Что сулит закон о безопасности критической информационной инфраструктуры? (PCweek)

02.03.2018
Журнал PCweek обратился к экспертам с вопросами о том, как 187-ФЗ может повлиять на развитие ситуации на корпоративном ИТ/ИБ-рынке, о перспективах его применения, возможных проблемах и вариантах их решения. Мнением об одном из важнейших законов, вступивших в силу с 1 января 2018 года, поделился Василий Степаненко, директор департамента информационной безопасности компании "Сервионика" (ГК "АйТеко")

1. В чем суть закона, какова сфера его применения? Какие существующие и будущие проблемы он призван решить?

Степаненко_sq.jpg187-ФЗ - закон, который обобщил требования по обеспечению ИБ и определил единых Регуляторов для совершенно разных сфер. Их объединяет то, что нарушение их нормального функционирования приводит не просто к приостановке деятельности, а угрожает жизни или здоровью людей, экологии, возможен и другой ущерб.

Благодаря 187-ФЗ наконец-то «выровняли» терминологию по объекту защиты: речь теперь идет о Критических Информационных Инфраструктурах – КИИ, и именно этим единым термином будут оперировать обозначенные Регуляторы. Закон регулирует отношения в области обеспечения безопасности КИИ, ее устойчивого функционирования при проведении в отношении ее компьютерных атак. Выделены два направления (обеспечение безопасности и противодействие атакам), соответственно определены два Регулятора по этим направлениям. В соответствии с Указом Президента РФ от 25.11.2017 г. № 569 ФОИВ, уполномоченным в области обеспечения безопасности КИИ является ФСТЭК России. В соответствии с Указом Президента РФ от 15.01.2013 г. №31с полномочия по созданию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) возложены на ФСБ России.

В Законе определено, что Правительство РФ установит критерии значимости КИИ, а ФСТЭК России будет вести реестр значимых КИИ. Определены обязанности и права субъектов КИИ. Тут нужно сказать, что 26.07.2017 г. был утвержден не только 187-ФЗ, но и два сопутствующих ему закона: 193-ФЗ и 194-ФЗ, который, собственно, и внес в УК РФ новую статью 274.1. Многие пытаются трактовать ее как возможность лишения свободы сроком до 10 лет для руководителей объектов КИИ за бездействие или нарушение правил эксплуатации. Но на самом деле это не совсем так.   

2. Как этот закон реально повлияет на развитие ИТ-ситуации в России? Что от него получат/потеряют ИТ-потребители и ИТ-поставщики?

КИИ – это АСУ ТП в том числе. Количество компонентов АСУ ТП (SCADA, PLC, RTU и т.д.), доступных в сети интернет, растет ежегодно И Россия – не исключение, хотя в нашей стране не самое плохое положение дел в сравнении с другими развитыми странами. Постоянно обнаруживаются новые уязвимости в продуктах мировых лидеров Microsoft, Cisco, SAP, такое же положение дел и у производителей компонентов АСУ ТП: Siemens, Schneider Electric, Moxa, ABB, Advantech, и т.д., но менее освещаемое. В России, в связи с развитем импортозамещения, новый закон может подтолкнуть отечественных производителей к более агрессивной маркетинговой политике. Так называемые «закладки» относятся к числу угроз, отражаемых в Модели угроз, хотя я не думаю, что какой-либо западный вендор на самом деле этим занимается (во всяком случае, в мирное время) Спецслужбы иностранных государств все же на другом уровне работают, и надоевший всем уже пример с Stuxnet это доказывает.  Кроме того, хакерская группировка The Shadow Brokers на практике показала, что кибер-оружие может быть украдено и продано, соответственно использовано в том числе и против его разработчика. Из положительного - оживились отечественные производители средств защиты, это замечательно, ведь если нет отечественных компонентов АСУ ТП, или замена на отечественное невозможна или затруднительна, то все равно нужно реагировать на угрозы - и внедрение наложенных СЗИ или «рядом стоящих» для многих будет решением.

Для ИТ-интеграторов Закон открывает поле для деятельности, чуть меньше чем когда-то 152-ФЗ «О персональных данных», но уже «продавцы страха» активизировались. Надеюсь, что подзаконные акты не сведут всю работу в «бумажную безопасность». Мы для себя видим работы по части активации встроенного функционала в АСУ ТП, внедрение наложенных СЗИ, организацию SOC и интеграцию с ГосСОПКА – все это практическая безопасность. Конечно же, составлять Модель угроз и нарушителя необходимо, и для КИИ портрет нарушителя несколько иной, так как и классическая тройка Конфиденциальность/Целостность/Доступность имеет другие значения, расстановку приоритетов. Для КИИ, которые не эксплуатируют АСУ ТП, набор СЗИ и СКЗИ более привычен и шире, а у ведущих ИТ-интеграторов уже наработана многолетняя практка решения таких задач.

В Законе между строк всюду речь о непрерывном обеспечении ИБ, т.е. Заказчикам необходимо не просто определить категорию КИИ и разово вложить средства в защиту, а постоянно разрабатывать и осуществлять мероприятия по обеспечению безопасности, планировать бюджеты на это, информировать ФСБ об инцидентах, расследовать инциденты и оказывать содействие представителям ФСБ и ФСТЭК, и т.д. Многие сейчас говорят о процедуре аттестации КИИ, но это даже если и будет, то не в том виде как привыкли, т.е. не фиксация системы и аттестат соответствия, а проверка выполнения установленного ФСТЭК России минимума, и постоянная оценка эффективности мер защиты со стороны ФСБ России.

3. Ваша оценка качества этого закона (что в нем хорошо и что плохо), какие перспективы открываются и какие проблемы появляются? Что, на ваш взгляд, нужно дорабатывать в нем?

Хорошо, что Государство явно проявило озабоченность вопросами безопасности КИИ, путем принятия 187-ФЗ. Однако, на мой взгляд, Закон плохо состыкован с другими ФЗ, которые уже давно действуют в ряде отраслей, обозначенных как потенциальные КИИ, взяли слишком большой охват сразу. Не ясно пока с ответственностью, уже на общественное обсуждение были представлены несколько проектов документов ФСТЭК России, там появлялись и уполномоченные лица, и руководители подразделений защиты КИИ и прочие, однако, как ответственность руководителя объекта КИИ может быть поделена с другими должностными лицами не понятно. Обязать всех выделять бюджеты и бояться проверок можно, но без должного финансирования, в том числе со стороны Государства, сложно добиться реальны результатов.

4. Как закон повлияет на работу конкретно вашей компании?

Мы интегратор, также специализируемся на сервисном обслуживании, в том числе СЗИ и СКЗИ. Вероятно, для обслуживания СЗИ Заказчиков в ближайшее время нам потребуется расширить имеющуюся лицензию на ТЗКИ ФСТЭК России пунктом «в»: услуги по мониторингу информационной безопасности средств и систем информатизации. Поскольку под управлением ООО «Сервионика» находится ЦОД «ТрастИнфо», в котором размещается оборудование Заказчиков, в том числе потенциальных объектов КИИ, нам, вероятно, придется подключиться к ГосСОПКА ФСБ России. 

Полный текст статьи - в журнале PCweek

Назад к разделу "Публикации"