Журнал "Information Security/ Информационная безопасность" #6, 2019

Субъекты КИИ стараются "оптимизировать" свои уси- лия по выполнению требова- ний закона. Не секрет, что "оптимизация" почти всегда происходит на этапе катего- рирования объектов КИИ путем искусственного зани- жения их категории. Лет пять-шесть назад на одной из конференций без- опасники пришли к выводу, что в сфере ИТ есть импор- тозамещение, а в сфере ИБ есть импортосовмещение. Это связано с большим количеством технологий, для которых отсутствуют отечественные аналоги, в первую очередь это каса- ется микроэлектроники и операционных систем. Например, закон о персональных данных прошел этот путь за 10 лет, закон о цифро- вой (а затем и электрон- ной) подписи – тоже за 10 лет. А теперь вот закон о безопасности КИИ принят с опозданием даже не в 10, а в 15 лет. Почему так случается? К сожалению, законодатель не всегда достаточно осведомлен об ИТ-технологиях и уж тем более не всегда точно понимает сопутствующие ИТ-технологиям риски. И это беда всего миро- вого сообщества, зарубежные страны сталкиваются с анало- гичными проблемами. В итоге закон о безопасности КИИ все же принят, идет его реализация, но идет, надо при- знаться, тяжело. Есть закон, есть подзаконные акты, но нет понимания важности самой про- блемы обеспечения безопасно- сти КИИ! С точки зрения психо- логии это звучит так: то, чего не понимаю, отрицаю. В резуль- тате субъекты КИИ стараются "оптимизировать" свои усилия по выполнению требований закона. Не секрет, что "оптими- зация" почти всегда происходит на этапе категорирования объ- ектов КИИ путем искусственно- го занижения их категории. Чтобы этого не происходило, ФСТЭК России, кроме прочего, нужно активнее работать совместно с МЧС России, пото- му что в первую очередь в защите нуждаются такие объ- екты КИИ, как ядерные, хими- ческие, относящиеся к обес- печению жизнедеятельности населения. Порядок, связанный с защитой такой значимой инфраструктуры, должен быть наведен как можно скорее, ведь кризис может случиться в любой момент. В этом процессе важна роль и общественных организаций – обмен честными данными об обнаруженных уязвимостях между субъектами информа- ционного взаимодействия может существенно улучшить ситуацию. Например, АРСИБ ведет такую работу с момента своего создания. Время умал- чивания и выстраивания эше- лонированной защиты прошло. Даже 10 лет назад типовой про- ект по ИБ, который строился полтора-два года, терял акту- альность на момент заверше- ния. Сейчас эти сроки еще сократились. С учетом закона о безопас- ности КИИ на сегодняшний день необходимо наводить элементарный порядок и выстраивать обмен информа- цией c центрами мониторинга (SOC/CERT/CSIRT). Начинать нужно уже сегодня, уже сей- час. Закон о безопасности КИИ стоит на двух столпах. Первый – мониторинг. Это прерогатива ФСБ России, для которой впер- вые за много лет предусмотрен новый вид деятельности, вне- сены дополнительные измене- ния в закон о ФСБ России. Вторая составляющая – суметь правильно защитить объекты КИИ. Это связано с деятельностью ФСТЭК России, которая готовит необходимые нормативные акты, направлен- ные на обеспечение безопас- ности. Тут же можно упомянуть и огромное количество доку- ментов по таким направлениям, как персональные данные, ГИС, АСУ ТП. Отмечу, что сейчас мы видим реинкарнацию закона об АСУ ТП (КСИИ), только с точки зрения КИИ. Лет пять-шесть назад на одной из конференций без- опасники пришли к выводу, что в сфере ИТ есть импорто- замещение, а в сфере ИБ есть импортосовмещение. Это свя- зано с большим количеством технологий, для которых отсут- ствуют отечественные аналоги, в первую очередь это касается микроэлектроники и опера- ционных систем. Уже лет пять обсуждается вопрос появления наших процессоров, но реаль- ные продукты единичны, и в массовом применении их нет. Соответственно, мы кричим про импортозамещение, про стимуляцию бизнеса, но ско- рость реализации этих идей оказывается крайне медлен- ной. Как это изменить? Ответ прост и очевиден: нужно кон- солидировать усилия и совмест- но создавать технологии, кото- рые сейчас выпадают из стека импортозамещения. Нужно обратить внимание на отече- ственные процессоры "Эль- брус" и мобильную операцион- ную систему "Аврора". Пока эти продукты находятся в начальной стадии развития и массово продаваться вряд ли смогут. По сути, даже эти продукты на настоящий момент нишевые, они ориентированы на использование в органах государственной власти, они не массовые. Но когда будут созданы продукты с востребо- ванной на сегодняшний день функциональностью, вот тогда ситуация с импортозащением начнет кардинально изменять- ся. Нам нужно научиться соз- давать отечественые флагман- ские продукты. И все же идея импортозаме- щения – правильная, в том числе и с точки зрения под- держки промышлености. Но пока, исходя из того, что мы видим в последние 10 лет, есть ощутимая тревога за успеш- ность ее реализации. l 4 • В ФОКУСЕ Закон о безопасности КИИ опоздал на 10 лет же в 2005–2006 годах существовали предпосылки для принятия закона о безопасности КИИ. Обсуждавшаяся модель закона в целом была понятна в том числе благодаря быстрому развитию ИТ-технологий. Но так сложилось, что в России от момента осознания необходимости закона до момента его принятия и реализации обычно проходит от 10 до 15 лет. У Виктор Минин, председатель правления АРСИБ (Ассоциация руководителей служб информационной безопасности) Ваше мнение и вопросы присылайте по адресу is@groteck.ru