Информационная безопасность в организации: план действий в новой реальности

1 мая 2022 года Президент России подписал Указ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Этот документ меняет подход к обеспечению кибербезопасности в организациях с критической информационной инфраструктурой (КИИ).

Распространяется ли Указ № 250 на вашу компанию, придется проверить самостоятельно. Реестр субъектов КИИ регулярно пополняется, но в публичном доступе его нет. Поэтому сейчас каждой компании важно понять, к какой сфере деятельности она относится, и следить за обстановкой, чтобы быстро выполнить требования указа в случае необходимости.

В государстве вопросам информационной безопасности стали уделять внимание на самом высоком уровне. Эксперты предполагают, что указ затрагивает как минимум 500 тысяч организаций — основных игроков экономических сфер: государственные структуры, системообразующие организации, стратегические предприятия и другие юридические лица, которые выступают субъектами КИИ.

1. Создать структурное подразделение и назначить ответственного за обеспечение информационной безопасности.

В указе есть пункт про персональную, в том числе уголовную, ответственность руководителя за обеспечение информационной безопасности в компании. А человек, которого назначат ответственным за кибербезопасность, должен подчиняться непосредственно руководителю организации, то есть занимать должность не ниже заместителя генерального директора. Если речь идет о холдинге, состоящем из нескольких юридических лиц, ответственный должен быть назначен в каждом юрлице. Эти нововведения существенно меняют отношение к вопросам организации информационной защиты.

2. Оценить уровень защищенности информационной инфраструктуры в компании.

Речь идет скорее о базовом самоконтроле, после чего компания сможет предпринять необходимые практические меры. На этом этапе необходимо выявить стратегические риски информационной безопасности, недостатки применяемых средств защиты информации и программного обеспечения, а также заняться поиском следов компрометации информационной инфраструктуры, в частности выявить уязвимости и недостатки информационной инфраструктуры, оценить возможность их использования злоумышленником. В результате компания должна получить адекватную оценку текущего уровня защищенности информации и выработать меры по устранению выявленных уязвимостей.

Такой подход необходим в первую очередь самой компании, чтобы понимать, что же на самом деле происходит у нее внутри. Например, может оказаться сюрпризом, что текущие решения не справляются с атаками на сеть.

3. Обеспечить должностным лицам ФСБ беспрепятственный доступ к информационным ресурсам.

Для каждого конкретного случая и предприятия решение, с помощью которого сотрудники ФСБ получат доступ к вашим ИТ-ресурсам, подбирается индивидуально после обследования информационной инфраструктуры. В любом случае сначала нужно провести ряд технических мероприятий, таких, как журналирование событий безопасности, выдача событий безопасности на согласованные ресурсы, обнаружение инцидентов безопасности, управление доступом, резервирование каналов связи и пр. Как правило доступ к ИТ-инфраструктуре компании организуется посредством криптозащищенных туннелей.

4. Полностью перейти на российские средства защиты информации к 1 января 2025 года.

Из России ушли практически все западные разработчики оборудования и программного обеспечения, наблюдаются серьезные проблемы с технической поддержкой. Российские ИТ-вендоры явно не были готовы к тому, что заменить иностранные продукты нужно будет так быстро. В связи с этим наблюдаются некоторые сложности с управляемостью, производительностью и масштабируемостью отечественных программных продуктов, не говоря уже о производстве железа. Также открытым остается вопрос, у каких стран сегодня можно закупать средства защиты информации, учитывая, что дружественные страны не поставляют в Россию подобные средства, и есть еще страны так называемой серой зоны.

В этой ситуации импортозамещение в области информационной безопасности является лишь частью комплекса мер по глобальной миграции и импортозамещению. Если перед организацией стоит необходимость перейти на отечественные решения, необходимо брать во внимание развитие ИТ в компании и импортозамещение в целом. В качестве решения оптимальным является построение концепции цифровизации на предприятии хотя бы на ближайший год. Такой подход может полностью себя оправдать, поскольку он гораздо результативней «лоскутного» импортозамещения, когда выполняется точечная замена ПО, СУБД или других компонентов информационной инфраструктуры.

5. Привлечь организации, лицензированные ФСТЭК, для обеспечения информационной безопасности.

В текущей ситуации компании должны проанализировать рынок подрядчиков в области обеспечения информационной безопасности на наличие у них необходимых лицензий. После этого нужно быть готовыми к необходимости оперативно взаимодействовать с ФСБ России и ФСТЭК России и выполнять их указания.

Для предприятий КИИ прямых рисков неисполнения указа пока нет, поскольку устанавливать требования для субъектов КИИ возможно только на уровне федерального закона или постановления Правительства РФ. Для государственных заказов неисполнение требований прямого распоряжения Президента РФ повлечет за собой различные виды дисциплинарного воздействия. Кодекс об административных правонарушениях подразумевает ответственность за невыполнение обязательных требований по защите информации для коммерческих предприятий.

В любом случае, принятие указа не означает, что все, кто моментально не выполнил его требования, будут наказаны. До конца 2022 года у организаций есть время разобраться в ситуации и выполнить базовые требования, а далее регуляторы начнут более активно проверять выполнение пунктов указа. При этом следует помнить, что в текущем году введен мораторий на большое количество надзорных мероприятий.

Компания «К-Технологии» имеет все необходимые лицензии на осуществление деятельности в области информационной безопасности и ряд других необходимых лицензий, а также большой опыт работы в проектах импортозамещения.