Не более 30% иркутских компаний начали приводить ИТ-инфраструктуру в соответствие с законодательством о защите КИИ – эксперты Softline

Вывод из строя такого объекта способен парализовать деятельность целого района или населенного пункта, а иногда чреват реальной катастрофой – скажем, если речь идет об объектах, работающих в химической или атомной отрасли.

А владельцы бизнеса, в случае серьезного инцидента, повлекшего за собой причинение вреда здоровью людей, могут быть привлечены не только к административной, но и к уголовной ответственности. Вопрос безопасности объектов КИИ и защиты АСУТП стал главной темой встречи клубов ИТ- и ИБ-директоров Иркутска, организатором которой стала компания Softline.

Специалист по защите критической инфраструктуры промышленных предприятий группы компаний Softline Максим Прохоров: «В последние два года заметен рост киберпреступности не только по количеству, но и по качеству исполнения.

Организации, попадающие под пристальный взгляд нарушителей, несут крупные финансовые и репутационные потери. Атаки шифровальщиков-вымогателей WannaCry и ExPetr показали уязвимость ИТ-инфраструктуры государственных органов, финансовых компаний, а также нанесли урон технологическому сегменту сети промышленных предприятий. Именно в технологическом сегменте эксперты выявили большое количество уязвимостей, так как долгое время обеспечению безопасности в этой сфере не придавалось должного значения. Например, в отчете ICS-CERT за 2017 год была опубликована информация о более 100 уязвимостях в компонентах АСУ ТП основных производителей.  

Предпосылки к формированию законодательной базы в сфере регулирования защиты объектов КИИ появились в начале 2013 г. с выходом первого опубликованного проекта НПА о необходимости создания ФЗ-187, резонансно запустивший волну обсуждений среди экспертов ИБ, не утихающую и в наше время. Ожидалось, что уже к концу года законопроект будет принят. Ожидания не оправдались — законопроект очень долго не вносился в Госдуму, пока в конце 2016 года тема безопасности объектов КИИ, да и информационной безопасности в целом, не стала проявляться более остро.

В частности, в 2014 году был выпущен 31-й приказ ФСТЭК, в котором зафиксированы требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами. Единственный недостаток, в отличие от прежних подобных документов, – новый приказ не был подкреплен законодательно. То есть, рекомендации от регуляторов появились, а возможности привлекать к ответственности компании, не соблюдающие правила, – нет. На данный момент приказ проходит этап изменений в тексте, проводятся общественные обсуждения и независимая антикоррупционная экспертиза. Данная изменения необходимы против коллизий с 187-ФЗ. Вступление в силу нового закона вкупе с регламентирующими и методическими документами от регуляторов, поясняющими механизм соблюдения тех или иных норм, может вызвать настоящий бум в развитии инфобезопасности».

Несмотря на то, что проверки регуляторов могут начаться уже в этом году, готово к этим проверкам совсем небольшое число компаний. А в Иркутске ситуация почти катастрофическая: по оценкам экспертов Softline, если процедуру категорирования своих объектов начало около 30% местных компаний, подпадающих под действие ФЗ 187, то перестройкой ИТ-инфраструктуры к настоящему моменту занялись не более 5%.

Запросы от иркутских компаний на реализацию проектов, связанных с защитой АСУ ТП, начали появляться в компании около года назад, но долгое время они были единичными, массовый интерес к соответствию новым требованиям стал заметен только в 2018 году.

Менеджер по развитию информационной безопасности в СФО группы компаний Softline Дмитрий Ключников: «На мой взгляд, одна из важных причин, по которым организации тянут с приведением инфраструктуры в соответствие с новым законодательством – тот факт, что работа должна производиться сразу в нескольких направлениях. Необходимо обеспечить защиту IT-инфраструктуры, технологической сети и экономическую безопасность. В большинстве организаций, каждым из этих направлений занимается отдельное подразделение, а иногда и несколько отдельных подразделений в рамках одного крупного направления. Нередко это влечет за собой разногласия при попытке выяснить, кто должен взять на себя основную работу по контролю за исполнением требований законодательства. В этом случае организацию эффективного межведомственного взаимодействия внутри компании можно поручить независимому стороннему эксперту в лице опытного интегратора».

Если ваша компания потенциально попадает в список субъектов критической информационной инфраструктуры, и вы по каким-то причинам еще не начали работы по приведению в соответствие с новым ФЗ, то можно назвать шесть шагов, которых следует совершить:

1. Создать внутри организации рабочую группу по обеспечению безопасности критической информационной инфраструктуры. В нее должны войти представители всех подразделений, которых так или иначе коснутся перемены.
2. Уточнить актуальный перечень нормативных документов – принятых и планируемых к принятию.
3. Пересмотреть решения и/или бюджеты по текущим или планируемым в ближайшее время внедрениям с учетом требований по обеспечению безопасности критической информационной инфраструктуры.
4. Провести инвентаризацию существующих систем и оценить возможность их отнесения к значимым объектам КИИ.
5. Провести GAP-анализ (диагностический аудит) для потенциальных значимых объектов КИИ на предмет обеспечения в них информационной безопасности и соответствия нормативным требованиям.
6. Провести бюджетную оценку приведения в соответствие с требованиями законодательства.

На четырех последних этапах (или, в случае необходимости – с самого начала) целесообразно привлечь к работе специализированную ИТ-компанию с доказанным опытом в области защиты КИИ, что позволит получить квалифицированную консультацию и существенно сократить время, требуемое на проведение работ.

Источник: Портал  SIA.RU от 12 июля 2018 г.