КИИ: как преодолеть непонимание и что делать для выполнения требований регуляторов?

Несмотря на то, что государство сегодня уделяет особое внимание вопросам обеспечения безопасности критической информационной инфраструктуры (КИИ), большинству организаций все равно не до конца понятно, по каким признакам они могут быть причислены к КИИ. И тем более – к одной из категорий значимости. И насколько к ним относятся различные правила и требования. Пока разбирались с 187-ФЗ и указом 166 от 30.03.2022 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», подоспел документ – Указ 250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Это внесло дополнительную путаницу и непонимание. И в этом материале мы вместе с Федором Музалевским, директором технического департамента RTM Group, разберемся, какие из последних требований госструктур являются ключевыми, как их выполнять и какие последствия могут быть из-за невыполнения.

КИИ: как преодолеть непонимание и что делать для выполнения требований регуляторов?

Проблемы и последствия невыполнения требований законодательства в области КИИ

Для начала определимся с областью применения и «основной темой» каждого из значимых документов в данной сфере. Итак, Указ 166 сфокусирован на ограничениях закупок иностранного ПО вплоть до полного отказа от него в дальнейшем на значимых объектах КИИ (с 01.01.2025г.). В свою очередь, основная цель Указа 250 – реализация защиты информационной безопасности для определенных организаций.

После того, как появились два этих документа, регуляторы еще активнее стали оповещать субъекты КИИ о необходимости соответствия требованиям законодательcтва в области КИИ. Всем организациям из данной сферы теперь приходят от властей регулярные «письма счастья» с напоминанием о необходимости пройти категорирование.

Вот с какими ключевыми проблемами сталкиваются КИИ в своей деятельности (в том числе, выполняя требования регуляторов):

  • Отсутствие разъяснений

В большинстве случаев, когда выпускается новый нормативно-правовой документ, разъяснений к нему не существует. При этом законодательные акты написаны не всегда понятно, и, не разбираясь, организации просто не придают им большого значения, что впоследствии приводит к проблемам.

  • Недостаточное освещение в СМИ

«А вы знаете, что принадлежите к КИИ?» «Нет, а что это?»

Чаще всего, узнать что-то о КИИ можно лишь из нормативно-правовых документов или сухих пояснений к ним. Ну или когда к вам придет ФСТЭК России и настоятельно попросит провести категорирование. Также проверкой исполнения законодательства по КИИ занимается… прокуратура. Юридически логично, но иметь дело с прокурорской проверкой не хочет никто, а сотрудники безопасности – тем более.

СМИ чаще всего не уделяют пристального внимания этой теме, называя ее «узкоспециальной». И это несмотря на то, что к КИИ относится 14 сфер экономической деятельности (здравоохранение, металлургическая, банковская и иные финансовые сферы, энергетическая и т.д.).

  • Дорогое решение по ИБ

Организации, обладающие объектами КИИ (неважно – значимыми или незначимыми), должны обеспечить их адекватную защиту. Однако, для этого нужны ресурсы, начиная от человеческих (грамотно подобранный персонал и его обучение) и заканчивая техническими (что сопровождается покупкой необходимых решений в зависимости от класса защиты) и т. д.

Эта задача еще усложнилась с появлением Указа 166, поскольку субъекты КИИ, обладающие значимыми объектами, с 31 марта 2022 года не могут закупать иностранное ПО, за исключением организаций с муниципальным участием. А с первого января 2025 г., как мы уже отметили выше, органам госвласти и субъектам КИИ вообще запретят использовать иностранное ПО. А теперь посмотрим на конкретные цифры.

Здесь приведен примерный расчет стоимости внедрения средств защиты информации (СЗИ) для значимых объектов КИИ для третьей категорий значимости:

КИИ: как преодолеть непонимание и что делать для выполнения требований регуляторов?

А для защиты КИИ первой категории значимости требуются решения с 4 классом защиты (практически как для гостайны) – суммы увеличиваются примерно на 50%. И мы получаем сумму, близкую к 25-30 миллионам рублей.

  • Отсутствие сплошных уведомлений/предупреждений по субъектам КИИ

До выпуска Указов 166 и 250, уведомлений по субъектам КИИ о необходимости категорироваться не было. Сейчас же ФСТЭК, прокуратура и Министерства по тем сферам, что указаны в 187-ФЗ, активно сообщают о необходимости проведения категорирования. Получая уведомления, субъекты КИИ не знают, что делать, и обращаются в консалтинговые организации. Правда, справедливости ради стоит отметить, что с недавних пор и сам ФСТЭК стал давать консультации по вопросам проведения категорирования.

Какие меры предусмотрены для тех организаций КИИ, которые не выполняют требования закона? Основные из них изложены в КоАП РФ и УК РФ. Прежде всего, это:

  • Административные штрафы, которые получат должностные и юридические лица за то, что не провели категорирование, нарушили требования защиты ЗОКИИ и т.д. (статьи 13.12.1 и 19.7.15 КоАП РФ)
  • Уголовная ответственность, предусмотренная для должностных лиц или групп лиц за неправомерное влияние на объекты КИИ, за нарушение правил эксплуатации и т.д. (статьи 274 и 274.1 УК РФ).

250 Указ – что необходимо делать?

В соответствии с Указом №250, руководителям крупных предприятий различных отраслей необходимо сделать следующее:

  • Назначить ответственным за обеспечение ИБ, в том числе за мониторинг и ликвидацию компьютерных атак и инцидентов, заместителя руководителя организации;
  • Создать подразделение (или возложить на существующее необходимые функции) по обеспечению ИБ, включая мониторинг и ликвидацию компьютерных атак и инцидентов;
  • В случае необходимости обращаться в организации по информационной безопасности (обязательна лицензия на осуществление деятельности по ТЗКИ);
  • Обращаться в организации по осуществлению мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты (конкретно к государственным аккредитованным центрам);
  • Обеспечивать беспрепятственный доступ органам ФСБ для реализации мониторинга информационных ресурсов, связанных с сетью Интернет;
  • Незамедлительно реализовать требования организационных и технических мер от ФСБ и ФСТЭК России, получаемые в ведомственных письмах ДСП на регулярной основе с учетом меняющихся угроз в информационной сфере.

Наши рекомендации

Самое основное и важное – соблюдать законодательство. Незнание не освобождает от ответственности. Если вы до сих пор не провели категорирование, то начать сейчас самое время. т. к. плановые и внеплановые проверки ФСТЭК России не заставят себя долго ждать.

Что необходимо сделать поэтапно:

1. Утвердить перечень объектов КИИ

  • Определить, какими объектами вы обладаете (автоматизированная система управления технологическим процессом (АСУ ТП), информационные системы (ИС) или информационно-телекоммуникационные сети (ИТКС))
  • Создать комиссию по категорированию (она утверждается внутри субъекта КИИ, и в нее входят руководитель организации и сотрудники обособленных подразделений)
  • Утвердить приказом перечень объектов КИИ
  • Направить сведения об объектах во ФСТЭК России и регуляторам.

2. Провести категорирование

  • Оценить объекты КИИ по показателям критериев значимости (социальная, политическая, экономическая и экологическая значимость, а также значимость для обороны страны, безопасности государства и правопорядка)
  • Направить сведения о результатах проведения категорирования во ФСТЭК России

3. Исходя из категорирования и категории значимости, правильно реализовать защиту объектов КИИ на основании законодательства РФ.

Соблюдая данные этапы, вы с легкостью сможете избежать разногласий с регуляторами, минимизировать риски возникновений компьютерных инцидентов и избежать административной или уголовной ответственности.

Выводы

Для того, чтобы обеспечить максимальную защиту объектам критической информационной инфраструктуры, недостаточно выпустить большое количество законов и подзаконных актов. У тех организаций, на которых они направлены, должно быть четкое понимание процесса: что требует государство и зачем, какие шаги должны быть реализованы для выполнения этого, как повысить уровень безопасности своих систем. Без качественных разъяснений и направленных информационных потоков, без повышения осведомленности не помогут даже штрафы. Их будут платить, недовольство будет расти, а грамотный процесс наладить не получится.

По нашему мнению, здесь со стороны государства правильно было бы организовывать регулярные встречи и обсуждения по тематике КИИ. Вот ФСТЭК, к примеру, проводит теперь консультации по категорированию (сайт ФСТЭК России содержит контакты по координации обеспечения безопасности объектов КИИ), – неплохое начало. Но необходимо на регулярной основе проводить конференции, семинары, мастер-классы, чтобы у всех участников данной сферы было понимание процесса. И тогда у почти полумиллиона организаций, которые относятся к КИИ, будет все меньше вопросов, а государство сможет добиться поставленных целей.

Начать дискуссию