Бизнесу не стоит забывать о новом законе. Как избежать штрафов и уголовных дел?
С переходом на удаленный режим работы риски кибератак для бизнеса выросли. При этом многие компании так и не исполнили требования закона о безопасности критической информационной инфраструктуры.
Сергей Борисов, заместитель руководителя по информационной безопасности, компания УЦСБ:
— Из-за эпидемии коронавируса офисные сотрудники во многих компаниях перешли на удаленную работу, и это накладывает свой отпечаток на процессы обеспечения информационной безопасности (ИБ). Существенная часть бизнес-процессов перешла в онлайн, соответственно, выросли риски, и вполне можно ожидать, что количество компьютерных инцидентов увеличится.
Сообщениям и рассылкам на тему эпидемии коронавируса уделяется особое внимание, поэтому злоумышленники могут использовать эту горячую тему в своих атаках. Отличить мошенническое сообщение от официальной информации неподготовленным сотрудникам бывает непросто, поэтому фишинг (рассылка поддельных писем) сейчас процветает, позволяя взломщикам проникнуть внутрь информационной инфраструктуры компаний.
С переходом на удаленный режим работы компании вынуждено открыли доступ из сети Интернет к тем своим системам и сервисам, которые раньше были доступны только из внутренней сети, сделав их тем самым более легко доступными целями для компьютерных атак.
Еще один тренд — массовое использование онлайн-конференций и совещаний.
Однако культура обеспечения их безопасности пока не выработалась — открывается простор для злоумышленников: подключиться к чужой конференции, просто помешать нормальной работе, перехватить ценные документы или подслушать конфиденциальную информацию, которую можно использовать для дальнейших успешных атак.
В то время как обеспечение информационной безопасности каждой отдельной компании в текущей нестандартной и непривычной ситуации является прежде всего ее собственной зоной ответственности, для критической информационной инфраструктуры (КИИ — термин, введенный №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации») важность ее устойчивого функционирования при проведении в отношении ее компьютерных атак, согласно «Доктрине информационной безопасности РФ» является одним из заявленных национальных интересов Российской Федерации в информационной сфере.
Безопасность КИИ остается одной из самых актуальных тем ИБ в России, Под действие вступившего в силу ещё в начале 2018 года Федерального закона №187-ФЗ попадают как органы государственной власти и госпредприятия, так и частные компании.
Важные функции в контроле за соблюдением требований законодательства о безопасности КИИ возлагаются на две федеральные службы — ФСБ России и ФСТЭК России, обе из которых активно ведут соответствующую деятельность.
Так, Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ФСБ России выпустил предупреждение об усиливающихся атаках на объекты критической информационной инфраструктуры, ФСТЭК России опубликовала особые рекомендации для значимых объектов КИИ, переходящих на удаленный доступ — такой доступ обязательно должен быть защищенным и контролируемым.
Вместе с тем, так как на сегодняшний день только для государственных организаций был установлен срок, до которого надо было начать работу по приведению своих информационных систем в соответствие с требованиями №187-ФЗ, многие коммерческие организации пока только планируют начать первый этап работ — подготовка, утверждение и отправка во ФСТЭК России Перечня объектов КИИ, несмотря на рекомендуемый Правительством РФ срок — до 01 сентября 2019 года (Постановление Правительства РФ №452 от 13.04.2019).
Часть организаций просто еще не разобралась в теме, другие не спешат выполнять требования законодательства, оценивают обстановку и ждут: практики проверок, появления новых статей административных правонарушений.
А такие статьи в виде поправок в КоАП сейчас готовятся и штрафы по ним планируются серьёзные — суммарно до 500 тыс. руб. Принятие новых поправок идёт пока не совсем гладко, сейчас они в очередной раз дорабатываются, но мало у кого есть сомнения, что в том или ином виде, рано или поздно, они будут приняты и новые статьи со штрафами вступят в силу.
В любом случае, уже сейчас есть действующая статья 274.1 УК РФ, которая подразумевает лишение свободы на значительный срок как для внешнего злоумышленника, так и для собственного сотрудника компании, если из-за их действий (или бездействий) произойдёт компьютерный инцидент, повлекший причинение вреда критической информационной инфраструктуре. Для многих крупных субъектов КИИ именно эта статья послужила толчком к тому, чтобы заниматься вопросами безопасности своих систем.
Как выполнять требования нового закона, находясь на дистанционной работе?
Федеральный закон №187-ФЗ обязывает предприятие провести определенный перечень работ, чтобы выяснить, является ли оно субъектом КИИ, есть ли у организации объекты КИИ, в том числе значимые. Выполнять требования законодательства необходимо поэтапно и традиционно выделяют следующие мероприятия:
- Формирование комиссии по категорированию.
- Определение перечня объектов КИИ.
- Предоставление утвержденного перечня объектов КИИ во ФСТЭК России.
- Категорирование объектов КИИ в соответствии с показателями критериев значимости и их значений, установленных правительством РФ.
- Предоставление во ФСТЭК России сведений о результатах категорирования объектов КИИ.
- Прежде всего, организации нужно понять: относится ли она к числу субъектов КИИ или нет? Затем следует выделить объекты КИИ и провести категорирование, чтобы выяснить, является ли объект значимым. Это самый важный этап работы, причем категорирование можно провести своими силами, а для решения этой задачи есть эффективные инструменты.
Примером такого инструмента, готового к использованию для предприятий любого размера, является онлайн-сервис автоматизации процессов категорирования объектов КИИ Eplat4m. Он помогает внести информацию, определить актуальные угрозы в соответствии с новой методикой ФСТЭК России, провести расчеты возможного вреда, сравнить с показателями, которые заложены в нормативно-правовых актах, и формировать отчетные документы для регулятора. В дальнейшем владельцы значимых объектов КИИ могут использовать этот сервис в течение всего жизненного цикла своих систем, применять внесенные данные при повторном категорировании, а также при совершенствовании системы обеспечения безопасности.
Сервис содержит все необходимые шаблоны и справочники — специалисту необходимо только дать ответы на вопросы системы. Далее сервис формирует набор всей необходимой документации, который почти полностью готов к отправке во ФСТЭК России.
Екатеринбург, ул. Ткачей, 6
(343) 379-98-34
kii@ussc.ru
Фото: пресс-служба УЦСБ
Поделиться
Самое читаемое
Водители заметили отсутствие бензина АИ-92 и АИ-95 на заправках Свердловской области 
Смерчи будут случаться чаще: ждать ли новых торнадо в регионах УрФО? 
В Екатеринбурге стартовал фестиваль «Коляда-Plays» ― первый после ухода основателя 
Изъятие средств граждан из банков — «гвоздь в крышку гроба» власти