Исполнение закона о безопасности КИИ – на каком этапе находятся участники рынка

Требования федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации» обсуждались во вторник на секции «Безопасность КИИ: практические аспекты» форума по практической безопасности Positive Hack Days в Москве, передаёт корреспондент D-Russia.ru. Почти все выступавшие сошлись во мнении, что исполнение требований данного закона находится пока в самом начале длинного пути, его применение только начинает налаживаться, и ещё ни одна организация не прошла полный цикл подготовки к исполнению закона.

По словам ведущего секции, в США аналогичный закон был принят в 1998 году, у нас же вступил в силу только в 2018 году.

Нормативная база, необходимая для исполнения закона, ещё только формируется. Были названы цифры – правительство приняло 100% документов по КИИ, ФСТЭК – 90%, ФСБ только 20%. Компаниям, по словам участника, необходимо настраиваться на «долгосрочный тренд в этом направлении», но не «бежать впереди паровоза». Приводилась аналогия с законом о персональных данных, которому уже 10 лет, а требования к его исполнению до сих пор меняются, отчего те компании, которые первыми стремились соблюсти закон, теряли деньги.

В секции приняли участие Алексей Новиков (Национальный координационный центр по компьютерным инцидентам, НКЦКИ), Дмитрий Васильев («Интер РАО»), Дмитрий Афанасьев («Мегафон»), начальник отдела эксплуатации и поддержки систем информационной безопасности компании «Ростелеком» Дмитрий Царёв, директор департамента мониторинга и реагирования на киберугрозы «Ростелеком» Владимир Шадрин, представители Газпромбанка, компаний Positive Technologies, «Инфотекс», R-Vision, Solar Security (к сожалению, не все выступающие представлялись по именам – ред.).

Слева направо: ведущий секции, директор центра кибербезопасности и защиты «Ростелеком» Муслим Меджлумов, Алексей Новиков (НКЦКИ), Дмитрий Васильев («Интер РАО»), Дмитрий Афанасьев («Мегафон»), представители Газпромбанка и Positive Technologies. Фото (с) Татьяна Костылева.

Участники затронули вопросы, что является объектом КИИ, как проводится категоризация объектов, обсудили проблемы внедрения требований по безопасности КИИ и предложили рекомендации по их практическому выполнению.

Представитель «Ростелекома» поднял вопрос – «Что является КИИ?» По его словам, это «почти все отрасли» — объекты КИИ с присвоенной категорией значимости, объекты КИИ без категории значимости, исключения составляют судебная сфера, прокуратура, пищевая промышленность, водоснабжение.

Для выполнения закона необходимо провести категорирование объектов КИИ, формализовать их присоединение к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), создать или модернизировать ИБ-системы значимых объектов КИИ.

Для телеком-операторов таковыми могут быть системы управления транспортными сетями, сетями передачи данных, телефонными сетями, IT-системы, обеспечивающие поддержку работы сетей и ЦОД.

По словам представителя R-Vision, при категорировании объектов КИИ необходимо определить их «принадлежность» по признакам: социальная значимость, политическая, экономическая, экологическая, оборонная и пр. Для каждой категории будут свои требования.

Остаются неясным, как распределить ответственность [за безопасность объекта КИИ], если крупная компания привлекает подрядчиков (об этом говорил представитель «Интер РАО»). Необходимы также методические рекомендации по категорированию («обращение к регуляторам вопрос не проясняет»).

В «Мегафоне» сообщили, что работы по категорированию объектов КИИ и разработка стандартов по категоризации и по тому, что считать «ИБ-инцидентом», ведётся всеми четырьмя игроками «большой четвёрки» операторов. В числе проблем, с которыми столкнулся оператор – широкая географическая сеть и множество объектов, которые, возможно, подходят под категорию КИИ (вплоть до вышек с базовыми станциями). Стандарты для телеком-операторов он пообещал представить осенью.

Представитель Газпромбанка большой проблемы в исполнении закона пока не видит, т.к. банки с 2004 года ведут аналогичную работу с ЦБ («Финсерт»), и сейчас лишь сличают требования Центробанка с требованиями закона о КИИ.

Новиков (НКЦКИ) сообщил, что в 2017 году с участием ГосСОПКА отработано более 300 серьёзных компьютерных инцидентов, что более чем в пять раз больше показателя 2016 года.

НКЦКИ создаётся ФСБ в соответствии с законом о безопасности критической информационной инфраструктуры (КИИ) Российской Федерации.

Передача сведений в ГосСОПКА об инцидентах на объектах КИИ со временем станет обязательным. Пока что участие в ГосСОПКА добровольное. Всего на данный момент к ГосСОПКА на добровольной основе подключились более 1,5 тысячи объектов КИИ.