В рамках прошедшего в июне цифрового форума ITSF-2021 состоялась дискуссионная панель, посвящённая информационной безопасности критической инфраструктуры. Эксперты обсуждали широкий спектр вопросов, в числе которых были: практика реализации ФЗ-187, категорирование КИИ, импортозамещение, оценка ущербов при различных угрозах и многое другое. Модератором сессии выступил независимый эксперт по информационной безопасности Алексей Лукацкий.
В сессии приняли участие директор по развитию бизнеса и продажам в индустрии «Нефти и газа» компании Fortinet Аркадий Прокудин, руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев, директор по развитию бизнеса по информационной безопасности Макрорегионального филиала «Волга» компании «Ростелеком-Солар» Владимир Левин, заместитель директора Департамента информационной безопасности ЦБ РФ Андрей Выборнов, директор по ИБ «Ак Барс Банка» Владислав Бубенников и руководитель группы консалтинга и аудита информационной безопасности «ICL Системные технологии» Алексей Симцов.
Поднятая на круглом столе тема очень непростая, так как российское законодательство в данном контексте достаточно молодое. Прошло всего 3,5 года с момента вступления закона ФЗ-187 в силу, некоторые подзаконные акты вышли еще позже, некоторые готовятся в данный момент. И на сегодняшний день по оценке регуляторов в России существует порядка 1 млн объектов КИИ, и эта оценка, на взгляд экспертов дискуссионной панели, занижена из-за смены понятий, которые вкладывались в описание объектов КИИ. Буквально в феврале этого года ФСТЭК поменял свой подход, и сегодня под объектом КИИ понимается абсолютно любая информационная система, которая работает в организации из 13 отраслей, упомянутых в 187 законе. А это означает, что и системы для бухгалтерии и кадров, веб-сайт и электронная почта — все это может считаться объектом КИИ.
Сегодня бизнесу стоит пересмотреть свою точку зрения на категорирование объектов КИИ и на правильность отправки данных регулятору. Это связано с тем, что буквально месяц назад вступили поправки в Кодекс об административных правонарушениях, которые несут за собой административную ответственность и штрафы за непредоставление во ФСТЭК результатов категорирования.
Нововведения в законодательстве: мнения экспертов
Представители интеграторов, вендоров и бизнеса первым делом обсудили нововведения в законодательстве, как они проходили этапы категорирования и с какими трудностями столкнулись в объяснениях заказчикам, зачем вообще все это необходимо делать.
Представитель интегратора Алексей Симцов отмечает, что бизнес не готов выделять необходимые бюджеты на выполнение требований регуляторов, а обязанности по закрытию требований часто ложатся на плечи непрофильных специалистов, которые боятся брать на себя ответственность по защите КИИ и тормозят процессы.
— Например, в промышленности, при отсутствии отдела ИБ вся работа по СОИБ ложится на технологов, метрологов АСУ ТП, на специалистов по эксплуатации оборудования. В связи с этим, не разбираясь в процессах и из-за боязни взять на себя эту боль по КИИ, исполнители часто тормозят работы. С нашей точки зрения, это не очень правильно, потому что чаще всего, особенно если это касается небольших систем, работы по реализации требований стоят не так дорого, как кажется. В большинстве случаев объекты получаются без категории, и сделать по ним необходимо по минимуму. Но бизнес не готов выделять требуемые ресурсы и находится в поиске максимально бюджетных вариантов. Поэтому мы часто сталкиваемся с дилеммой — выполнить качественнее или дешевле, постоянно ищем пути по сокращению затрат, — отмечает представитель интегратора.
Владислав Бубенников из «Ак Барс Банка» считает, что проблема настолько актуальна, что даже приходится сталкиваться с КИИ-диссидентами:
«Есть заказчики, которые решили пройти этот процесс формально, есть те, кто понял, что сделали неправильно, и они сейчас переосмысливают и перекатегорируют свои объекты. А есть те, кто надеется, что регулятор не обратит внимание, и что у них ничего не произойдет. Есть также КИИ-диссиденты, которые говорят «ну вот, когда к нам придут омоновцы в масках, тогда мы будем что-то делать». Как правило, это маленький процент, и в основном это такие компании, у которых есть проблемы по исполнению и других требований регуляторов. Но те бизнесы, которые понимают, что требования регуляторов можно повернуть в эффективность для бизнес-процессов, для самого бизнеса, он естественно получает от этого эффект, в том числе и коммерческий».
Эксперты отметили также, что важно рассматривать все нововведения в законодательстве не с точки зрения карательных мер, а с точки зрения возможностей для развития бизнеса. Важно донести до бизнеса, что все проведенные меры помогут защитить бизнес от рисков, потерь и простоев.
Представители финансовой отрасли отметили, что эта проблема в финансовой отрасли не стоит так остро, так как финансовые организации уже давно имеют регулятора в лице Центрального банка РФ, и определенным требованиям они уже частично соответствуют. Поэтому процесс категорировании КИИ для них проходит более гладко нежели для компаний, которые до этого не имели регулятора.
Представитель Центробанка Андрей Выборнов отметил, что они уже давно работают по отраслевому принципу:
«В свое время мы согласовали наш принцип обмена информацией с ФСБ. И сейчас наша система обмена информаций об инцидентах является таким хабом для взаимодействия финансового рынка с ГосСОПКой. У нас порядка 20 тысяч поднадзорных организаций, каждая из которых независимо от размера обязана информировать о компьютерных атаках через ГосСОПКу. И если говорить о требованиях ФСТЭК, то по нашим оценкам не так много организаций будут категорированы, как значимые, из нашего финансового сектора. Скорее всего это будут единицы».
Продолжение материала на сайте tadviser.ru.
