Все компании делятся на три типа: тех, кто думает об информационной безопасности, тех, кто не думает, и тех, кто пытается продать эскимосам снег зимой.
Время, когда информационная безопасность была уделом только крупных ИТ-компаний и высокотехнологичного бизнеса, прошло. Сейчас у любой компании десятки информационных систем, которые используются каждый день: бухгалтерия, учет кадров, реклама, маркетинг, рассылки, базы данных клиентов и подрядчиков, отраслевые и узкопрофильные системы — и это только начало списка.
Последние 3-4 года — одна большая череда скандалов об утечке данных пользователей. На 2023 год пришлась серия взломов вещания радио и телеканалов. Поэтому сегодня мы поговорим о достаточно сложной для широкой публики теме: объектах критической информационной структуры (КИИ) и о том, почему и как за ними следит государство.
Не удивительно, что некоторые сферы бизнеса, наиболее чувствительные для государства, взяты под отдельный контроль. Но это не нововведение минувшего года: Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» был принят еще в июле 2017 года. После массового ухода иностранных ИТ-вендоров из России закон дополнил указ Президента РФ № 166 от 30.03.2022 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».
Объектами критической информационной инфраструктуры закон считает информационные системы управления, работающие в следующих сферах:
- здравоохранения;
- науки;
- транспорта;
- связи;
- энергетики;
- банковской и иных сферах финансового рынка;
- топливно-энергетического комплекса;
- атомной энергии;
- оборонной и ракетно-космической промышленности;
- горнодобывающей, металлургической и химической промышленности.
К субъектам КИИ относят две большие группы:
- Обладатели объектов КИИ — государственные органы, учреждения и бизнес, владеющие системами в перечисленных выше отраслях.
- Организации, обеспечивающие взаимодействие между объектами КИИ.
Субъекты КИИ делятся на две большие группы в зависимости от своего масштаба и степени влияния на жизнь общества — обычные (скажем, районная поликлиника) и значимые (например, атомная электростанция). Значимые, в свою очередь, делятся на 3 категории.
От «величины» категории значимого объекта КИИ зависит набор организационных и технических мер, которые должен предпринять бизнес или госучреждение.
Что это значит для бизнеса?
Компаниям из сфер КИИ необходимо провести мероприятия, направленные на определение критичности используемых информационных систем, и обеспечить информационную безопасность критических систем. Простыми словами, обеспечить полную информационную безопасность.
Кроме того, о каждом инциденте информационной безопасности, будь то фишинговое письмо или вирус на флешке сотрудника, предприятия из этих сфер обязаны информировать Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Среди того, что требуется от бизнеса, — как организационные, так и технические меры защиты информации: от проектирования систем защиты информации до их внедрения и обеспечения эксплуатации.
Новое главное слово в информационной безопасности — импортозамещение
Зачастую в промышленных организациях используются специализированные отраслевые решения, построенные на базе инфраструктурных продуктов иностранных вендоров, что создает дополнительные трудности при обеспечении их защиты и соответствия установленным требованиям.
Всем российским госорганам и госкомпаниям до 1 января 2025 года необходимо импортозаместить используемое программное обеспечение и средства защиты информации. По приказу Правительства РФ уже с августа 2022 года госкомпаниям запрещено закупать иностранное программное обеспечение, даже если у него нет отечественных аналогов (исключения в персональном порядке согласует Минпромторг).
18 июля 2022 года на совещании Правительства было поддержано решение запрета на использование иностранного программного обеспечения на негосударственных объектах критической информационной инфраструктуры в стране. Когда и в каком порядке частному бизнесу из сферы КИИ нужно будет перейти с зарубежного на российское ПО еще предстоит определить Кабинету министров.
Что делать бизнесу, если он — субъект КИИ?
Один из главных принципов как в жизни, так и в бизнесе — минимизация рисков. Поэтому первое, что мы предлагаем нашим клиентам в Цифроматике — экспресс-аудит безопасности ИТ-инфраструктуры. То есть как минимум нужно понять, какие у компании есть слабые стороны, на каком софте все работает.
При тестировании ИБ компании сотрудники Цифроматики выступают в роли белых хакеров, которые пытаются найти лазейки в системе защиты и продемонстрировать возможности получения доступа к информации, информационным системам и компонентам ИТ-инфраструктуры. По статистике почти все подобные тесты на проникновение заканчиваются успехом и при этом проходят незаметно для рядовых ИТ-специалистов.
Нет сомнений, что не только государственные компании, но и частный бизнес из сферы КИИ обяжут перейти на российское ПО. И пока есть время, правильным будет действовать, а не ждать.
Соблюдение закона и реальная защита от атак - это 2 разных мира, вообще рядом не стоявших друг с другом. Что и говорить, в понимании крючкотворов сотрудник ИБ вообще может не иметь опыт атак. Но в реальности без опыт работы в "черной зоне" не возможно предотвратить хоть сколько-то значимую целевую атаку.
Российский закон о защите КИИ - это просто очередная кормуха, увы.
То есть если я руковожу веб-студией которая поддерживает сайт медцентра и размещаю там новости от минздрава, то моя компания относится к пункту "Организации, обеспечивающие взаимодействие между объектами КИИ"?
Антон, если коротко, то ответ — «Нет». «Обеспечение взаимодействия» не равно «обеспечение функционирования». Под взаимодействием понимаются, в первую очередь, сети электросвязи (которые сами не являются объектами КИИ), или центры обработки данных.
Ваш сайт на WordPress с устаревшим nginx - это нормально, безопасно?