Поделиться
Создание систем безопасности: можно ли говорить о готовности КИИ к современным угрозам ИБ?
Александр Хонин
руководитель отдела консалтинга и аудита Angara Security
С 1 января 2025 г. организациям, являющимся субъектами критической информационной инфраструктуры (КИИ) РФ, запрещается использовать средства защиты информации и сервисы по обеспечению информационной безопасности, странами происхождения которых выступают недружественные России иностранные государства либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств. В сентябре 2024 года вступили в силу изменения в Правила категорирования объектов критической информационной инфраструктуры, которые освободили организации, являющиеся субъектами КИИ, от обязанности отправки перечней объектов КИИ во ФСТЭК России. Такие послабления должны помочь компаниям сосредоточить внимание на задачах реальной безопасности и ускорить процесс прохождения категорирования объектов КИИ. С подробностями — Александр Хонин, руководитель отдела консалтинга и аудита Angara Security.
Категорирование объектов КИИ: атаки на КИИ, процесс, системные проблемы
Категорирование — процесс оценки объекта КИИ по совокупности показателей. Исходя из их значений, объекту присваивается категория значимости (для граждан и государства) либо принимается мотивированное решение о ее отсутствии. На основании установленной категории значимости определяется базовый набор мер по обеспечению безопасности значимого объекта КИИ (ЗОКИИ).
По оценке экспертов отдела консалтинга и аудита Angara Security, на сегодня большая часть компаний, являющихся объектами КИИ, прошла процесс категорирования и приступает к созданию систем обеспечения безопасности объектов КИИ. Ряд компаний, уже отнесенных к категории ЗОКИИ, модернизируют ранее созданные системы. Но есть и те, кто даже не приступил к категорированию, несмотря на требования регуляторов.
С чем это связано? Есть несколько факторов, влияющих на безопасность объектов КИИ. Первый из них — не было и нет фактически требований по срокам проведения категорирования. Второй фактор — отсутствие больших штрафов и включение издержек за текущие нарушения в бюджет, что позволяло компании сохранять статус-кво. Предусмотренные законом штрафы для юридических лиц не превышают 100 тысяч рублей за нарушения при выявлении ошибок по организации и обеспечению безопасности, нарушения по срокам предоставления информации об утвержденной категории КИИ. Если же обозначить категорию значимости, необходимо делать следующие шаги: создавать систему обеспечения информационной безопасности, что требует увеличения бюджета на кибербезопасность.
Еще один фактор, который пугает субъектов КИИ, — это риск уголовной ответственности в случае произошедших инцидентов. Например, мы сталкивались с прецедентами, когда какие-то мошеннические действия, совершенные в рамках субъектов КИИ, классифицируются не в рамках ст. 159 УК РФ «Мошенничество», а подводят под ст. 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации» (до 6 лет тюремного заключения при нарушении правил использования, передачи или хранения сведений, повлекшем вред КИИ). Такая практика распространена, например в телекоме, когда утечка базы абонентов воспринимается как инцидент на объекте КИИ и классифицируется как нанесение ущерба субъекту КИИ.
Согласно разъяснениям ФСТЭК России, уголовная ответственность никак не связана с категорированием объектов КИИ и может наступить, даже если компания не категорировала свою критическую информационную инфраструктуру. В рамках судебного процесса, в ходе изучения материалов дела, суд может признать компанию субъектом КИИ и применить к ней соответствующую статью Уголовного кодекса.
Постепенно в каждой отрасли сформировались центры компетенции, которые тоже начали подталкивать нижестоящие организации к решению вопросов категорирования объектов КИИ. Доля прошедших категорирование субъектов КИИ в стране неуклонно растет.
Требования к поставщикам ИБ
Количество атак на цепочки поставок в мире растет в геометрической прогрессии. И российские компании не являются исключением. Прорабатывая и предъявляя к своим поставщикам и подрядчикам требования по информационной безопасности, компания значительно снижает вероятность таких атак.
Однако в настоящее время вопрос возможности предъявления требований по обеспечению ИБ к поставщикам не прописан в законодательстве и может попадать в поле зрения, например, ФАС. Практика существует на уровне взаимодействия компаний частного сектора, которые могут прописать требования по безопасности в договорах с поставщиками, например по пентестам и аудитам ИБ. В госсекторе или в компаниях с госучастием они регулируются требованиями федеральных законов 44‑ФЗ и 223‑ФЗ. ФАС не везде и не во всех отраслях позволяет провести требования по ИБ как ограничивающие конкуренцию. Можно предположить, что это направление в будущем получит развитие и совершенствование со стороны регуляторов.
Еще один актуальный на сегодня вопрос — внесение требований к безопасной разработке программного обеспечения (DevSecOps). Безопасная разработка — новый процесс для отрасли ИБ. Пока рынок кадров не готов обеспечить все заинтересованные организации DevSecOps-инженерами, которые смогут внедрить как организационные процессы безопасной разработки, так и технические. При этом на рынке можно найти поставщиков ИБ-услуг, которые предлагают провести аудит зрелости процессов разработки, сформировать рекомендации по построению DevSecOps-процессов и дорожную карту развития защищенности процесса разработки, а также реализовать эти мероприятия.
Методы оценки защищенности
Популярная сегодня тема Bug Bounty, оценки защищенности с помощью программ по поиску за вознаграждение уязвимостей и багов в программном обеспечении, сервисах или инфраструктуре заказчика, актуальна для компаний, достигших определенной зрелости в сфере инфобеза. По оценкам ФСТЭК России, базовые требования к информационной безопасности соблюдают лишь около 10% компаний, которые относятся к сфере КИИ. И позиция самого регулятора заключается в том, что с какими-либо инициативами в части закона о Bug Bounty выходить пока рано. В настоящее время такие программы активно реализуются на нескольких платформах Bug Bounty, в которых в том числе принимают участие и госорганы.
Эксперты Angara Security также согласны, что делать программы Bug Bounty обязательными пока рано. На сегодняшний день нет никакого смысла приходить в компанию, где не налажены базовые процессы ИБ, и предлагать пентест и аудит безопасности, проводить Bug Bounty. Первоначально необходимо выстроить базовую ИБ, что прописано на законодательном уровне в нормативно-правовых актах и требованиях ФСБ и ФСТЭК России. Когда реализованы организационно-технические мероприятия, построена система безопасности, достигнут определенный уровень зрелости, тогда уже можно будет говорить об оценках защищенности и методах ее проведения.
Импортозамещение
Еще один важный аспект в теме обеспечения безопасности объектов КИИ разных отраслей — импортозамещение.
Переход на отечественные продукты связан не только с требованиями Указов Президента России и подзаконных актов, но и с геополитической обстановкой и уходом в 2022 году иностранных компаний. Мы столкнулись с ситуацией, когда импортное оборудование одномоментно превратилось в «кирпич»: был потерян функционал, а западные партнеры никак не реагировали на происходящее. Во многом с этим связан переход на российское программное обеспечение, однако он идет не так легко, как многим хотелось бы.
И здесь стоит разделять отрасли. Если мы говорим про информационную безопасность, то у нас есть решения практически по всем классам средств защиты информации. В некоторых моментах российские решения могут уступать западным аналогам по функционалу или производительности, но это вопрос времени. Эти решения будут дорабатываться, и в конце концов мы придем к желаемому и требуемому результату.
Поделиться
Короткая ссылка
