Головна  /  контракт  /  Підписані президентом федеральні закони. Огляд законопроекту «Про безпеку критичної інформаційної інфраструктури Закон про безпеку критичної інформаційної інфраструктури киї

Підписані президентом федеральні закони. Огляд законопроекту «Про безпеку критичної інформаційної інфраструктури Закон про безпеку критичної інформаційної інфраструктури киї

контракт
11.10.2020

Серед досить великої кількості законодавчих ІТ / ІБ-нововведень, що вступили в силу в 2018 р, можна виділити Федеральний закон від 26 липня 2017 р № 187-ФЗ «Про безпеку критичної інформаційної інфраструктури Російської Федерації». Його актуальність видно хоча б тому, що він прийнятий у вигляді самостійного закону, а не поправок до раніше діючим документам. Але це ж показує, що мова йде про регулювання нової (для законодавства) ІТ-сфери, а тому можна очікувати, що процес практичного застосування закону буде проходити цілком природну «притирання».

З питаннями про те, як 187-ФЗ може вплинути на розвиток ситуації на корпоративному ІТ / ІБ-ринку, про перспективи його застосування, можливі проблеми і варіантах їх вирішення, ми звернулися до ряду експертів.

Що регулює новий закон

Одна з головних новацій закону - механізм реалізації «Державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації»(ГосСОПКА), яка, мабуть, повинна взяти під державний контроль всі вже існуючі системи ІБ і стати єдиним центром управління всім цим господарством.

Закон розширює перелік інформаційних систем (для них вводиться поняття «критична інформаційна інфраструктура», КВІ), до яких пред'являються обов'язкові вимоги з безпеки з боку держави і власники яких тепер несуть відповідальність, в тому числі кримінальну. Як пояснив директор по методології та стандартизації Positive Technologies Дмитро Кузнєцов, під КВІ розуміються ІТ-системи державних і комерційних організацій, Збої в яких (в тому числі в результаті хакерських атак) можуть привести до тяжких соціальних, політичних, екологічних та інших наслідків.

З точки зору директора по ІБ компанії РТ-ІНФОРМ (Центр компетенцій по ІТ та ІБ держкорпорації Ростех) Олександра Евтеева, важливим є те, що закон визначає порядок категорирования значущих об'єктів КВІ, порядок держконтролю в області забезпечення їх безпеки, права і обов'язки організацій, яким належать суб'єкти КВІ.

У плані регулювання відносин у сфері забезпечення безпеки КВІ в умовах проведення хакерських атак закон виділяє два напрямки - забезпечення безпеки і протидія атакам. У цьому зв'язку директор департаменту ІБ компанії «Сервіоніка» (ГК «Айтек») Василь Степаненко нагадує, що відповідно до Указу Президента РФ від 25.11.2017 № 569 федеральним органом виконавчої влади, Уповноваженим в галузі забезпечення безпеки КВІ, є ФСТЕК Росії, а відповідно до Указу Президента РФ від 15.01.2013 № 31с повноваження зі створення ГосСОПКІ покладені на ФСБ Росії.

«ГосСОПКА повинна контролювати ступінь захищеності критичної інформаційної інфраструктури РФ від комп'ютерних атак, - зазначив Дмитро Огородніков, директор з розвитку Angara Technologies Group. - При цьому до цих пір не було чіткого розуміння, хто повинен конкретно підключатися до цієї системи. Тепер, з виходом 187-ФЗ, з'явилася ясність в цьому питанні. А саме, в законі вказали, що до ГосСОПКЕ повинні підключатися всі суб'єкти КВІ, причому незалежно від того, чи є у них значимі об'єкти КВІ чи ні ».

Начальник інформаційно-аналітичного управління Московської міської Думи Антон Таран серед ключових ідей закону виділяє необхідність створення єдиного центру моніторингу та управління ІБ для важливих з точки зору держави ІТ-систем. «Сьогодні центральна влада може не знати, що на якийсь центр управління ТЕЦ в Ханти-Мансійську напали хакери і вивели на дві години з ладу систему пожежогасіння. А тепер знатимуть і якось реагувати », - пояснив він.

Дійсно, тепер закон безпосередньо зобов'язує служби ІБ таких об'єктів передавати інформацію про зафіксовані атаках в ФСБ. Генеральний директор R-Vision Олександр Бондаренко вважає, що це дозволить налагодити обмін інформацією між фахівцями з ІБ і в цілому підвищить рівень захищеності об'єктів КВІ.

Що належить зробити суб'єктам КВІ і регуляторам для реалізації закону

«В частині ФСТЕК всім суб'єктам КВІ необхідно буде виконати ряд заходів, в тому числі виділення і категорирование об'єктів КВІ, виконання вимог з безпеки. Але у більшості організацій на сьогоднішній день вже реалізовані певні заходи безпеки (наприклад, відповідно до нормативними актами по ДІЗ та / або ПДН), тому їм потрібно співвіднести наявну систему захисту інформації з вимогами ФСТЕК в частині КВІ і при необхідності її доопрацювати », - вважає Дмитро Огородніков. У частині ФСБ, додав він, потрібно провести роботи по підключенню до ГосСОПКЕ, що, напевно, є самим обтяжливим заходом.

«Зараз ми чекаємо затвердження урядом правил категорирования об'єктів КВІ, а також затвердження вимог ФСТЕК по впровадженню заходів щодо захисту інформації на об'єктах КВІ в залежності від присвоєної категорії, - розповів керівник напрямку ІБ компанії" Системний софт "Яків Гродзенский. - Після того, як ці документи будуть затверджені, мабуть певний час забере у ФСТЕК робота з категорування об'єктів КВІ. Після цього почнеться масове впровадження відповідних рішень ».

«Відповідно до наказу ФСТЕК № 227 від 6.12.2017 про затвердження порядку ведення реєстру КВІ даний реєстр буде закритим. Відомості з нього направляються в ГосСОПКУ, а також можуть надаватися тільки державним органам або російським юридичним особам, які виконують функції з розробки, проведення або реалізації державної політики і (або) нормативно-правового регулювання у встановленій сфері », - зазначив Дмитро Огородніков. Додамо, що відповідно до Указу Президента від 02.03.2018 № 98 відомості, що розкривають заходи щодо забезпечення безпеки КВІ, а також відомості, що розкривають стан її захищеності, віднесені до державної таємниці.

Абсолютно певному можна сказати, що реалізація 187-ФЗ зажадає від учасників ринку додаткових зусиль, в тому числі фінансових витрат.

«В силу того, що кількість об'єктів і організацій, які підпадають під дію цього закону, переконливо, а рівень забезпечення ІБ на них не дуже високий, це зажадає серйозних інвестицій в безпеку. Таким чином, забезпечення захисту об'єктів КВІ може стати черговим драйвером ринку, яким свого часу став горезвісний закон про персональні дані », - впевнений Олександр Бондаренко.

«На ринку ІБ з'явиться новий вид послуг, орієнтованих на приведення у відповідність до вимог ФСТЕК в частині КВІ, а також послуги з підключення до ГосСОПКЕ. Тут можливі різні варіанти: створення відомчих центрів, підключення до корпоративних центрів і т. Д. Всі варіанти також зажадають закупівлі відповідних засобів захисту інформації », - вважає Дмитро Огородніков.

За словами Якова Гродзенский, організаціям, які підпадають під визначення суб'єктів КВІ, неминуче доведеться створювати центри ГосСОПКІ в своїй інфраструктурі. У зв'язку з цим буде необхідно реалізувати інтерфейс обміну інформацією з Головним центром. «У тому числі на основі вже існуючих рішень вітчизняних розробників потрібно впровадити систему обліку інцидентів і реагування на них (IRP), засновану на SIEM-рішеннях, які є частиною SOC організації. Крім того, необхідно проводити аналіз захищеності інфраструктури та впровадити рішення щодо підвищення обізнаності співробітників з питань ІБ », - пояснив він.

«Для постачальників засобів безпеки закон несе позитивні новини, але як це відіб'ється на ІТ-ринку - сказати складно, адже цілком можливо, що додаткові зусилля в напрямку безпеки будуть реалізовуватися за рахунок скорочення активності з інших ІТ-проектів», - ділиться своїми побоюваннями Антон Таран.

Але Олександр Євтєєв висловлює думку, що реалізація закону позначиться позитивно на діяльності організацій, які сьогодні часто несуть прямі втрати від свого неуваги до проблем безпеки: «В останні роки істотно збільшилася кількість інцидентів, пов'язаних з комп'ютерними атаками, зловмисники постійно знаходять нові способи атак. Тенденція останніх років до посилення вимог ІБ, особливо для держсектора і КВІ, є необхідною відповіддю ».

Мабуть, одним з важливих напрямків, які потрапляють в поле застосування 187-ФЗ, є системи управління технологічними процесами. На це, зокрема, звертає увагу Дмитро Кузнєцов: «Власники промислових підприємств і розробники засобів промислової автоматизації усвідомили, наскільки промисловість вразлива до атак, і зараз відбувається кооперація між виробниками систем АСУ ТП і компаніями, що спеціалізуються на аналізі захищеності таких систем ».

У свою чергу, Василь Степаненко зазначає, що закон має на увазі не проведення деякої одноразової акції по посиленню безпеки ІТ-систем, а постійну роботу в цьому напрямку: «Замовникам потрібно тепер постійно розробляти і здійснювати заходи щодо забезпечення безпеки, планувати бюджети на це, інформувати ФСБ про інциденти, розслідувати інциденти і сприяти представникам ФСБ і ФСТЕК ». За його словами, атестація КВІ буде проходити не в звичному форматі видачі атестата відповідності, а у вигляді перевірки виконання встановленого ФСТЕК мінімуму вимог і постійної оцінки ефективності заходів захисту з боку ФСБ.

Чи всі гладко в 187-ФЗ?

Досвід попередніх років показує, що реалізація прийнятих законів в області ІТ часом проходить досить складно. Виявляється, що якісь положення прийнятих актів важко виконати на практиці, а якимось важливим аспектам законодавці приділили недостатню увагу або зовсім упустили їх з поля зору. Регулярно виникає і проблема фінансування виконання вимог закону.

«Якість 187-ФЗ - не краще і не гірше аналогічних законів, пов'язаних з ІТ, - зазначає Антон Таран. - Є не до кінця опрацьовані визначення, що допускають неоднозначні тлумачення. Є розмитість формулювань. Як зазвичай буває, досить докладно прописані алгоритми адміністрування і функціонал уповноважених органів, оскільки від цього залежить подальше нормотворчість і зони відповідальності, а відповідно і бюджетополучатели. Поки не зрозуміло, якими будуть витрати бюджету на створення і функціонування системи. З огляду на, що законом передбачено створення національного координаційного центру з комп'ютерним інцидентів, витрати все ж чекають. Якщо тільки це не буде віртуальний центр ».

З тим, що виконання зажадає істотних витрат як з боку власників інформаційних систем, так і з боку держави, згодні всі експерти. Але Дмитро Кузнєцов упевнений, що такі витрати просто необхідні: «Проблема ІБ багатьма організаціями ігнорувалася. Необов'язковість захисту призвела до того, що в багатьох життєво важливих інформаційних системах відсутні елементарні механізми захисту. Хвороба стала запущеною, і зараз її лікування вимагає серйозних зусиль ».

Олександр Бондаренко бачить потенційну проблему закону в тому, що на його впровадження в реальне життя буде потрібно кілька років, так як критичні об'єкти в силу своїх особливостей зажадають серйозної адаптації існуючих механізмів захисту.

Те, що держава в настільки явному вигляді проявило заклопотаність питаннями безпеки КВІ, - добре. Але Василь Степаненко бачить проблему 187-ФЗ в тому, що він, на його думку, погано зістикований з іншими законами, які вже давно діють в ряді галузей, позначених як потенційні суб'єкти КВІ. Не ясно поки і з відповідальністю за виконання вимог закону, наприклад, де лежить зона відповідальності керівника суб'єкта, а де - інших посадових осіб. Чи не все зрозуміло і з фінансуванням. «Зобов'язати всіх виділяти бюджети і боятися перевірок можна, але без належного фінансування, в тому числі з боку держави, складно домогтися реальних результатів», - вважає експерт.

Що ж стосується перспектив закон, то, на думку Антона Тарана, про це говорити поки складно. З одного боку, чисто теоретично, систематизація, координація і стандартизація нікому ще не шкодили, і якщо майбутня система буде реально працювати, а витрати для економіки суб'єктів КВІ не перевищуватимуть потенційні ризики, то можна очікувати підвищення рівня безпеки. З іншого, говорити про оцінку ефективності закону буде дуже складно, поки не будуть визначені кількісні показники забезпечення безпеки.

Головну ж проблему закону він бачить у витратах для бізнесу. Адже окремо взятий суб'єкт цілком здатний забезпечити себе захистом від комп'ютерних атак і в цілому повинен володіти технологіями ІБ не гірше держави. Створення ж додаткових організаційних і, можливо, матеріальних витрат для будь-якого бізнесу має компенсуватися додатковими доходами, при цьому є ризик, що додаткові витрати не будуть компенсовані підвищенням рівня безпеки.

В цілому всі експерти згодні з тим, що практична реалізація закону в вирішальною мірою буде залежати від системи наступний нормативних підзаконних актів, які в тому числі повинні визначити відповідальність тих чи інших осіб за виконання закону.

«Про безпеку критичної інформаційної інфраструктури (КВІ) Російської Федерації» який вступив в силу 01 січня 2018 р поступово набирає обертів і поповнюється новими підзаконними актами, які часто не полегшують життя ІБ-фахівця. Давайте розберемося в ситуації з КВІ (ФЗ-187), що очікувати і що необхідно зробити.

ХТО МИ, КВІ АБО НЕ КВІ?

Насамперед необхідно з'ясувати, чи підпадає організація під поняття «суб'єкт КВІ» і зробити це можна подивившись законодавство. Чи не знайшли себе, видихніть, у вас трохи менше головного болю.

Які критерії вказують що ви суб'єкт КВІ?

Перший критерій - КВЕД організації. Класифікація видів економічної діяльності (КВЕД), вони, а їх може бути багато в одного підприємства, відкриваються в будь-який момент діяльності, тому актуальний список ви можете подивитися в виписці ЕГРЮЛ підприємства або інформаційно-довідкових сервісах «Контур Фокус», «Спарк» та ін. КВЕД явно вкаже, до якої сфери діяльності відноситься ваше підприємство і чи підпадає під перелік наступних галузей зазначених в ФЗ №-187:

  • охорону здоров'я;
  • наука;
  • транспорт;
  • зв'язок;
  • енергетика;
  • банківська сфера і інші фінансові сфери;
  • паливно-енергетичний комплекс;
  • область атомної енергії;
  • оборонна промисловість;
  • ракетно-космічна промисловість;
  • гірничодобувна промисловість;
  • металургійна промисловість;
  • хімічна промисловість;
  • юридично особи та / або ВП, які забезпечують взаємодію зазначених систем або мереж.

Якщо ваша організація відноситься до сфери охорони здоров'я (КВЕД 86), рекомендуємо для початку ознайомитися з цим матеріалом:

Другий критерій - ліцензії та інші дозвільні документи на різні види діяльності які відносяться до перерахованих вище сфер і які будуть у фокусі уваги згідно ФЗ №-187.

Третій критерій - установчі документи організацій, до них відносяться статути, положення організацій (якщо мова йде про державні органи), в яких може бути прописаний вид діяльності вказує на приналежність до критичних галузях.

Приклад з нашого досвіду проведення робіт з категорування. Компанія за основним видом економічної діяльності мала код КВЕД 46.73.6 «Торгівля оптова іншими будівельними матеріалами і виробами », на перший погляд ні чого особливого, до переліку галузей згідно ФЗ №-187 не потрапляє, і можна« спати спокійно ». Але при детальному вивченні статуту і ліцензій на види діяльності виявилося, що у компанії є ліцензія на діяльність з перевезення вантажів залізничним транспортом та власний парк залізничного транспорту. Виходячи з даних обставин, підприємство відноситься до галузі «транспорт» і отже, необхідно виконувати вимоги ФЗ №-187.

Потрапили під один критерій з трьох? Вітаємо, ви суб'єкт КВІ! Але потрібно пам'ятати, що кожен випадок розбирається індивідуально і ця тема окремого обговорення, присвячена категоріювання об'єктів критичної інформаційної інфраструктури яку розглянемо в наступних статтях.

Нормативно-правовий акт чітко визначає, що «до суб'єктів критичної інформаційної інфраструктури відносяться державні органи і установи, а так само російські юридичні особи та / або індивідуальні підприємці яким на праві власності, оренди або на іншій законній підставі належать інформаційні системи, Інформаційно-телекомунікаційні мережі, автоматизовані системи управління ».

У кожного суб'єкта КВІ є об'єкти КВІ:

  • інформаційні системи;
  • автоматизовані системи управління технологічними процесами;
  • інформаційно-телекомунікаційні мережі.

що функціонують у сфері охорони здоров'я, науки, транспорту, зв'язку, енергетики, банківській сфері та інших сферах фінансового ринку, паливно-енергетичного комплексу, в області атомної енергії, оборонної, ракетно-космічної, гірничодобувної, металургійної та хімічної промисловості, російські юридичні особи та (або ) індивідуальні підприємці, які забезпечують взаємодію зазначених систем або мереж.

СУБ'ЄКТИ КВІ:

  • Банківська сфера та інші сфери фінансового ринку;
  • Паливно-енергетичний комплекс;
  • Атомна промисловість;
  • Військово-промисловий комплекс;
  • Ракетно-космічна промисловість;
  • Гірничодобувна промисловість;
  • Металургійна промисловість;
  • Хімічна промисловість;
  • Наука, транспорт, зв'язок;
  • ЮЛ та ВП які взаємодіють з системами критичної інформаційної інфраструктури.

ОБ'ЄКТИ КВІ:

  • Інформаційні системи;
  • Інформаційно-телекомунікаційні мережі;
  • Автоматизовані системи управління технологічними процесами (АСУ ТП).

Об'єкти критичної інформаційної інфраструктури забезпечують функціонування управлінських, технологічних, виробничих, фінансово-економічних та інших процесів суб'єктів КВІ.

Процес визначення належності до суб'єкта критичної інформаційної інфраструктури не такий простий, як може здатися на перший погляд. Як ми говорили вище, є багато неочевидних факторів, які можуть впливати на результат, наприклад, відкриті додаткові, не основні, види діяльності за КВЕД або діючі ліцензії, які можуть віднести вас суб'єкту критичної інформаційної інфраструктури. Ми рекомендуємо провести більш детальне занурення в питання визначення приналежності до суб'єкта КВІ.

ЩО РОБИТИ ЯКЩО ВИ СУБ'ЄКТ КВІ?

З суб'єктом і об'єктом критичної інформаційної інфраструктури розібралися. Що необхідно зробити вам, як суб'єкту КВІ, далі?

Перший етап. Необхідно створити внутрішню комісію з категорування і визначити склад учасників з найбільш компетентних фахівців з вашим бізнес-процесів. Чому робиться акцент на бізнес-процеси і рівні компетенції учасників? Тільки «власник» бізнес-процесу знає всі нюанси, які можуть привести до їх порушення і подальшим негативних наслідків. Цей власник або компетентне уповноважена особа повинен бути в складі комісії для присвоєння правильної категорії значущості процесу.

Другий етап. На цьому етапі збираються вихідні дані, проводиться передпроектну обстеження і на підставі отриманих даних, комісія приймає рішення про наявність переліку об'єктів критичної інформаційної інфраструктури, що підлягають категоріювання і привласнює категорію значимості. Згідно з Постановою Уряду РФ від 08.02.2018 N 127 «Про затвердження Правил категорирования об'єктів критичної інформаційної інфраструктури Російської Федерації, а також переліку показників критеріїв значущості об'єктів критичної інформаційної інфраструктури Російської Федерації і їх значень» категорій значущості три, 1-я найвища.

  • соціальна;
  • політична;
  • економічна;
  • екологічна;
  • значимість для забезпечення оборони країни, безпеки держави і правопорядку.



На цьому етапі є один нюанс, після затвердження переліку об'єктів КВІ підлягають категоріювання, суб'єкт КВІ протягом 5 днів зобов'язаний сповістити про це ФСТЕК Росії. З цього моменту на проведення процедур категорирования відводиться максимум 1 рік. Якщо об'єкт КВІ не підпадає під один з показників критеріїв значущості, то у нього відсутня необхідність присвоєння категорії значущості, але тим не менш підприємство є суб'єктом КВІ у якого відсутні критично значимі об'єкти КВІ.

Результатом другого етапу є «Акт категорирования об'єкта КВІ», який підписується членами комісії і затверджується керівником суб'єкта КВІ. Акт повинен містити повні відомості про об'єкт КВІ і зберігається суб'єктом до подальшого перегляду критеріїв значущості. З моменту підписання акта, суб'єкт КВІ протягом 10 днів надсилає відомості про результати категорирования за затвердженою формою в ФСТЕК Росії (на момент написання статті форма на стадії узгодження остаточного варіанту). Протягом 30 днів ФСТЕК перевіряє дотримання порядку і правильності категорирования і в разі позитивного висновку, вносить відомості до реєстру значущих об'єктів КВІ з наступним повідомленням суб'єкта КВІ в 10-ти денний термін.

Третій етап, заключний. Мабуть, один з найбільш трудомістких і дорогих - виконання вимог щодо забезпечення безпеки значущих об'єктів КВІ. Не будемо вдаватися зараз в деталі, а перерахуємо ключові стадії щодо забезпечення безпеки об'єктів КВІ:

Більш детальну інформацію щодо термінів та етапів виконання вимог ФЗ-187 можна дізнатися з нашої статті: «». Так само на сторінці ви можете БЕЗКОШТОВНО завантажити стартовий комплект документів для початку робіт з категорування об'єктів КВІ.

ЩО БУДЕ ЯКЩО ЦЬОГО НЕ РОБИТИ?

Ми розглянули, хто такий суб'єкт критичної інформаційної інфраструктури, що таке об'єкт КВІ і які необхідно виконати дії для виконання вимог ФСТЕК. Тепер хотілося трохи поговорити про відповідальність, що виникає у разі невиконання вимог. Згідно Указу Президента РФ від 25.11.2017 р №569 «Про внесення змін до Положення про Федеральну службу з технічного та експортного контролю, затверджене Указом Президента РФ від 16.08.2004 р №1085» федеральний орган виконавчої влади (ФОІВ), уповноважений в області забезпечення безпеки КВІ є ФСТЕК. державний контроль в області забезпечення безпеки значущих об'єктів КВІ буде здійснювати ФСТЕК у вигляді планових та позапланових перевірок з подальшим розпорядженням в разі виявлених порушень. Планові перевірки проводяться:

  • по закінченню 3-х років з дня внесення відомостей про об'єкт КВІ в реєстр;
  • по закінченню 3-х років з дня здійснення останньої планової перевірки.

Позапланові перевірки будуть проводитися в разі:

  • по закінченню терміну виконання суб'єктом КВІ приписи про усунення виявленого порушення;
  • виникнення комп'ютерного інциденту, що призвів негативні наслідки;
  • за дорученням Президента РФ або Уряду РФ, або на підставі вимоги Прокуратури РФ.

Якщо ФСТЕК виявить порушення, буде виписано припис з конкретним терміном усунення, який можна буде продовжити по поважних причин, А ось у випадку з Прокуратурою РФ буде все складніше, тому що вона прийде до вас вже з постановою про адміністративне правопорушення, Посилаючись на статтю 19.5 ч.1 КпАП РФ про невиконання в встановлений термін постанови госнадзорного органу.

І ще трохи про заходи покарання, які були введені за недотримання вимог щодо забезпечення безпеки критичної інформаційної структури. Згідно з Федеральним законом від 26.07.2017 № 194-ФЗ «Про внесення змін до КК РФ і КПК РФ у зв'язку з прийняттям ФЗ« Про безпеку критичної інформаційної інфраструктури РФ »максимальна міра покарання, за порушення норм безпеки КВІ, становить позбавлення волі до 10 років . Мабуть, вагомий аргумент!

У подальших статтях ми більш детально розповімо про кожного з етапів виконання вимог ФСТЕК в області забезпечення безпеки критичної інформаційної інфраструктури. Підписуйтесь на повідомлення нашого сайті, приєднуйтесь до нас на Facebook і додавайте в закладки блог.

Ми пишемо про те, що робимо!

Зверніться в компанію «ДЦ РЕГІОНАЛЬНІ СИСТЕМИ»! В контексті вимог Федерального закону №-187 про безпеку критичної інформаційної інфраструктури фахівці компанії проведуть наступні види робіт:

  • аудит існуючої інфраструктури;
  • класифікацію наявних інформаційних активів;
  • оцінку ризиків інформаційної безпеки;
  • розробку моделі загроз інформаційній безпеці;
  • проведення категорирования об'єктів критичної інформаційної інфраструктури;
  • визначення рівня відповідності вимогам регуляторів щодо захисту інформації;
  • розробку плану поетапної реалізації вимог законодавства щодо забезпечення безпеки об'єктів КВІ;
  • формування бюджету на заходи щодо захисту інформації.

А так же, створять комплексну систему безпеки виробництва «під ключ», з огляду на архітектуру і специфіку вашого виробництва. Використовуючи кращі російські і світові практики по створенню систем безпеки знизять ризики і загрози бізнесу до мінімального рівня.

Відправити запит

На сьогоднішній день у суб'єктів КВІ вже повинні бути готові і передані під ФСТЕК Росії переліки життєво важливих елементів. Одні компанії зможуть зробити це своїми силами, інші можуть скористатися послугами консалтингових компаній і системних інтеграторів. Для приведення систем захисту у відповідність з Федеральним законом №187 від 26.07.2017 р «Про безпеку КВІ РФ» потрібно провести обстеження ІТ-інфраструктури і запланувати організаційні і технічні заходи. Але, як водиться, є нюанси.

Вступ

Ще рік тому, коли мова йшла про безпеку критично важливих об'єктів, на розум приходила захист промислових об'єктів, Наприклад гідроелектростанцій, і 31-й Наказ ФСТЕК Росії. Ситуація змінилася - на найвищому державному рівні було вирішено, що якщо, наприклад, кібератака зупинить на тиждень роботу великого банку, то збиток для людей буде, м'яко кажучи, значним. З 1 січня 2018 року набрав чинності Федеральний закон №187 від 26.07.2017 р «Про безпеку КВІ РФ», Що вводить поняття критичної інформаційної інфраструктури. Хто сьогодні підпадає під його дію і які заходи необхідно вжити для забезпечення безпеки відповідно до нових вимог - розповімо в статті.

187-ФЗ: що таке суб'єкти та об'єкти КВІ

Згідно закону «Про безпеку КВІ РФ», суб'єкти КВІ - це державні органи і установи, комерційні компанії або ІП, яким на законних підставах (наприклад, на правах власності або оренди) належать інформаційні системи (ІС), інформаційно-телекомунікаційні мережі (ІТКМ) і автоматизовані системи управління (АСУ), що використовуються в певних сферах діяльності. Ці ІС, ІТКМ і АСУ закон називає об'єктами КВІ, а їх сукупність становить критичну інформаційну інфраструктуру Російської Федерації. Під її безпекою мається на увазі стан захищеності, що забезпечує стійке функціонування при проведенні комп'ютерних атак, а функції контролю за виконанням закону покладено на ФСТЕК Росії указом Президента РФ №569 від 25 листопада 2017 г. «Про внесення змін до Положення про Федеральну службу з технічного та експортного контролю , затверджене Указом Президента Російської Федерації від 16 серпня 2004 р № 1085 » .

Кого стосуються вимоги 187-ФЗ про безпеку КВІ

Під вимоги законодавства про безпеку КВІ підпадають суб'єкти, що працюють в сфері атомної, ракетно-космічної, гірничодобувної, металургійної, хімічної та оборонної промисловості, охорони здоров'я, науки, енергетики, транспорту і зв'язку. Суб'єктами КВІ також є підприємства паливно-енергетичного комплексу та організації з банківської і фінансової сфери.

Щоб зрозуміти, чи потрібно вам подбати про захист об'єктів КВІ, доведеться перевірити коди КВЕД, Статутні документи та видані на відповідні види діяльності ліцензії. Якщо за формальними ознаками організація не відноситься до вказаних в ФЗ-187 галузям, розслаблятися не варто - необхідно проаналізувати бізнес-процеси та інформаційні системи (ІС, ІТКМ і АСУ), що працюють в регульованих галузях.

Як скласти перелік об'єктів КВІ

В першу чергу суб'єктам необхідно сформувати перелік об'єктів КВІ та провести їх категорирование. Для цього створюється спеціальна комісія, яка затверджується наказом - у ньому обов'язково вказується склад комісії, план заходів з термінами виконання, а також відповідальний за взаємодію зі ФСТЕК Росії (туди відправляється перелік об'єктів). Необхідно визначити виконувані суб'єктом КВІ управлінські, виробничі, фінансові процеси та виявити серед них критичні, порушення або припинення яких може стати причиною серйозних негативних наслідків. Потім потрібно виявити об'єкти КВІ, що відносяться до критичних процесів, скласти перелік підлягають категоріювання і передати його ФСТЕК протягом 5 днів з моменту затвердження. згідно рішенням №59 Колегії ФСТЕК Росії від 24.04.2018, Зробити це потрібно було до 1 серпня 2018 року.

Як визначити категорії значущості об'єкта КВІ

Критерії значимості розглянуті в постанові Уряду РФ №127 від 08.02.2018 «Про затвердження Правил категорирования об'єктів КВІ РФ, а також переліку показників критеріїв значущості об'єктів КВІ РФ і їх значень». Критеріїв всього п'ять: соціальний, політичний, економічний, екологічний, а також забезпечення обороноздатності, безпеки держави і правопорядку. У кожному критерії виділяється чотири категорії: перша (вища), друга, третя і найнижча - без значущості. Остання застосовується, якщо показники значущості нижче, ніж у третій категорії.

Перше, що потрібно зробити, проаналізувати уразливості і змоделювати дії зловмисників, які можуть привести до виникнення комп'ютерних інцидентів на об'єктах КВІ. В результаті формується модель загроз і модель порушника. Після цього необхідно оцінити показники критеріїв значимості, встановити відповідність об'єктів КВІ значенням цих показників і привласнити кожному з об'єктів одну з категорій значущості (або прийняти рішення про відсутність необхідності в привласненні категорії).

Показники значущості детально розписані всі в тому ж 127-му постанові уряду. Якщо взяти, наприклад, соціальний критерій, можна говорити про збитки для життя і здоров'я людей. Третя категорія присвоюється, якщо в результаті інциденту постраждає один і більше осіб, а перша - якщо є ризики для більш ніж 500 осіб. Наступний показник соціального критерію - порушення або припинення функціонування об'єктів забезпечення життєдіяльності населення. Це системи водопостачання, каналізації, теплопостачання, очищення стічних вод і електропостачання. Тут категорії присвоюються за площею, на якій виникають порушення. Третя категорія - муніципальні освіти, А перша присвоюється, якщо відбувається вихід за межі суб'єкта федерації.

Соціальний критерій оцінюється ще за кількома показниками: транспорт, мережі зв'язку та доступ до державних послуг. З іншими критеріями ситуація аналогічна - є безліч показників, і по кожному з них ми оцінюємо категорії відповідно до ступеня можливої \u200b\u200bшкоди: кількості постраждалих, порушених інцидентом територіям, часу недоступності послуг, зниження доходу, рівнем шкідливого впливу на навколишнє середовище і т. д. За результатами складаються акти категорирования об'єктів КВІ, які необхідно направити в ФСТЕК протягом 10 днів після підписання (наказ ФСТЕК Росії №236 від 22.12.2017 «Про затвердження форми направлення відомостей про результати присвоєння об'єкту КВІ однією з категорій значущості або про відсутність необхідності присвоєння йому однією з таких категорій »). Категоріювання об'єктів КВІ потрібно закінчити до 1 січня 2019 року.

Оцінюючи об'єкти КВІ, вигідно робити їх розбивку: якщо у вас є один великий об'єкт з безліччю критичних систем і різними критеріями значущості, для нього буде встановлена \u200b\u200bмаксимальна з усіх можливих категорія значущості. Якщо такий об'єкт можна розбити на кілька дрібніших, то у них можуть бути різні (в тому числі і більш низькі) категорії значущості відповідно до визначених постановою уряду критеріями і показниками. Такий підхід вигідний, оскільки для менш значущих об'єктів заходи щодо захисту будуть простіше і дешевше.

Як захистити об'єкти КВІ

Перелік організаційних і технічних заходів щодо забезпечення безпеки для значущих об'єктів КВІ є в наказі ФСТЕК Росії №239 від 25.12.2017 «Про затвердження Вимог щодо забезпечення безпеки значущих об'єктів КВІ РФ». Вимоги дуже серйозні і захист значимих об'єктів КВІ повинна їм відповідати, але для не значимі об'єктів такі заходи не потрібні.

Перелік організаційних і технічних заходів щодо захисту значущих об'єктів КВІ:

  • Ідентифікація та аутентифікація (ИАФ);
  • Управління доступом (УПД);
  • Обмеження програмою середовища (ОПВ);
  • Захист машинних носіїв інформації (зни);
  • Аудит безпеки (АУД);
  • Антивірусний захист (АПЗ);
  • Запобігання вторгнень (комп'ютерних атак) (СОВ);
  • Забезпечення цілісності (ОЦЛ);
  • Забезпечення доступності (ВДТ);
  • захист технічних засобів і систем (ЗТС);
  • Захист інформаційної (автоматизованої) системи і її компонентів (ЗІС);
  • реагування на комп'ютерні інциденти (Инц);
  • Управління конфігурацією (РКФ);
  • управління оновленнями програмного забезпечення (СПО);
  • Планування заходів щодо забезпечення безпеки (ПЛН);
  • Забезпечення дій в нештатних ситуаціях (ДНС);
  • Інформування та навчання персоналу (ІПО).

Не зайве буде ознайомитися і з наказом ФСТЕК Росії №235 від 21.12.2017 «Про затвердження Вимог до створення систем безпеки значущих об'єктів КВІ РФ і забезпечення їх функціонування». Тут, зокрема, перераховані кошти забезпечення безпеки:

  • СРЗіА від несанкціонованого доступу (включаючи вбудовані в общесистемное, прикладне програмне забезпечення);
  • міжмережеві екрани;
  • засоби виявлення (запобігання) вторгнень (комп'ютерних атак);
  • засоби антивірусного захисту;
  • засоби (системи) контролю (аналізу) захищеності;
  • засоби управління подіями безпеки;
  • засоби захисту каналів передачі даних.

Всі вони повинні бути сертифіковані на відповідність вимогам з безпеки або пройти оцінку відповідності в формі випробувань або приймання відповідно до Федеральним законом від 27.12.2002 р № 184-ФЗ «Про технічне регулювання».

Як підключитися до НКЦКІ (ГосСОПКА)

Всі суб'єкти КВІ повинні підключитися до державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак (ГосСОПКА), навіть якщо у них немає значимих об'єктів КВІ. В головний центр ГосСОПКА в обов'язковому порядку передаватимуться дані про пов'язаних з інформаційною безпекою інциденти на об'єктах КВІ - підкреслюємо, тут мова йде про всі об'єкти, а не тільки про значні. Регулююча процес законодавча і нормативна база ще не до кінця розроблена, проте не так давно наказом ФСБ РФ від 24.07.2018 № 366 «Про Національний координаційний центр з комп'ютерних інцидентів» була заснована нова структура. НКЦКІ координуватиме заходи з реагування на інциденти, здійснювати обмін інформацією про атаки між суб'єктами КВІ та іншими організаціями, а також займеться методичним забезпеченням. Центр буде отримувати від суб'єктів КВІ та інших організацій дані для передачі в ГосСОПКА, в його завдання також увійде визначення форматів обміну інформацією та технічних параметрів комп'ютерного інциденту, що передаються в ГосСОПКА.

Яка відповідальність за порушення?

Якщо ви не встигли відправити в ФСТЕК перелік об'єктів КВІ, ніякої відповідальності за це не передбачено. Але ФЗ-187 діє з початку 2018 року, і якщо станеться інцидент, а необхідних заходів щодо захисту не були прийняті, наслідки для суб'єкта КВІ будуть серйозними - в кримінальний кодекс вже внесені відповідні зміни. Згідно ст. 274.1 КК РФ за створення, поширення і (або) використання ПЗ або інший комп'ютерної інформації для неправомірного впливу на КІІ передбачені примусові роботи на строк до 5 років або до 5 років позбавлення волі, а також штраф до 1 млн рублів. Неправомірний доступ до інформації КВІ, якщо він спричинив шкоду, буде покараний примусовими роботами на строк до 5 років, до 6 років позбавлення волі і штрафами до 1 млн рублів.

Є відповідальність і для суб'єктів КВІ. Порушення правил експлуатації засобів зберігання, обробки або передачі охороняється законом інформації КВІ або правил доступу, якщо воно спричинило заподіяння шкоди для КІІ, карається примусовими роботами на строк до 5 років, позбавленням волі до 6 років, забороною на певні види діяльності на строк до 3 років для юридичних осіб та індивідуальних підприємців або забороною займати певні посади для фізичних осіб на той самий строк.

У цій статті є посилення. Якщо злочин скоєно групою осіб або з використанням службового становища, воно карається позбавленням волі на строк до 8 років, а також забороною на певні види діяльності (юридичні особи та ВП) або забороною займати певні посади ( фізичні особи) На термін до 3 років. У разі тяжких наслідків максимальний термін позбавлення волі збільшується до 10 років, а заборона на види діяльності та посади - до 5 років.

висновки

Правила гри змінилися. Подобається нам це чи ні, захист важливою для життєдіяльності людей і безпеки країни інформаційної інфраструктури більше не є особистою справою її власників. У суб'єктів КВІ вже повинні бути готові (і передані в ФСТЕК Росії) переліки об'єктів. Практика показує, що далеко не всі встигли це зробити - варто поквапитися і зайнятися категорірованія. Великі організації можуть мати відповідні компетенції, щоб провести всі заходи самостійно, але для невеликих це стане серйозною проблемою - на виручку прийдуть консалтингові компанії та системні інтегратори. Для приведення систем захисту у відповідність ФЗ-187 потрібно провести обстеження ІТ-інфраструктури і сформувати дорожню карту робіт, що включає перелік організаційних та технічних заходів. Час на це поки що є, але його залишилося вже не так багато, варто поспішити.

«Про безпеку критичної інформаційної інфраструктури». Починаючи з 2013 року, ще на етапі проекту, цей закон бурхливо обговорювалося ІБ-спільнотою та викликав багато запитань щодо практичної реалізації висунутих ним вимог. Тепер, коли ці вимоги вступили в силу і багато компаній зіткнулися з необхідністю їх виконання, необхідно відповісти на найактуальніші питання.

Для чого потрібен цей закон?

Новий Закон призначений для регулювання діяльності щодо забезпечення безпеки об'єктів інформаційної інфраструктури РФ, функціонування яких критично важливо для економіки держави. Такі об'єкти в законі називаються об'єктами критичної інформаційної інфраструктури (КВІ). Згідно з документом, до об'єктів КВІ можуть бути віднесені інформаційні системи і мережі, а також автоматизовані системи управління, що функціонують у сфері:

  • охорони здоров'я;
  • науки;
  • транспорту;
  • зв'язку;
  • енергетики;
  • банківської та інших сферах фінансового ринку;
  • паливно-енергетичного комплексу;
  • атомної енергії;
  • оборонної та ракетно-космічної промисловості;
  • гірничодобувної, металургійної та хімічної промисловості.

Об'єкти КВІ, а також мережі електрозв'язку, що використовуються для організації взаємодії між ними, складають поняття критичної інформаційної інфраструктури.

Що є метою закону № 187-ФЗ і як він повинен працювати?

Головною метою забезпечення безпеки КВІ є стійке функціонування КВІ, в тому числі при проведенні щодо неї комп'ютерних атак. Головним принципом забезпечення безпеки є запобігання комп'ютерних атак.

КІІ або КСІІ?

До появи нового закону про КВІ в сфері ІБ існувало схоже поняття «ключові системи інформаційної інфраструктури» (КСІІ). Однак з 1 січня 2018 роками поняття КСІІ було офіційно замінено на поняття «значимі об'єкти КВІ».

Які організації потрапляють в сферу дії цього закону?

Вимоги закону про безпеку КВІ зачіпають ті організації (державні органи та установи, юридичні особи та індивідуальних підприємців), яким належать (на праві власності, оренди чи іншому законних підставах) об'єкти КВІ або які забезпечують їх взаємодію. Такі організації в законі називаються суб'єктами КВІ.

Які дії повинні вжити суб'єкти КВІ для виконання закону?

Згідно з документом, суб'єкти КВІ повинні:

  • провести категорирование об'єктів КВІ;
  • забезпечити інтеграцію (вбудовування) в Державну систему виявлення, попередження і ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації (ГосСОПКА);
  • вжити організаційних і технічних заходів щодо забезпечення безпеки об'єктів КВІ.

Що в себе включає категорирование об'єктів КВІ?

Категоріювання об'єкта КВІ передбачає визначення його категорії значущості на основі ряду критеріїв і показників. Всього встановлюється три категорії: перша, друга або третя. Якщо об'єкт КВІ не відповідає жодному з встановлених критеріїв, йому не присвоюється жодна з категорій. Ті об'єкти КВІ, яким була присвоєна одна з категорій, називаються в законі значущими об'єктами КВІ.

  • найменування значимого об'єкта КВІ;
  • найменування суб'єкта КВІ;
  • відомості про взаємодію значимого об'єкта КВІ та мереж електрозв'язку;
  • відомості про особу, що експлуатує значимий об'єкт КВІ;
  • привласнена категорія значущості;
  • відомості про програмні та програмно-апаратних засобах, які використовуються на значній відстані об'єкті КВІ;
  • заходи, що застосовуються для забезпечення безпеки значимого об'єкта КВІ.

Важливо відзначити, що якщо в процесі категорирования було визначено відсутність категорії значущості в об'єкта КВІ, результати категорирования все одно повинні бути представлені у ФСТЕК. Регулятор перевіряє подані матеріали і при необхідності направляє зауваження, які повинен врахувати суб'єкт КВІ. Якщо суб'єкт КВІ не надасть дані про категорірованіі, ФСТЕК має право вимагати цю інформацію.

Порядок ведення реєстру значущих об'єктів КВІ буде визначено відповідним наказом, проект якого вже опублікований.

Як проводити категорирование об'єктів КВІ?

Показники критеріїв значимості, порядок і терміни категорирования будуть визначатися відповідною постановою уряду, проект якого також вже підготовлений. Відповідно до поточної версією документа, процедура категорирования включає в себе:

  • визначення всіх процесів, які виконуються суб'єктом КВІ в рамках своєї діяльності;
  • виявлення критичних процесів, порушення або припинення яких може призвести до негативних наслідків в масштабах країни;
  • визначення переліку об'єктів КВІ, що підлягають категоріювання, - даний етап повинен бути виконаний протягом 6 місяців з дня набрання постановою уряду в силу;
  • оцінку показників критеріїв значимості відповідно до встановлених значеннями - всього проектом постанови уряду передбачається 14 показників, що визначають соціальну, політичну, економічну значимість об'єкта КВІ і його значимість для забезпечення оборони країни, безпеки держави та правопорядку;
  • встановлення відповідності об'єктів КВІ значенням показників і присвоєння кожному з них однієї з категорій значущості або прийняття рішення про відсутність необхідності присвоєння їм однієї з категорій значущості.

Категоріювання має проводитися як для існуючих, так і для створюваних або модернізованих об'єктів КВІ спеціальною комісією з працівників суб'єкта КВІ. Рішення комісії оформляється відповідним актом і протягом 10 днів після його затвердження відомості про результати категорирования повинні бути спрямовані під ФСТЕК. Максимальний термін категорирования об'єктів КВІ - 1 рік з дня затвердження суб'єктом КВІ переліку об'єктів КВІ.

Цей порядок є попередніми і повинен бути уточнений після затвердження відповідної постанови уряду.

Що таке ГосСОПКА і для чого вона потрібна?

А якщо вимоги цього закону не будуть виконані?

Разом із затвердженням федерального закону від 26.07.2017 № 187-ФЗ «Про безпеку КВІ» в російський Кримінальний Кодекс була додана ст. 274.1, що встановлює кримінальну відповідальність посадових осіб суб'єкта КВІ за недотримання прийнятих правил експлуатації технічних засобів об'єкта КВІ або порушення порядку доступу до них аж до позбавлення волі строком на 6 років.

Поки дана стаття не передбачає відповідальності за невиконання необхідних заходів щодо забезпечення безпеки об'єкта КВІ, однак в разі настання наслідків (аварій і надзвичайних ситуацій, Які спричинили за собою великі збитки) невжиття таких заходів підпадає під ст. 293 КК РФ «Халатність». Додатково слід очікувати змін у адміністративному законодавстві в області визначення штрафних санкцій для юридичних осіб за невиконання закону про безпеку КВІ. З великою часткою впевненості можна говорити про те, що саме введення істотних грошових штрафів буде стимулювати суб'єкти КВІ до виконання вимог обговорюваного закону. [Ics-cert.kaspersky.ru]

Редакція дякує «Лабораторію Касперського» за дозвіл на передрук статті.

1 січня 2018 року набрав чинності Федеральний закон № 187-ФЗ «Про безпеку критичної інформаційної інфраструктури Російської Федерації», який стосується не тільки держустанов і комерційних організацій, а й індивідуальних підприємців.

Суть нової законодавчої ініціативи розкриває Василь Степаненко, Директор департаменту інформаційної безпеки компанії «Сервіоніка», що входить в групу «Айтек».

Які передумови прийняття нового федерального закону? Одна з причин - зростання ризиків, пов'язаних з безпекою даних. За оцінками ФСБ Росії, в 2016 році було здійснено близько 70 мільйонів спроб атак на об'єкти критичної інформаційної інфраструктури РФ, і 2/3 з них - атаки, вчинені з-за кордону.

Чверть цільових кібератак, зафіксованих «Лабораторією Касперського», були спрямовані на промислові компанії. За спостереженнями експертів в сфері інформаційної безпеки, в 2017-м число APT-атак зросла в два рази, а середній час присутності зловмисника в інфраструктурі - від вторгнення до виявлення - становить три роки.

Що належить вдосконалити? По-перше, ГосСОПКА - державну систему виявлення, попередження і ліквідації наслідків комп'ютерних атак на інформаційні ресурси РФ.

По-друге, захищеність інформаційних систем державних органів, включаючи посилення персональної відповідальності керівництва за забезпечення ІБ. Саме ці два пункти в значній мірі реалізовані в федеральному законі про безпеку КВІ, прийнятому влітку 2017 року.

На які галузі поширюється 187-ФЗ? Новий закон охоплює охорону здоров'я, науку, транспорт, зв'язок, енергетику, банки, фінанси, ПЕК, атомну енергетику, оборонну, ракетно-космічну, гірничодобувну, металургійну та хімічну галузі промисловості.

До суб'єктів КВІ відноситься будь-яке юридична особа, Що володіє інформаційною системою, використовуваної в одній з цих галузей. До значимих об'єктів КВІ, розподіленим на три категорії, відносяться всі інформаційні системи, інциденти з якими можуть порушити виконувані ними соціально-значущі функції і завдати значної шкоди.

До них пред'являються найбільш серйозні вимоги щодо забезпечення ІБ, невиконання яких може спричинити серйозні наслідки аж до кримінального покарання.

Як виконання положень закону буде регулюватися і контролюватися? Закон визначає чотирьох регуляторів: ФСТЕК ( федеральну службу з технічного та експортного контролю) і ФСБ як основних, Банк Росії і Минкомсвязь як додаткових, погоджують вимоги щодо забезпечення безпеки об'єктів КВІ для своєї сфери регулювання.

Функції ФСТЕК складаються в категорірованіі і ведення реєстру значущих об'єктів КВІ, розробці вимог щодо забезпечення інформаційної безпеки об'єктів КВІ та контролі їх виконання. ФСБ відповідає за практичні аспекти безпеки, будучи головним центром ГосСОПКА.

Що необхідно зробити суб'єкту КВІ, щоб виконати вимоги закону? Самостійно провести категорирование всіх своїх об'єктів КВІ і повідомити про них у письмовій формі в ФСТЕК для внесення відомостей до реєстру значущих об'єктів КВІ.

Реагувати на комп'ютерні інциденти, негайно інформуючи про них ФСБ і сприяючи посадовим особам в діяльності, пов'язаної з попередженням, виявленням та ліквідацією наслідків інцидентів. Забезпечувати виконання порядку, технічних умов установки і експлуатації технічних засобів ГосСОПКА.

Як буде здійснюватися нагляд за виконанням законодавчих вимог? ФСТЕК буде стежити за правильністю категорирования об'єктів КВІ та виконанням вимог до забезпечення інформаційної безпеки значущих об'єктів.

Планові перевірки будуть проводитися кожні 3 роки, позапланові - за тим, що сталося інцидентів, доручень президента і уряду або на вимогу прокуратури.

Оцінка безпеки об'єктів КВІ буде здійснюватися органами ФСБ. ФСБ буде проводити аналіз відомостей від технічних засобів ГосСОПКА, з реєстру значущих об'єктів КВІ, відомостей, що надаються суб'єктами.

Що буде, якщо порушити цей закон? Невиконання обов'язки з категорування і надання відомостей про окремі об'єкти КВІ твердження не мають за законом, однак невиконання вимог щодо забезпечення безпеки КВІ, в тому числі що спричинило за собою тяжкі наслідки або загрозу їх виникнення, карається.

Наскільки складно реалізувати вимоги нового закону на практиці? Більшість російських промислових компаній витрачають сьогодні на інформаційну безпеку менш 50 млн рублів на рік.

При цьому опитані в ході дослідження «Скільки коштує безпека» керівники 27% організацій оцінили в аналогічну суму втрати від одного дня простою інфраструктури через кібератаки. У багатьох компаніях немає окремого бюджету на забезпечення інформаційної безпеки: він є частиною ІТ-бюджету, складаючи не більше 20% від нього.

Для реалізації вимог 187-ФЗ і підзаконних актів регуляторів потрібні значні кошти, і керівникам суб'єктів КВІ необхідно якось виходити із ситуації. На сьогоднішній день один з найбільш обговорюваних варіантів вирішення проблеми забезпечення повноцінного захисту об'єктів КВІ - підключення їх до корпоративних центрів реагування (Security Operations Center - SOC).

Вони надають повний спектр послуг з моніторингу та адміністрування систем захисту інформації, виявлення і реагування на інциденти. Такий підхід, можливо, стане одним з важливих трендів в області ІБ в Росії.

Послуги SOC дозволять суб'єктам КВІ більш економно реалізувати вимоги нового закону. З вступом 187-ФЗ в силу забезпечення інформаційної безпеки стає безперервним процесом, а не «заморожуванням» системи в еталонному стані.