Как выполнить требования закона о защите критической инфраструктуры
Что изменится
Новый закон устанавливает штрафы за нарушение требований к созданию систем безопасности значимых объектов КИИ, обеспечению их работы и безопасности в рамках действующих законов и регламентов для должностных лиц - в размере от 10 до 50 тысяч рублей, для юрлиц - от 50 до 100 тысяч рублей.
За нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак должностным лицам грозит такой же штраф, а вот юридическим придется заплатить больше - от 100 до 500 тысяч рублей.
Предусматривается также проведение административного расследования, если после выявления административного правонарушения проводится экспертиза или иные процессуальные действия, требующие значительных временных затрат.
Почему это важно
Необходимость в надежной защите КИИ продиктована не только требованиями законодательства. Количество атак на объекты критической инфраструктуры растет с каждым годом. В прошлом году, по данным МИД РФ, самыми популярными мишенями хакеров становились разрабатывающие вакцины институты, сектор госуправления и финансовый сектор, объекты военно-промышленного комплекса, научные предприятия и институты, сфера образования, транспорта и здравоохранения. По данным отчета Kaspersky ICS CERT, в период пандемии COVID-19 доля компьютеров АСУ ТП (промышленных компьютеров), на которых были заблокированы вредоносные объекты, начала расти. Во втором полугодии 2020 года она составила 33,4% в мире и 34,6% в России. Для сравнения, в первом полугодии 2020 года этот показатель находился на уровне 32,6% в мире и 32,2 в России.
Закон о безопасности критической информационной инфраструктуры 187-ФЗ вступил в силу еще с января 2018 года. Его основная цель - защитить IT-системы госорганов, банков, промышленности, оборонных предприятий и других организаций от кибератак. Закон предписывает субъектам КИИ взаимодействовать с ГосСОПКА - государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ. В частности, система должна выявлять уязвимости и угрозы, а также расследовать уже случившиеся атаки на КИИ. Все субъекты КИИ должны быть подключены к ведомственным или корпоративным центрам ГосСОПКА либо создать свой центр ГосСОПКА. Однако в последнем случае это потребует существенных затрат.
При этом многие субъекты КИИ до сих пор испытывают сложности с реализацией положений закона, приказа ФСТЭК N239 и других нормативных актов в области безопасности КИИ.
По данным исследования "Лаборатории Касперского"*, только в 31% крупных компаний в России есть выделенный отдел кибербезопасности и лишь в каждой десятой организации - собственный центр мониторинга и реагирования на киберинциденты (SOC).
Этапы работы
Реализацию требований ФЗ-187 для всех субъектов КИИ можно разделить на три этапа.
Первый этап - определить, является ли организация субъектом КИИ. Для этого необходимо проанализировать виды деятельности организации в соответствии с ОКВЭД: есть ли среди них слова "здравоохранение", "наука", "транспорт", "связь", "энергетика", "банк", "финансы", "топливо", "атом", "оборона", "ракетно-космическая", "горнодобывающая", "металлургия", "химическая".
Второй этап - провести категорирование значимых объектов КИИ. Организация создает соответствующую комиссию, определяет объекты категорирования, которым затем присваиваются категории значимости: самая высокая категория - первая, самая низкая - третья.
Третий этап - разработать мероприятия по взаимодействию с ФСБ России. Это относится к субъектам КИИ как с значимыми, так и с незначимыми объектами КИИ, так как организация должна обеспечить соответствие 9 статьи ФЗ-187 (часть 2), в частности, незамедлительно информировать о компьютерных инцидентах федеральные органы исполнительной власти. На этом этапе разрабатывается и утверждается регламент информирования НКЦКИ об инцидентах, также организация подключается к технической инфраструктуре НКЦКИ (при выборе этого способа информирования).
Алексей Киселев. Фото: Пресс-служба "Лаборатории Касперского".
Тем организациям, у которых есть значимые объекты КИИ, также надо соблюдать требования ФСТЭК по обеспечению их безопасности, выполнять предписания должностных лиц ФСТЭК об устранении нарушений в части соблюдения требований к обеспечению безопасности значимых объектов КИИ, что означает создать систему защиты и установить защитные решения.
"Мы можем проконсультировать по поводу выполнения требований 187-ФЗ. Наш широкий спектр продуктов и сервисов помогает организациям "закрыть" основную часть требований законодательства к объектам КИИ и центрам ГосСОПКА. Решения "Лаборатории Касперского" защищают критические IT-инфраструктуры крупнейших российских банков, промышленных предприятий, федеральных органов власти и госкорпораций. Большинство продуктов имеют сертификаты ФСТЭК и ФСБ и внесены в единый реестр государственного ПО. В основе этих продуктов лежат передовые технологии многоуровневой защиты, многие из которых являются уникальными", - рассказал Алексей Киселев, менеджер по развитию бизнеса "Лаборатории Касперского".
Какие есть решения
Решения "Лаборатории Касперского" для КИИ помогают закрыть требования закона и обеспечить реальную безопасность организации.
Для крупных корпораций и промышленных предприятий с развитой ИБ-экспертизой предназначен пул решений из уровня защиты Kaspersky Expert Security, состоящий из взаимосвязанных и взаимодополняющих друг друга компонентов. Благодаря тесной интеграции бизнес получает набор решений, удовлетворяющий требованиям регулирующих органов и повышающий устойчивость системы безопасности к новым и сложным угрозам.
Его центральный элемент - SIEM-система Kaspersky Unified Monitoring and Analysis Platform (KUMA), которая предназначена для централизованного сбора, анализа и корреляции событий информационной безопасности из различных источников данных. Она предлагает единую консоль мониторинга, анализа и реагирования на киберугрозы. Это решение вскоре позволит наладить автоматизированный обмен данными с НЦКЦИ, чтобы упростить информирование об атаках, благодаря интегрированному модулю ГосСОПКА.
Рабочие места по-прежнему остаются основной мишенью злоумышленников и удобными точками входа при проведении кибератак. Поэтому важно в первую очередь начинать выстраивать свою передовую защиту с рабочих мест и серверов. Kaspersky EDR как раз позволяет защитить их, обеспечивая сбор, запись и хранение информации о событиях безопасности и обеспечивает централизованное расследование и реагирование на сложные кибератаки, направленные на инфраструктуру конечных точек.
"Кибератаки становятся все более сложными, злоумышленники не дремлют и часто используют мультивекторный подход к проникновению в инфраструктуру, поэтому для противодействия им компаниям необходимо контролировать не только уровень конечных точек, но и другие популярные точки проникновения угроз в инфраструктуру для возможности более быстрого и точного обнаружения и реагирования на инциденты, - отмечает Алексей Киселев. - Между тем задержки в реагировании на инциденты могут привести к росту потерь. По нашим оценкам, в среднем в мире ущерб для крупных предприятий превышает 1 миллион долларов. Поэтому так важно внедрять комплексные защитные решения".
Как раз таким комплексным решением является платформа Kaspersky Anti Targeted Attack, объединенная с Kaspersky EDR. Это мощная система информационной безопасности класса XDR (Extended Detection and Response), которая предоставляет специалистам по информационной безопасности полную картину событий как на уровне сети, так и в инфраструктуре рабочих мест и серверов и обеспечивает их эффективную защиту от сложных угроз и целевых атак.
Все больше компаний осознают важность своевременного обнаружения и реагирования на кибератаки. К НКЦКИ подключаются не только организации, у которых есть объекты КИИ и которые обязаны это делать по закону, но и другие участники рынка. Как подчеркивают эксперты, делиться информацией о новом вредоносном ПО и техниках злоумышленников очень важно. Угрозы становятся более сложными и продвинутыми, а современные решения в сфере кибербезопасности позволяют вовремя их обнаружить и своевременно отреагировать, избежав потерь или сведя их к минимуму.
Те меры, которые принимает государство для защиты КИИ от кибератак, в том числе на законодательном уровне, - это большой шаг в сторону повышения безопасности. Подключение к системе ГосСОПКА и построение корпоративных ведомственных центров позволит значительно повысить уровень ИБ и защищенность информационных ресурсов стратегически важных для государства отраслей. Однако многие компании только начинают осваивать базовые меры кибербезопасности. И самостоятельно воспользоваться предложенными государственными мерами способны далеко не все. Для этого необходим целый комплекс технических средств, а главное - грамотные специалисты.
*Опрос "Информационная безопасность бизнеса" был проведен "Лабораторией Касперского" в июне 2020 года. В нем приняли участие 5 266 IT-специалистов из 31 страны, включая Россию.
