Журнал "Information Security/ Информационная безопасность" #3, 2019

России, они обязуют субъекты КИИ про- водить категорирование и обеспечивать безопасность значимых объектов КИИ, оповещать о компьютерных атаках, в установленные сроки предоставлять информацию регуляторам. Все это касается различных аспектов так называемой бумажной безопасности, и здесь все достаточно полно зарегла- ментировано, остается только провести все указанные в законе и подзаконных актах мероприятия, задокументировать их и уведомить об этом ФСТЭК России. Причем таких мероприятий много, и их реализация потребует значительных уси- лий и ресурсов. Реальная безопасность Что касается реальной безопасности, здесь не все так гладко и просто. Субъектов КИИ, по самым скромным подсчетам, в России несколько десятков тысяч, и каждый имеет свою структуру, систему защиты информации, особен- ности функционирования объектов КИИ, в том числе: l уровень обеспечения ИБ; l наличие в штате работников, ответ- ственных за обеспечение безопасности значимых объектов КИИ; l разнородность применяемых решений автоматизации; l системы и средства обеспечения информационной безопасности; l уровень компетенции персонала и раз- работчиков систем автоматизации в области ИБ; l процедуры и политики обеспечения информационной безопасности. Далеко не каждый субъект КИИ имеет требуемый Правилами категорирования объектов КИИ уровень обеспечения ИБ, возможность выделить работника без- опасности, необходимые системы и СЗИ. Но при этом нормативные акты регу- ляторов предъявляют достаточно жест- кие требования к субъектам КИИ. Так, например, приказом ФСТЭК № 235 "Об утверждении Требований к созданию систем безопасности значимых объектов КИИ Российской Федерации и обес- печению их функционирования" субъ- ектам КИИ предписано выделять ответ- ственных за обеспечение безопасности значимых объектов КИИ, с обширным функционалом, требующим определен- ных компетенций в области информа- ционной безопасности, внедрять про- граммные и программно-аппаратные средства защиты информации, приме- нять организационные меры защиты и разрабатывать значительное количество документов по безопасности значимых объектов КИИ. И далеко не каждый субъект КИИ может это выполнить. Приказом ФСТЭК № 239 "Об утвер- ждении Требований по обеспечению безопасности значимых объектов КИИ Российской Федерации" определены тре- бования к применяемым мерам защиты для каждого класса значимых объектов (по 17 направлениям защиты), при этом реализация части указанных мер требует серьезных финансовых затрат, от финан- сирования введения в штат специалиста по безопасности до закупки и внедрения эффективных систем и средств обес- печения ИБ. Может получиться так, что кому-то придется либо фактически зано- во создавать систему безопасности, либо соотносить имеющуюся систему защиты информации с требованиями ФСТЭК в части КИИ и при необходимо- сти ее дорабатывать с соответствующи- ми затратами. Работы по подключению к ГосСОПКА, также потребуют опреде- ленных затрат от субъектов КИИ. Таким образом, исполнение ФЗ-187 потребует существенных затрат как со стороны владельцев информационных систем, так и со стороны государства. Уголовная ответственность Можно также выделить еще один аспект "реальной" безопасности, опре- деляющий уголовную ответственность по ст. 274.1 Уголовного кодекса Россий- ской Федерации и предусматривающий ответственность за нарушения в сфере КИИ вплоть до лишения свободы сроком на 10 лет, в случае нарушений, повлек- ших тяжкие последствия. В законе о КИИ дается ясная трактовка: в случае, если объект КИИ не был защищен долж- ным образом и ему был нанесен вред, должностные лица могут понести ответ- ственность в рамках УК РФ. Конечно, противопоставлять "бумаж- ную" и "реальную" безопасность не совсем корректно: любая деятельность наряду с реальным выполнением орга- низационных и технических мероприятий требует их планирования, контроля и отчетности, фиксации результатов. Понятно, что часть требований настоя- щего закона должна быть закрыта соот- ветствующими перечнями объектов КИИ, актами категорирования, моделями угроз, техническими заданиями и заключениями соответствия, которые предоставляются регулятору. Другая часть требований закона может быть реализована внедрением и использова- нием программных и программно-аппа- ратных средств защиты. Все это направлено на создание реаль- ной, действующей системы безопасности объектов КИИ страны. И в этом плане ФЗ-187 безусловно важен и нужен и уже фактически работает: так, по информа- ции директора НКЦКИ Н. Мурашова, в 2018 г. ГосСОПКА выявила более 4 млрд компьютерных атак на россий- скую критическую инфраструктуру. Толь- ко на информационную инфраструктуру чемпионата мира по футболу было совершено более 25 млн вредоносных воздействий. Реализация закона должна позитивно сказаться на деятельности организаций, которые сегодня зачастую несут прямые потери от своего невнимания к пробле- мам безопасности, с учетом того, что в последние годы существенно увеличи- лось число компьютерных атак и зло- умышленники постоянно находят новые способы их реализации. Тенденция последних лет – ужесточение требований информационной безопасности, особен- но для госсектора и КИИ, – является необходимой ответной мерой злоумыш- ленникам. l • 7 В ФОКУСЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Реклама