Какие изменения в правовом поле вступают в силу в 2018 году и что с этим делать бизнесу?

«Континент Сибирь» от 19 января 2018 г.

Особенности ведения бизнеса в России меняются от года к году. Рынок не стоит на месте, вместе с ним меняется и его правовая основа. Какие важные изменения вступят в силу в 2018 году? Приводим мнение нашего эксперта – Ивана Озерова, менеджера по развитию информационной безопасности в СФО компании Softline, – о ФЗ 187 «О безопасности критической информационной инфраструктуры Российской Федерации».

С 1 января вступил в силу ФЗ 187 «О безопасности критической информационной инфраструктуры Российской Федерации». Он регулирует меры по обеспечению кибербезопасности на предприятиях энергетического комплекса, нефтехимического, металлургического, машиностроительного, радио- и электротехнического и оборонного производства, пищевой промышленности и других (список довольно обширен). Вывод из строя такого объекта способен парализовать деятельность целого района или населенного пункта, а иногда чреват реальной катастрофой (если речь идет об объектах, работающих в химической или атомной отрасли).

Для реального применения нового закона требуется разработка ряда подзаконных актов, которые конкретизируют требования к организациям и порядок работы. В частности, в ближайшее время ожидает утверждения постановление Правительства РФ «Об утверждении показателей критериев значимости объектов КИИ РФ и их значений, а также порядка и сроков осуществления их категорирования», которое позволит организациям провести инвентаризацию и категорирование своих систем.

При этом искусственно занизить присвоенную объекту категорию значимости не получится, так как итоговый акт категорирования направляется на проверку в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.

Также уже на этапе формирования окончательного варианта текста находится проект приказа ФСТЭК «Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ», в котором общая структура документа и состав мер по обеспечению безопасности сильно напоминает уже ранее принятые приказы ФСТЭК, регулирующие меры защиты данных при их обработке в информационных системах персональных данных и государственных информационных системах.

Отдельной нитью в теме безопасности КИИ проходит создание и развитие Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), за которую отвечает 8-й центр ФСБ. Все организации критической информационной инфраструктуры должны организовать своевременную передачу данных в локальные подразделения ГосСОПКА. Предлагаемый принцип деятельности достаточно прост, но при этом эффективен – при обнаружении атаки одним из центров ГосСОПКА, информация об атаке и способах защиты распространяется внутри системы, что позволяет избежать эпидемии.

Сибирские компании активно интересуются темой развития информационной безопасности и соответствия новым нормативным документам, в частности, к нам обращаются предприятия в сфере транспорта, энергетики, топливно-энергетического комплекса. И если филиалам больших корпораций спускают сверху методические рекомендации по теме, то местные игроки остаются один на один с выполнением закона и возможной уголовной ответственностью. Мы наблюдаем повышенный интерес к разработке комплексных проектов по защите от киберугроз и построению систем управления информационной безопасностью.

Если ваша компания потенциально попадает в список субъектов критической информационной инфраструктуры, и вы по каким-то причинам еще не начали работы по приведению в соответствие с новым ФЗ, то можно назвать шесть шагов, которых следует совершить, не дожидаясь принятия всех нормативных актов:

1. Создать рабочую группу по обеспечению безопасности критической информационной инфраструктуры.
2. Уточнить актуальный перечень нормативных документов (принятых и планируемых к принятию).
3. Пересмотреть решения по текущим или планируемым в ближайшее время внедрениям с учетом требований по обеспечению безопасности критической информационной инфраструктуры.
4. Провести инвентаризацию существующих систем и оценить возможность их отнесения к значимым объектам КИИ.
5. Провести GAP-анализ для потенциальных значимых объектов КИИ на предмет обеспечения в них информационной безопасности и соответствия нормативным требованиям.
6. Провести бюджетную оценку приведения в соответствие с требованиями законодательства.

На четырех последних этапах, на наш взгляд, можно привлечь к работе компанию-интегратора для того, чтобы получить квалифицированную консультацию и существенно сократить время, затраченное на проведение работ.