Что нужно знать операторам связи о критической информационной инфраструктуре

Более 50 тысяч информационных систем на российских предприятиях ― объекты критической инфраструктуры. Объясняем, что это означает и какие изменения их ждут с 1 января 2025 года.

В июле 2024 года Госдума приняла в первом чтении законопроект о переходе объектов критической информационной инфраструктуры на использование российского ПО. Процедура принятия закона далека от завершения, но участники рынка уже обсуждают его возможные последствия.

Выполнение требований закона влечет рост расходов компаний, в том числе операторов связи, ведь все они ― субъекты КИИ. Как соответствовать новым требованиям и справляться с дополнительной нагрузкой на бизнес?

Мы — компания «Сетевые решения», разработчик биллинговой системы LANBilling для операторов связи. В этом материале разберем основные термины и понятия, связанные с безопасностью критической информационной инфраструктуры (КИИ), и приведем рекомендации экспертов по соблюдению необходимого минимума требований.

В 2024 году Россия вошла в пятерку стран, которые за последний год чаще других подвергались кибератакам.

По результатам опроса более трехсот представителей крупного бизнеса и госкомпаний, в среднем предприятия теряют из-за хакерских атак около 20 млн руб. в год. Чаще всего хакеры похищают средства со счетов, перехватывают контроль над сетевым оборудованием, заражают локальные сети, а также сайты и приложения компаний.

Последствия кибератаки на крупное предприятие не ограничиваются убытками для бизнеса. Действия хакеров могут угрожать общественной безопасности в самых разных сферах — транспорт, финансы, телекоммуникации и многое другое. По этой причине государство требует от бизнеса обеспечить защиту инфраструктуры, которая критически важна для жизнедеятельности общества.

Требования государства к технике кибербезопасности четко структурированы. Нарушителям грозит штраф, который может достигать 500 тысяч рублей, а при возникновении инцидентов с серьезными последствиями — даже уголовная ответственность.

Особенно чувствительны эти риски для субъектов критической информационной структуры, или КИИ. Третье место по количеству объектов КИИ в России занимают телекоммуникации и связь — их доля составляет 9%. На втором месте находится здравоохранение с 12%. Основная часть объектов (70%) сосредоточена на предприятиях топливно-энергетического комплекса.

Требования безопасности к КИИ определяет федеральный закон №187. Основные из них ― категорирование объектов, обеспечение работы СОРМ (системы оперативно-розыскных мероприятий), информирование государства о кибер инцидентах и создание системы защиты от кибератак.

Поговорим об этих требованиях подробнее.

Информационные системы предприятия по установленным критериям делятся на значимые и незначимые.

Значимые объекты КИИ операторов связи ― это прежде всего элементы ядра сети, например ПО для маршрутизации сигнального трафика и системы мониторинга работы радиосети.

Под категорирование подпадают системы, которые обеспечивают мониторинг абонентского оборудования, управление активным сетевым оборудованием региональных сетей, управление телеметрической информацией и другие.

Действуя в рамках закона, операторы стараются минимизировать количество значимых систем КИИ, подлежащих категоризации. Например, биллинговая система по закону к значимым не относится.

Каждой критически важной системе предприятие обязано присвоить одну из категорий в порядке значимости: первую, вторую или третью.

Порядок категорирования описан в постановлении правительства № 127. Например, для оператора связи категория зависит от количества абонентов, которых он обслуживает. Для третьей категории это до 1000 абонентов, второй — до 5000, и первой — свыше этого значения.

Как проходит процедура категорирования?

Результаты категорирования рассматривает Федеральная служба по техническому и экспортному контролю (ФСТЭК). Перечень объектов КИИ нужно отправить во ФСТЭК в течение пяти дней после утверждения. Получив результаты категорирования, ФСТЭК в течение 30 дней проверяет, правильно ли компания классифицировала объекты.

Затем регулятор вносит сведения в реестр значимых объектов КИИ либо уведомляет государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) о том, что на предприятии нет таких объектов.

Если ФСТЭК приходит к выводу, что категорирование проведено некорректно, в течение 10 дней он возвращает документ на доработку. Далее у компании есть 10 дней на то, чтобы устранить недочеты и выслать сведения повторно.

В сентябре текущего года пра­витель­ство изменило процедуру ка­тего­риро­вания. По мнению экспертов, изменения направлены на предотвращение случаев, когда организации умышленно снижают значимость объектов КИИ, чтобы сократить затраты на обеспечение их кибербезопасности.

«По сути, субъектов КИИ лишили полномочий проводить категорирование самим. Теперь госорганы формируют перечни типовых отраслевых объектов КИИ. На их основе будет производится категорирование фактически без участия субъектов КИИ», — поясняет гендиректор Security Vision Руслан Рахметов в интервью COMNEWS.

Провайдеры, являющиеся субъектами КИИ, должны сообщать о компьютерных инцидентах в систему ГосСОПКА, следовать рекомендациям по противодействию угрозам, а также участвовать в расследованиях и ликвидации последствий атак.

Объектам КИИ требуется усиленная защита, а именно:

Для защиты информации субъекты КИИ должны использовать сертифицированные средства, внесенные в реестр ФСТЭК. Например, комплекс «Shield Multi Service — FW» — сертифицирован регулятором, а Google Workspace — нет.

На основе категорирования и анализа угроз операторы связи создают систему информационной безопасности. При ее разработке необходимо учитывать как требования законодательства, так и специфику каждого объекта. Это может быть внедрение определенной парольной политики, а может — опечатка шкафов.

Если компания не сумела обеспечить должную защиту КИИ и произошел инцидент, руководство может понести уголовную ответственность. Она наступает как в результате намеренных действий, так и в результате бездействия (например, при необновлении вирусных баз). Если в ходе инцидента погибли люди, обвиняемым грозит лишение свободы до 10 лет.

Ассоциация региональных мультисервисных операторов Ростелсеть сформулировала пошаговые рекомендации для участников телеком-отрасли по работе с требованиями к объектам КИИ:

В июле 2024 года Госдума приняла в первом чтении законопроект, который предусматривает перевод более чем 18 тысяч объектов значимой критической инфраструктуры на российское ПО. Сроки вступления закона в силу еще не определены, но участники рынка уже готовятся к дополнительным издержкам, которые не ограничатся расходами на покупку новых программ.

Замена ПО повлечет за собой переобучение администраторов и пользователей. По данным Российской школы управления, процессы обучения затронули 85% работодателей, которые переходят на отечественный софт.

Таким образом, соблюдение требований безопасности объектов КИИ сопряжено с существенной финансовой нагрузкой на предприятие.

Это не единственный вызов для субъектов КИИ в 2025 году.

Эксперты отмечают, что для значимых объектов КИИ не всегда существуют отечественные аналоги сертифицированного ФСТЭК программного обеспечения. Кроме того, переход может быть затруднен из-за технических особенностей самих объектов.

Требования безопасности объектов КИИ — сложная и изменчивая среда, которая сочетает в себе регуляторные и технологические аспекты.

В телеграм-канале LANBilling мы следим за технологическими трендами, изменениями отраслевого законодательства, и помогаем нашим клиентам быть в курсе новостей телеком-рынка. Подписывайтесь!