Журнал "Information Security/ Информационная безопасность" #4, 2020

В Минэнерго России для координации выполнения компаниями ТЭК требова- ний законодательства по обеспечению безопасности объектов КИИ создана рабо- чая группа, в состав которой вошли представители ФСТЭК России, ФСБ России, Минкомсвязи России и крупнейших компаний ТЭК. Минэнерго России взаи- модействует с образова- тельными учреждениями, имеющими профессиональ- ные программы в области информационной безопас- ности. параметров безопасности раз- личных классов. Такой подход подразумевает в том числе раз- витие и использование ПО, спо- собного эффективно работать в новых условиях и решающего как традиционные, так и новые задачи. – Насколько актуальна проблема устаревшего технологического обору- дования для реализации закона о безопасности КИИ? – Указанная проблема, если ориентироваться на открытые публикации, характерна не только для нашей страны, но и для Европы, что отмечается в отчетах ENISA. Проблемой является то, что для устарев- шего технологического обору- дования нельзя использовать встроенные, а в отдельных слу- чаях и наложенные средства защиты (например, перестают поддерживаться средства защи- ты для старых версий опера- ционных систем). С учетом проводимого регу- лярного переоснащения субъ- ектов ТЭК нельзя сказать, что она имеет определяющий характер. Вместе с тем остав- шаяся доля устаревшего обо- рудования все еще такова, что не позволяет игнорировать дан- ную проблему. – Как построен процесс взаимодействия мини- стерства с компаниями отрасли в части реализа- ции 187-ФЗ? – Учитывая специфику отрас- ли, роль министерства в вопро- сах, связанных с организацией обеспечения безопасности объ- ектов КИИ ТЭК, очень важна. В Минэнерго России для коор- динации выполнения компания- ми ТЭК требований законода- тельства по обеспечению без- опасности объектов КИИ соз- дана соответствующая рабочая группа, в состав которой вошли представители ФСТЭК России, ФСБ России, Минкомсвязи Рос- сии и крупнейших компаний ТЭК. Такая форма взаимодействия позволяет не только доводить до организаций отрасли требо- вания законодательства, разъ- яснять требования регуляторов, но и получать обратную связь по актуальным вопросам реа- лизации требований законода- тельства в сфере обеспечения безопасности КИИ. На сегодняшний день рабочая группа переформатирована в комиссию по координации обеспечения безопасности КИИ объектов ТЭК. Министерством постоянно осуществляется мониторинг и контроль реализации законо- дательства в области обеспече- ния безопасности КИИ субъ- ектами ТЭК, в том числе по вопросам импортозамещения оборудования и ПО. Стоит обратить внимание на еще одну значительную про- блему – острую нехватку ква- лифицированных специалистов в области информационной без- опасности. К сожалению, зача- стую бывает так, что специали- сты, задействованные в реше- нии задач обеспечения инфор- мационной безопасности объ- ектов КИИ, не обладают доста- точным набором компетенций. В рамках решения этой про- блемы Минэнерго России взаи- модействует с образователь- ными учреждениями, имеющи- ми профессиональные програм- мы в области информационной безопасности. Например, между мини- стерством и РГУ нефти и газа (НИУ) имени И.М. Губкина под- писано соответствующее согла- шение о сотрудничестве. Ана- логичное соглашение подписа- но между министерством и Мос- ковским энергетическим инсти- тутом, где также осуществляет- ся подготовка специалистов по информационной безопасности. – В какой стадии нахо- дится реализации требо- ваний 187-ФЗ в организа- циях отрасли? – Вступление в силу Феде- рального закона № 187-ФЗ и выход соответствующих под- законных нормативных-право- вых актов оказали существен- ное влияние на процессы, свя- занные с обеспечением инфор- мационной безопасности в ком- паниях ТЭК. Федеральным законом фак- тически определены три основ- ных этапа реализации его тре- бований: 1. Проведение категорирова- ния объектов КИИ. 2. Реализация требований по обеспечению безопасности значимых объектов КИИ в соот- ветствии с приказами ФСТЭК России. 3. Осуществление взаимо- действия с государственной системой обнаружения, пред- упреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федера- ции (ГосСОПКА). В настоящее время в органи- зациях отрасли категорирова- ние объектов КИИ фактически завершено, начинается переход ко второму этапу. Необходимо отметить, что ряд организаций, обладающих значимыми объ- ектами КИИ, уже давно присту- пили к реализации требований приказов ФСТЭК России. Параллельно идет организа- ционная работа по налажива- нию взаимодействия корпора- тивных центров мониторинга информационной безопасности с Национальным координацион- ным центром по компьютерным инцидентам, ответственным за функционирование ГосСОПКА. В целом на текущий момент времени реализация законода- тельства в области обеспечения безопасности КИИ компаниями ТЭК может быть признана удов- летворительной. Вместе с тем субъектам КИИ ТЭК необходимо завершить внедрение средств обеспечения информационной безопасности объектов КИИ и мероприятия по интеграции в структуру ГосСОПКА. l • 21 КИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru