывает беспокойство. На стендах выставки PHD-22 были представлены решения на китайских аппаратных платформах, но в целом наш восточный сосед пока занимает осторожную выжидательную позицию. Юридическая сторона запрета пока непонятна. «Термина «недружественные действия» нет в нашем законодательстве. Но с юридической точки зрения такие действия должны быть определены: или прямо поименованы, или сформулированы критерии их определения. Следует также отметить, что Указ не запрещает использование зарубежных средств защиты информации (вопреки получившему распространение мнению). Логично предположить, что можно будет использовать средства защиты информации китайского или индийского происхождения, в том числе аппаратные комплексы. Кроме того, в ч. 6 ст. 16 Федерального закона № 149 «Об информации, информационных технологиях и защите информации» указано, что федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации. То есть Указ Президента РФ (подзаконный нормативный правовой акт) не может установить запрет, за ним должно последовать изменение федерального законодательства», – пояснил член правления Ассоциации руководителей служб информационной безопасности Константин Саматов. 

Пятая проблема – дополнительные риски. В Указе говорится, что организации должны обеспечивать сотрудникам ФСБ беспрепятственный доступ (в том числе удаленный через интернет) к своим информационным ресурсам и исполнять их указания, данные по результатам мониторинга. Постоянный удаленный доступ к информационным ресурсам – это дополнительная угроза информационной безопасности, в том числе из-за коррупционных рисков. Возможно, на практике такой доступ будет предоставляться по требованию, например, для аудита систем защиты при проверке регулятором. Еще лучше – по запросу организации для помощи в отражении атаки или расследования ее проведения. Но пока создание такого канала – большой вопрос, требующий разъяснений от регулятора.

Ждать или выполнять

Понятно, что все проблемы информационной безопасности самой организации решить трудно, особенно если в штате нет высококвалифицированных ИБ-специалистов. Но Указом предписывается, чтобы сторонние компании, которые могут привлекаться к работам по ИБ, обязательно имели лицензии на осуществление деятельности по технической защите конфиденциальной информации. Так что организациям придется провести инвентаризацию договоров с подрядчиками, оказывающими услуги ИБ.

Прежде всего это касается ключевых ОиО, перечень которых в начале июня должно определить правительство. Им необходимо оценить уровень защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСТЭК и ФСБ, и уже до 1 июля 2022 г. представить доклад в правительство. Так что подпадающим под действие Указа ОиО стоит внимательно отслеживать изменения законодательства. И, конечно, всем ОиО уже сейчас надо повысить внимание к своей информационной безопасности. В этом им помогут как раз указания ФСТЭК и ФСБ, выпускаемые с учетом меняющихся угроз в информационной сфере.

Также стоит внимательнее отнестись к вопросам импортозамещения. Не для всех средств информационной защиты из недружественных стран есть российские аналоги. Прекращение их поддержки заставляет искать пути выхода из сложной ситуации. «C точки зрения киберустойчивости предприятиям не надо пытаться моментально заменить все. Нужно идти от задач. Не менять одну коробку на другую, а понимать, что и для чего делается, как из имеющихся “кубиков” собрать архитектуру, позволяющую не допустить реализации неприемлемых для предприятия рисков. Создать доверенную среду из оказавшихся недоверенными компонентов. Прежде всего нужно поменять центр мониторинга безопасности с импортного на отечественный, а такие решения на рынке есть», – считает генеральный директор компании Innostage Айдар Гузаиров.

Можно уже начинать выполнять Указ, можно ждать разъясняющих документов от регуляторов, можно тянуть до конца, пока не станут понятны штрафные санкции за его невыполнение. Все зависит от конкретной организации, зрелости бизнеса и опыта – многих «жареный петух» уже «клюнул». В любом случае в большинстве ОиО есть люди, понимающие важность обеспечения информационной безопасности, и Указ поможет им отстоять свои взгляды перед руководством.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!