+7 (495) 980-67-76

Круглый стол: "Безопасность объектов КИИ: нормы и правила"

20 сентября 2018

Закон № 187-ФЗ «О безопасности КИИ РФ» установил базовый набор мер информационной защиты для российских компаний из ключевых отраслей. Редакция журнала "CONNECT" решила обсудить с экспертами различных организаций, насколько данные меры адекватны современным угрозам в сфере кибербезопасности и насколько они реализуемы.

Экспертом от АО "ДиалогНаука" выступил Игорь Тарви, ведущий архитектор систем безопасности АСУ ТП.

Какова доля коммерческих компаний, которым придется соблюдать требования к ИБ, регламентированные законом № 187-ФЗ «О безопасности КИИ (критической информационной инфраструктуры)»?

В определениях закона указываются сферы деятельности, на которые распространяются требования по обеспечению безопасности критической инфраструктуры, а именно: здравоохранение, наука, транспорт, связь, энергетика, банки, финансы, ТЭК, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая отрасли промышленности. Закон причисляет к критической информационной инфраструктуре все компании, информационные системы которых функционируют в указанных сферах деятельности.

Зафиксированные в приказах № 235 и № 239 ФСТЭК требования к ИБ КИИ являются, по вашему мнению, адекватными, избыточными или недостаточными?

Зафиксированные в приказах № 235 и № 239 ФСТЭК России требования к обеспечению безопасности значимых объектов КИИ являются вполне адекватными и выполнимыми.

В приказе № 235 определяются общие требования к созданию и функционированию системы безопасности ЗОКИИ, определены силы и средства, с помощью которых должна обеспечиваться безопасность объектов КИИ, обязанности их владельцев по построению службы информационной безопасности. Также даны рекомендации для структуры и содержания организационно-распорядительной документации по безопасности ЗОКИИ. При этом ФСТЭК России не стала предлагать какой-то конкретный перечень ОРД, ограничившись лишь его содержанием, оставив за субъектами КИИ право выбирать форму и наименование документов, регламентирующих деятельность по защите ЗОКИИ, а также возможность включения определенных положений в состав уже имеющийся в компании нормативной документации по ИБ. ФСТЭК России не стала навязывать и применение сертифицированных средств защиты информации, отдав это на усмотрение субъектов КИИ, обязав применять такие средства лишь в случае, если этого требует законодательство РФ.

Что касается приказа № 239,то он устанавливает требования к самим системам защиты, которые обеспечивают безопасность объектов КИИ от целенаправленных атак. В данном приказе определен состав мер, которые необходимо выполнить для защиты объектов КИИ. Следует отметить, что состав мер не нов и по большей части совпадает с аналогичным из приказа ФСТЭК России № 31 (АСУ ТП) от 14 марта 2014 г. Также многие аналогичные меры присутствуют в приказах № 17 (ГИС) и № 21 (ПДн) – прослеживается желание ФСТЭК России прийти к единому, общему для всех приказов перечню мер защиты.

Представители каких из указанных в Законе № 187-ФЗ сфер деятельности, по вашему мнению, наиболее продвинулись в обеспечении ИБ значимых объектов КИИ (ЗОКИИ)? Что необходимо сделать, чтобы «отстающие» в кратчайшие сроки реализовали требования к ИБ для своих объектов?

В основном больше всего продвинулись те компании, которые связаны с энергетикой, и промышленные предприятия. Многие из них и до вступления в силу Закона № 187-ФЗ считались критически важными объектами и к ним применялись особые требования по обеспечению безопасности. На таких предприятиях на производстве для автоматизации управления технологическим оборудованием задействованы автоматизированные системы управления технологическими процессами (АСУ ТП), нарушение функционирования которых может привести не только к остановке производства, но и нанести серьезный ущерб для жизни и здоровья людей, для окружающей природной среды, экономики и обороноспособности страны и т. д. Руководство таких предприятий придает большое зна- чение обеспечению безопасности своих автоматизированных систем от возможных кибератак. Для защиты автоматизированных систем на подобных предприятиях ранее ФСТЭК России был принят приказ № 31 от 14 марта 2014 г. «Об утверждении Требований к обеспечению защиты информации в АСУ ТП на КВО, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». Данный приказ можно считать преддверием Закона № 187-ФЗ, набор мер защиты из приказа № 31 по большей части перекочевал в приказ № 239, что облегчает реализацию требований закона о КИИ для тех компаний, где уже проводились работы по приведению защиты в соответствие с требованиями приказа № 31ФСТЭК России.

Необходимо отметить, что многие банки также уже реализовали большой комплекс мероприятий, предусмотренный требованиями Закона № 187-ФЗ. Это связано с тем, что кредитно-финансовые организации должны соответствовать целому ряду отраслевых стандартов по защите информации, таким как PCI DSS, СТО БР ИББС, положению № 382-П ЦБ РФ и др., которые предполагают реализацию мер, пересекающихся с требованиями Закона № 187-ФЗ.

Для реализации требований ИБ в минимальный срок необходимо запустить в компании процедуру категорирования объектов КИИ, определить критические процессы и состав систем, обеспечивающих их выполнение, направить перечень объектов КИИ, подлежащих категорированию в ФСТЭК России и, не откладывая в долгий ящик, заняться приведением в соответствие организационно-технических мер защиты. Для экономии времени эти процессы можно выполнять параллельно. Стоит отметить, что с момента направления перечня объектов КИИ, подлежащих категорированию, во ФСТЭК России владельцам объектов КИИ отводится на выполнение необходимых работ до одного года.

Возможно ли удовлетворить требования регулятора по созданию службы управления ИБ и построению системы защиты до конца этого года? Какие сроки завершения процедуры категорирования вам кажутся наиболее реалистичными?

На мой взгляд, создание службы ИБ и проведение процедуры категорирования не должно занять много времени, тем более что после направления первичного списка объектов КИИ в ФСТЭК России ком- паниям дается до одного года для проведения категорирования своих систем.

Что касается построения системы защиты, то для тех компаний, которые изначально уделяли должное внимание обеспечению без- опасности своих систем, например в рамках выполнения требований по защите персональных данных или АСУ ТП, и реализовали комплекс технических мероприятий по построению системы защиты, это вполне реально. Тем компаниям, в которых вопросам безопасности критических систем уделялось гораздо меньше внимания, конечно, потребуется приложить больше усилий. Но даже если очевидно, что в такой компании не удастся завершить полный комплекс мероприятий до конца года, тем не менее очень важно как можно раньше начать построение системы защиты, что позволит существенно минимизировать потенциальные риски от возникновения угроз безопасности критических систем.

Насколько, на ваш взгляд, затратно будет соблюдение обнародованных требований регуляторов?

Построение адекватной защиты требует определенных затрат, но, на мой взгляд, требования Закона № 187-ФЗ выглядят вполне корректно, в них отсутствует избыточность. В целом перечень необходимых работ для выполнения требований № 187-ФЗ сравним с тем, что проводится для выполнения требований, например, к защите персональных данных или защите АСУ ТП, при этом во многом эти требования перекрывают друг друга. Потому если в компании уже выполнялись подобные работы, то это может существенно снизить затраты на выполнение требований № 187-ФЗ.

Насколько сложна, по вашему мнению, реализация требований регуляторов для небольших владельцев ЗОКИИ? Возможно ли появление рынка аутсорсинга услуг по защите ИБ для таких владельцев?

В целом принципиально новых требований № 187-ФЗ не добавил, в том или ином виде они уже встречались в других документах ФСТЭК России, и велика вероятность, что часть требований в компании уже выполняется, если ранее проводились мероприятия по построению системы защиты. Говоря о сложности реализации, стоит акцентировать внимание именно на технической составляющей – внедрении средств защиты. В этом плане небольшим владельцам ЗОКИИ может быть даже в какой-то степени проще выполнить требования – за счет либо меньшего количества ЗОКИИ, чем у крупных компаний, либо за счет их территориального распределения. Организовать защиту ЗОКИИ в рамках одной территориальной площадки проще и менее затратно.

PDF-версия вопросов и ответов круглого стола: «Безопасность объектов КИИ: нормы и правила».
300
Подписаться на статьи

Мы собираем пользовательские данные для улучшения работы сайта. Используя сайт, вы подтверждаете согласие на их обработку. Нажмите здесь, чтобы узнать больше.

;