• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Закон о КИИ пять лет спустя

Закон «О безопасности критической информационной инфраструктуры Российской Федерации» № 187-ФЗ вступил в силу 1 января 2018 г. Однако только 7% компаний, приступивших к работам по выполнению требований закона, считают, что полностью завершили проекты.

Такие данные получены в результате анонимного опроса ИТ- и ИБ-руководителей крупных российских предприятий и госкорпораций, проведенного совместно компаниями «К2 Кибербезопасность» и Anti-Malware.ru в ходе исследования готовности субъектов КИИ к исполнению закона № 187-ФЗ. При этом 10% компаний даже не начинали такую работу, хотя времени для реализации требований закона было достаточно.

Источник: «К2 Кибербезопасность» и Anti-Malware.ru

Причин много. Опрос показал, что главная проблема — трудность подбора зрелого отечественного ПО и оборудования. А использование иностранного ПО запрещает вышедший в марте 2022 г. указ президента № 166 («О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ»). Под его действие подпадают практически все субъекты КИИ, осуществляющие закупки в соответствии с законом № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» для принадлежащих им значимых объектов КИИ. К таким организациям относятся бюджетные учреждения и компании с государственным участием, например, РЖД, «Газпром», «Роснефть». С 1 января 2025 г. им запрещается использовать средства защиты информации, произведенные в недружественных государствах либо организациями под их юрисдикцией, прямо или косвенно подконтрольными им либо аффилированными с ними.

Только 48% опрошенных считают, что отечественные решения удовлетворяют предъявляемым требованиям. Самая острая нужда в российских межсетевых экранах – об этом заявили 54% респондентов. После ухода зарубежных вендоров ситуация с этим видом оборудования сложная. Впрочем, сразу несколько российских компаний активно работают над созданием межсетевых экранов нового поколения, так что можно надеяться, что в ближайшее время проблема будет решена.

Затруднения возникают и с АСУ ТП, где непросто заменить широко распространенные специализированные решения западных вендоров и даже использовать для них российские наложенные средства защиты.

Источник: «К2 Кибербезопасность» и Anti-Malware.ru

Важный фактор, обусловливающий недостаточную активность компаний в реализации проектов по исполнению закона № 187-ФЗ, – понимание этого самого закона. Не все компании даже сознают, что являются субъектами КИИ. Сомнения трактуют в свою пользу. К тому же за то, что категорирование объектов КИИ не проведено, наказания не предусмотрено. Но если начал выполнять закон – собрал комиссию по категорированию, составил перечень объектов, отправил в ФСТЭК и стал субъектом КИИ, – то проблемы могут появиться. Подойти формально, отписаться, что значимых объектов КИИ нет, и отрапортовать о выполнении законодательства не получится. При любом инциденте или проверке может быть выявлено преднамеренное занижение показателей при категорировании. А это уже уголовная статья.

Впрочем, как оказалось, отказ от категорирования тоже не помогает. Анализ уголовных дел показывает, что суды не запрашивали акты категорирования и сами решали, относится ли объект к КИИ. За нарушение требований выписывались штрафы (от 10 до 500 тыс. руб.), наступала иная административная или уголовная ответственность, предусмотренная законодательством.

Компании трезво оценивают риски кибератак, ситуацию с информационной безопасностью и понимают важность принятых законов – только 21% опрошенных считают, что требования регуляторов, отраженные в нормативной документации по КИИ, завышены. При этом 58% уверены, что срок, отведенный для реализации требований президентских указов № 166 и № 250 («О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»), достаточный.

Вместе с тем каждая пятая компания считает, что не успеет заменить все импортные решения отечественными. Однако законодательство о КИИ – это не тот случай, особенно в сегодняшней напряженной международной обстановке, когда можно надеяться на то, что строгость законов в России, как считается, компенсируется необязательностью их выполнения, и вспоминать народную мудрость «не спеши выполнять – отменят».  Эксперты едины во мнениях: даже если сроки сдвинут, выполнять закон заставят, и требования регуляторов будут только ужесточаться.

«Мы видим существенный сдвиг требований регуляторов в направлении практической, результативной кибербезопасности, в том числе с точки зрения реализации конкретных подходов на предприятиях: начиная от ответственности руководства и заканчивая процессами оценки и подтверждения уровня защищенности», – прокомментировал ситуацию архитектор решений по информационной безопасности Positive Technologies Михаил Кадер.

Компании неохотно признают факты взлома и утечек – даже в анонимном опросе 61% субъектов КИИ утверждали, что не сталкивались с инцидентами информационной безопасности. Верится в это с трудом, даже исходя из опыта активно пользующихся интернетом физических лиц. Трудно найти человека, которого не пытались бы «взломать» с помощью инфокоммуникационных технологий, как минимум с помощью социальной инженерии по телефону.

В любом случае события последних лет заставили осознать риски киберугроз. Компании стали вкладывать в информационную безопасность существенные средства. Для того чтобы выполнить требования закона № 187-ФЗ, 44% компаний увеличили бюджет на ИБ в несколько раз, причем 14% – в 10 раз. При этом половина считает, что затраты дешевле потенциального ущерба. Так что выполнение требований регулятора – в интересах самого бизнеса.