Как уберечь бизнес от кибератак

Как уберечь бизнес от кибератак
Новость

31 января 2019, 12:46
Под действие закона о безопасности КИИ попадает 70% компаний Дальнего Востока

Под действие закона о безопасности КИИ попадает 70% компаний Дальнего Востока

Прошел ровно год с момента вступления в силу федерального закона №187 «О безопасности критической информационной инфраструктуры Российской Федерации». Закон регулирует меры по обеспечению кибербезопасности предприятий энергетического комплекса, нефтехимического, металлургического, машиностроительного, радио- и электротехнического, оборонного и других производств. Приведение инфраструктуры в соответствие с требованиями Федерального закона 187-ФЗ – нетривиальная задача для субъектов КИИ, при этом под требования нового закона попадает ориентировочно более 70% крупных компаний Дальнего Востока.

О том, как решить эту задачу, газете «Золотой Рог» рассказал директор по развитию компании Softline в ДВФО Денис ВАРЧЕНКО:

- Принятие 187-ФЗ стало логическим продолжением работы по усилению госконтроля за обеспечением кибербезопасности страны. Вывод из строя объектов КИИ можно приравнять к теракту, так как подобная атака способна парализовать деятельность целого района или населенного пункта, и даже привести к гибели людей. При этом, новый закон исключает возможность «бумажной» безопасности: он нацелен на то, что субъекты КИИ примут реальные меры по защите информационной инфраструктуры.

Закон требует:

• Провести категорирование объектов критической инфраструктуры.

• Реализовать организационные и технические меры для обеспечения безопасности значимых объектов критической информационной инфраструктуры.

• Организовать информационный обмен с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Для реализации первого требования в феврале 2018 года было утверждено постановление правительства РФ №127, детализирующее положения 187-ФЗ в части проведения инвентаризации и категорирования информационных систем. При этом искусственно занижать категорию значимости объекта критической информационной инфраструктуры, либо вообще не присваивать ему ни одну из категорий значимости, не имеет смысла. За нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, повлекшее за собой реальные последствия, может последовать наказание вплоть до уголовного – независимо от присвоенной категории.

Последствия невыполнения закона очень серьезны. Впервые для нарушителей требований регуляторов в вопросе защиты КИИ предусмотрена персональная уголовная ответственность. Специально для этого была введена новая статья 274.1 в УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», предусматривающая наказание в виде лишения свободы на срок до 10 лет. При этом ответственность распространяется как на руководителя организации, так и на лица, эксплуатирующие значимые объекты, обеспечивающие их функционирование и безопасность. Уголовная ответственность возможна в случае возникновения аварии в результате невыполнения требований закона. В случае же обнаружения нарушений при плановых проверках организация отделается штрафом (впрочем, довольно крупным).

Некоторые организации серьезно задумались о приведении своей ИТ-инфраструктуры в соответствие с новыми требованиями еще в 2014 году, после выхода в свет 31 приказа ФСТЭК, хотя его исполнение не было обязательным. С несколькими заказчиками мы реализовали проекты полного цикла – от аудита ключевых систем информационной инфраструктуры до реальных внедрений, в рамках которых были выполнены все требования к защите объектов КИИ.

Тогда же компании начали присматриваться к рынку систем ИБ в части защиты автоматизированных систем управления технологическими процессами, проектировать и «пилотировать» системы защиты. Коробочных решений, которые позволят выполнить требования закона от и до, на рынке не существует. Кроме того, важно подобрать средства защиты, которые не будут конфликтовать с производственными системами и смогут поддерживать все промышленные протоколы, набор которых у каждого заказчика свой. Если появляется отклонение от рабочего режима в технологическом процессе, оно должно сразу отображаться в системе безопасности.

Внедрение системы защиты всегда проходит в несколько этапов. После проектирования системы выбирается пилотная зона или проводятся стендовые испытания, на которых моделируется производственный процесс. Только после подтверждения работоспособности системы в реальном времени и при отсутствии негативных последствий для основного процесса начинается собственно ее внедрение.

Следующим шагом должно стать создание центров анализа и передачи информации в ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак), за которую отвечает 8-й центр ФСБ. Предполагается, что при обнаружении атаки одним из центров ГосСОПКА информация передается в главный центр, который распространяет данные об атаке и способах защиты по всей системе. Таким образом, появляется возможность избежать массовых кибератак с болезненными для предприятий и организаций последствиями.

На фото: Директор по развитию компании Softline в ДВФО Денис Варченко: «С несколькими заказчиками компания уже реализовала проекты полного цикла в области защиты КИИ». Фото из архива

Сергей КУЗЬМИН. Газета "Золотой Рог", Владивосток.

Нашли опечатку в тексте? Выделите её и нажмите ctrl+enter