187-ФЗ: «бумажной» безопасности не получится

Информационная безопасность

Информационная безопасность

С 1 января 2018 года вступил в силу Федеральный закон 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Закон регулирует меры по обеспечению кибербезопасности предприятий энергетического комплекса, нефтехимического, металлургического, машиностроительного, радио- и электротехнического, оборонного и других производств. Вывод таких объектов из строя можно приравнять к теракту, так как подобная атака способна парализовать деятельность целого района или населенного пункта, и даже привести к гибели людей. Приведение инфраструктуры в соответствие с требованиями Федерального закона 187-ФЗ — нетривиальная задача для субъектов КИИ. Как им быть? Ситуацию комментирует руководитель направления «Информационная безопасность» компании Softline в УрФО Дмитрий Губернатчук:

— Принятие 187-ФЗ стало логическим продолжением работы по усилению госконтроля за обеспечением кибербезопасности страны в целом. При этом 187-ФЗ исключает возможность «бумажной» безопасности: закон нацелен на то, что субъекты КИИ примут реальные меры по защите информационной инфраструктуры. Закон требует:

• Провести категорирование объектов критической инфраструктуры.

• Реализовать организационные и технические меры для обеспечения безопасности значимых объектов критической информационной инфраструктуры.

• Организовать информационный обмен с государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Для реализации первого требования в феврале 2018 года было утверждено Постановление Правительства РФ № 127, детализирующее положения 187-ФЗ в части проведения инвентаризации и категорирования информационных систем. При этом искусственно занижать категорию значимости объекта критической информационной инфраструктуры либо вообще не присваивать ему ни одну из категорий значимости не имеет смысла. За нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, повлекшее за собой реальные последствия, может последовать наказание вплоть до уголовного — независимо от присвоенной категории.

Некоторые организации серьезно задумались о приведении своей ИТ-инфра­структуры в соответствие с новыми требованиями еще в 2014 году, после выхода в свет 31 приказа ФСТЭК, хотя его исполнение не было обязательным. С несколькими заказчиками мы реализовали проекты полного цикла — от аудита ключевых систем информационной инфраструктуры до реальных внедрений, в рамках которых были выполнены все требования к защите объектов КИИ.

Тогда же компании начали присматриваться к рынку систем ИБ в части защиты автоматизированных систем управления технологическими процессами, проектировать и «пилотировать» системы защиты. Коробочных решений, которые позволят выполнить требования закона от и до, на рынке не существует. Кроме того, важно подобрать средства защиты, которые не будут конфликтовать с производственными системами и смогут поддерживать все промышленные протоколы, набор которых у каждого заказчика свой. Если появляется отклонение от рабочего режима в технологическом процессе, оно должно сразу отображаться в системе безопасности.

Внедрение системы защиты всегда проходит в несколько этапов. После проектирования системы выбирается пилотная зона или проводятся стендовые испытания, на которых моделируется производственный процесс. Только после подтверждения работоспособности системы в реальном времени и при отсутствии негативных последствий для основного процесса начинается собственно ее внедрение.

Следующим шагом должно стать создание центров анализа и передачи информации в ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак), за которую отвечает 8-й центр ФСБ. Предполагается, что при обнаружении атаки одним из центров ГосСОПКА информация передается в главный центр, который распространяет данные об атаке и способах защиты по всей системе. Таким образом, появляется возможность избежать массовых кибератак с болезненными для предприятий и организаций последствиями.

По моим наблюдениям, лишь малая часть компаний Урала успела реализовать у себя категорирование объектов КИИ. Проблема заключается в отсутствии перечня бизнес-процессов, реестров информационных систем и цифровых активов предприятия. Собрать все эти данные автоматизированными средствами невозможно. По большинству систем отсутствует документация или она находится в неактуальном состоянии. Как следствие, в организации с 2 — 3 тыс. сотрудников полноценный процесс категорирования силами самого предприятия может затянуться на 6 — 10 месяцев. Уже на этом этапе лучше привлечь опытного ИТ-провайдера, что позволит получить квалифицированную экспертизу и существенно — до 2 — 3 месяцев — сократить время, затраченное на проведение работ.

Дмитрий Губернатчук,
руководитель направления «Информационная безопасность» компании Softline в УрФО
Dmitriy.Gubernatchuk@softline.com
Тел. (343) 278-53-35

Материалы по теме

По дороге с облаками

Softline приземлил свое облако на Урале

Умные решения для безопасности на дорогах

Биометрия не заменит традиционные способы идентификации

Игорь Боровиков, Softline: «Сегодня вас могут ограбить из любой точки планеты»

Бумажный документооборот в эпоху перемен