Год назад вступил в силу 187-й федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации». Он регулирует меры по обеспечению кибербезопасности на предприятиях энергетического комплекса, нефтехимического, металлургического, машиностроительного, радио- и электротехнического и оборонного производства и других (список довольно обширен). Вывод из строя такого объекта способен парализовать деятельность целого района или населённого пункта, а иногда чреват реальной катастрофой, если речь идёт, например, об объектах, работающих в химической или атомной отрасли. Менеджер по развитию кибербезопасности в ЮФО и СКФО группы компаний Softline Алексей Пятаков рассказал, как компании юга России готовятся к проверкам регуляторов, и как действовать тем, кто ещё не начал подготовку.
«В Южном федеральном округе в список субъектов критической информационной инфраструктуры попадают прежде всего организации, работающие в сфере энергетики и нефтепереработки, а также ряд промышленных предприятий и компаний с госучастием, — говорит Алексей Пятаков. — У компаний, попадающих под действие нового закона, уже нет времени откладывать начало перестройки ИТ-инфраструктуры. Для крупных компаний только процесс категорирования может занять несколько месяцев. При этом, по моим наблюдениям, на данный момент не более 20 процентов компаний готовы подтвердить соответствие требованиям регуляторов. Это объясняется тем, что мало кто из руководителей предприятий ЮФО спешит внедрять изменения раньше, чем будут окончательно понятны лучшие практики — как это сделать правильно и наиболее эффективно, в том числе с точки зрения затрат на комплекс соответствующих мероприятий».
Для реального применения нового закона разработан ряд подзаконных актов, которые конкретизируют требования к организациям и порядок работы. В частности, утверждено постановление правительства РФ «Об утверждении показателей критериев значимости объектов КИИ РФ и их значений, а также порядка и сроков осуществления их категорирования», которое позволит организациям провести инвентаризацию и категорирование своих систем.
Искусственно занизить присвоенную объекту категорию значимости не получится, так как итоговый акт категорирования направляется на проверку в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
Кроме того, вступил в силу приказ ФСТЭК «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ», в котором общая структура документа и состав мер по обеспечению безопасности сильно напоминают уже ранее принятые приказы ФСТЭК, регулирующие меры защиты данных при их обработке в информационных системах персональных данных и государственных информационных системах.
Если ваша компания потенциально попадает в список субъектов критической информационной инфраструктуры, и вы по каким-то причинам ещё не начали работы по приведению в соответствие с новым ФЗ, то можно назвать семь первоочередных шагов в данном направлении:
1. Разработать внутренние нормативные документы, в которых должны быть прописаны цели проекта и ответственные за его исполнение.
2. Создать рабочую группу по обеспечению безопасности критической информационной инфраструктуры.
3. Уточнить актуальный перечень нормативных документов (принятых и планируемых к принятию).
4. Пересмотреть решения по текущим или планируемым в ближайшее время внедрениям с учётом требований по обеспечению безопасности критической информационной инфраструктуры.
5. Провести инвентаризацию существующих систем и оценить возможность их отнесения к значимым объектам КИИ.
6. Провести GAP-анализ потенциальных значимых объектов КИИ на предмет обеспечения в них информационной безопасности и соответствия нормативным требованиям.
7. Провести бюджетную оценку приведения в соответствия с требованиями законодательства.
На четырёх последних этапах можно привлечь к работе компанию-консультанта, что позволит получить квалифицированную экспертизу и существенно сократить время, затраченное на проведение работ.
Следующим шагом для организаций, входящих в перечень критически важных объектов, должно стать создание центров анализа и передачи информации в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), за которую отвечает 8-й центр ФСБ.
Чтобы разобраться в требованиях нового законодательства самостоятельно, можно пройти обучение по программе повышения квалификации «Обеспечение безопасности значимых объектов КИИ и АСУТП» в очном или дистанционном формате. Такая программа существует, например, в учебном центре Softline. Слушатели курса смогут узнать, как самостоятельно провести категорирование объектов КИИ, подготовить необходимые документы для надзорных органов и выполнить в срок требования законодательства. Посмотреть программу, расписание и записаться на курс можно на сайте Учебного центра Softline edu.softline.ru.
На правах рекламы
