Мнение / январь 2018
Нефтегазовая промышленностьЭлектроэнергетикаЖКХ и "умный город"Автомобильная промышленностьОбрабатывающая промышленностьФинансовый секторГосударственное управлениеЗдравоохранениеОптовая и розничная торговляТранспорт и логистикаСельское хозяйство

Приведение ИТ-инфраструктуры критически важных объектов в соответствие с новым законом – длительный и недешевый процесс

Алексей Богомолов: "Вступление в силу нового закона, вкупе с регламентирующими и методическими документами от регуляторов, поясняющими механизм соблюдения тех или иных норм, может вызвать настоящий бум в развитии инфобезопасности"
Алексей Богомолов,
руководитель направления по информационной безопасности СЗФО департамента информационной безопасности компании Softline
© ComNews
29.01.2018

Руководитель направления по информационной безопасности СЗФО департамента информационной безопасности компании Softline Алексей Богомолов том, как будет работать новый закон "О безопасности критической информационной инфраструктуры Российской Федерации".

С 1 января вступил в силу 187 Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации". Он регулирует меры по обеспечению инфобезопасности на критически важных объектах: предприятиях энергетического комплекса, нефтехимического, металлургического, машиностроительного, радио- и электротехнического и оборонного производства, пищевой промышленности и других (их список довольно обширен). Вывод из строя такого объекта можно приравнять к терроризму, так как это способно парализовать деятельность целого района или населенного пункта, а иногда чревато реальной катастрофой (если речь идет об объектах, работающих в сфере химической или ядерной отрасли). Ситуацию комментирует руководитель направления по информационной безопасности СЗФО департамента информационной безопасности компании Softline Алексей Богомолов:

"Порядка 60-70% организаций, работающих на рынке Северо-Западного округа, попадают под действие нового закона. В частности, в нашем регионе большая концентрация предприятий Объединенного судостроительного комплекса, немало компаний, работающих в нефтегазовой отрасли, энергетических и промышленных компаний.

Начало действия с 1 января 2018г. 187 ФЗ стало логическим продолжением работы по усилению контроля за обеспечением защиты таких предприятий. В частности, в 2014 году был выпущен 31 приказ ФСТЭК, в котором прописаны требования к обеспечению защиты критически важных объектов. Единственная проблема: в отличие от прежних подобных документов, новый приказ не был подкреплен законодательно. То есть, рекомендации от регуляторов появились, а возможности привлекать компании, не соблюдающие правила, к ответственности – нет. Вступление в силу нового закона, вкупе с регламентирующими и методическими документами от регуляторов, поясняющими механизм соблюдения тех или иных норм, может вызвать настоящий бум в развитии инфобезопасности.

В ближайшее время ожидается утверждение постановления Правительства РФ "Об утверждении показателей критериев значимости объектов КИИ РФ и их значений, а также порядка и сроков осуществления их категорирования", которое позволит организациям провести инвентаризацию и категорирование своих систем. При этом искусственно занизить присвоение объекту критической информационной инфраструктуры категорию значимости, либо вообще не присвоить ему ни одну из категорий значимости не получится, потому что итоговый акт категорирования направляется на проверку в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.

Большинство организаций начали задумываться о приведении своей ИТ-инфраструктуры в соответствие с новыми требованиями еще после выхода в свет 31 приказа. Ряд крупных компаний уже в тот момент обратились к нам за помощью в этом вопросе. Softline провела работы по аудиту, компании разработали внутренние регламентирующие документы, начали приводить в соответствие с рекомендациями регулятора штат сотрудников.

После выпуска в 2014 году приказа 31 ФСТЭК, многие начали присматриваться к рынку систем ИБ в части защиты АСУ ТП, начали проектировать и пилотировать системы защиты. Это довольно длительный процесс: к сожалению, на данный момент не существует коробочных решений, которые позволят выполнить требования закона, и они вряд ли появятся, и компаниям важно подобрать средства защиты, которые не будут конфликтовать со SCADA-системой, работой ПЛК и техническими протоколами. Производители средств защиты информации также начали работу по усовершенствованию предлагаемых крупным предприятиям систем повышения уровня защищенности. Все должно взаимодействовать и работать в режиме реального времени. Если появляется отклонение от рабочего режима в технологическом процессе, оно должно сразу отображаться в системе безопасности, не затрагивая работу SCADA-системы.

Все это требует длительного времени и огромных финансовых затрат. Поэтому нельзя сказать, что компании уже полностью готовы отражать современные вирусные атаки, целевые атаки и атаки "нулевого дня", а также вести контроль обновлений системы специалистами производителя/интегратора, но, по крайней мере, работа активно ведется, и на бумаге они не нарушают требований ФЗ.

Следующим шагом для организаций, входящих в перечень критически важных объектов, должно стать создание центров анализа и передачи информации в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), за которую отвечает 8-й центр ФСБ. Предлагаемый принцип работы системы достаточно прост: при обнаружении атаки одним из центров ГосСОПКА, информация передается в главный центр, который распространяет информацию об атаке и способах защиты по всей системе. Таким образом, появляется возможность избежать эпидемии".