Последние изменения в законодательстве и перспективы развития регуляторики, а также практику применения нормативных актов в части категорирования и защиты значимых объектов критической информационной инфраструктуры обсудили участники сессии «КИИ — теория и практика исполнения законодательства».
Она прошла в рамках Второй межотраслевой конференции по регуляторике в сфере информационной безопасности. Организатором мероприятия выступила Ассоциация пользователей стандартов по информационной безопасности АБИСС.
С регуляторным докладом выступил представитель ФСТЭК России Михаил Марченко. Он рассказал о теории и практике выполнения законодательства в области критической информационной инфраструктуры. Докладчик напомнил, что основные требования к КИИ прописаны в Федеральном законе от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (в редакции Федерального закона от 10.07.2023 № 312-ФЗ), указах Президента России, постановлениях правительства РФ, нормативно-правовых актах федеральных органов исполнительной власти, включая приказы Минкомсвязи РФ, ФСТЭК России и ФСБ России.
Подробно остановившись на приказах своего ведомства, представитель ФСТЭК России отметил, что за последнее время на основании распоряжений правительства РФ проведена актуализация сведений о более чем четырех тысячах объектов КИИ в реестре Значимых объектов критической информационной инфраструктуры (ЗОКИИ), уточнена категория значимости более сорока объектов КИИ. В соответствии с Указом №250 и Протоколом оперативного совещания СБ РФ от 2 декабря 2022 года ФСТЭК России внесла изменения в «Требования к созданию систем безопасности ЗОКИИ и обеспечению их функционирования».
Отдельное внимание докладчик уделил вопросам плановой проверки объектов КИИ и порядку их осуществления. По данным ФСТЭК России, сегодня в стране насчитывается 433 значимых объекта критической информационной инфраструктуры и 73 субъекта КИИ. В ходе проверок выявлено более 600 нарушений, более 250 из них были устранены в соответствии с выданными предписаниями. Возбуждено более 20 дел об административных правонарушениях в отношении субъектов КИИ и должностных лиц субъектов КИИ.
Продолживший тему Евгений Царёв, управляющий RTM Group и эксперт АБИСС, уточнил, что к субъектам КИИ относятся 15 отраслей экономики. Для того, чтобы избежать административного или уголовного наказания, субъекты КИИ должны произвести категорирование объектов КИИ, для чего необходимо создать комиссии, сформировать и согласовать с регуляторов перечни объектов КИИ и присвоить им категории. В противном случае, отметил эксперт, виновным грозит наказание в рамках Уголовного кодекса РФ.
Своим опытом категорирования объектов КИИ поделились Александр Хонин, руководитель отдела консалтинга и аудита Angara Security, и Василий Окулесский, Вице-президент по информационной безопасности ЦМРБанка.
О частых ошибках при категорировании по 187-ФЗ рассказала Анна Христолюбова, заместитель начальника Регионального центра взаимодействия с предприятиями ОПК НПП «Гамма». Она отметила, что деятельность комиссий по категорированию, её состав и статус должны быть документально подтверждены в соответствии с действующим законодательством, правилами делопроизводства и архивного хранения РФ, внутренними распоряжениями субъекта КИИ, а принятые комиссией решения должны оформляться в соответствии с правилами делопроизводства и подкрепляться аргументами. В противном случае деятельность комиссии и принятые ей решения могут быть признаны нелегитимными.
Об обеспечении безопасности значимых объектов КИИ рассказал Алексей Авдеев, консультант по кибербезопасности компании BI.ZONE. Он отметил рост числа атак на объекты КИИ, чаще всего под ударами оказываются объекты энергетики, нефтезагового комплекса и производственный сектор. В связи с этим субъектам КИИ необходимо разработать и реализовать план организационных и технических мер по обеспечению безопасности ЗОКИИ на основании действующих НПА, провести анализ и устранение уязвимостей, обеспечить безопасность ЗОКИИ в процессе эксплуатации и определить порядок уничтожения или архивации данных и остаточной информации при выводе ЗОКИИ из эксплуатации. Также докладчик отметил необходимость тесного сотрудничества субъекта КИИ в случае компьютерного инцидента с ГосСОПКА (для объектов ЗОКИИ) и НКЦКИ для объектов КИИ. Эти меры помогут снизить риск успешных кибератак и избежать санкций и штрафов со стороны регуляторов, отметил докладчик.
Завершила тему категорирования и защиты КИИ Анастасия Федоренко, руководитель направления автоматизации ИБ УЦСБ, которая рассказала о сложностях внутреннего контроля обеспечения безопасности объектов КИИ. Она выделила пять объектов контроля, которые необходимо учитывать во время проведения аудита ИБ: документация на объекты КИИ, персонал, объекты КИИ, системы обеспечения безопасности объектов КИИ и физическую безопасность объектов КИИ. Спикер отметила возможность оптимизации процесса аудита путём анализа НПА, внутренней документации субъекта КИИ и изменений в них, типизации критериев оценки, структурирования больших объёмов информации, унификации подходов, автоматизации и создания централизованного пространства, позволяющего хранить результаты внутреннего аудита объектов КИИ.