Пpeзидeнт Poccии пoдпиcaл yкaз, peгyлиpyющий пoдxoды к инфopмбeзoпacнocти для cтpaтeгичecкиx пpeдпpиятий. Двe глaвныe нoвaции — тpeбoвaниe coздaть нoвyю cтpyктypy, oтвeтcтвeннyю зa ИБ и пoдчиняющyюcя пepвoмy лицy кoмпaнии, и зaпpeт нa иcпoльзoвaниe пpoгpaмм и тexнoлoгий, coздaнныx в нeдpyжecтвeнныx cтpaнax.
В начале мая президент Владимир Путин подписал указ №250 «О дополнительных мерах по обеспечению информационной безопасности РФ», вводящий ряд дополнительных требований по обеспечению безопасности для компаний и организаций, имеющих стратегическое значение для страны. Контекст, в котором был подписан документ, вполне очевиден. Кибербезопасность стала своего рода вторым фронтом в борьбе России против своих геополитических соперников.
Весной 2022 года IT-инфраструктура страны постоянно подвергалась атакам. К примеру, во время майских праздников был взломан принадлежащий Газпрому сервис RuTube, который прочат на замену принадлежащему Google YouTube (про блокировку последнего слухи возникают с частотой минимум раз в неделю). Убытки от двух суток простоя RuTube после хакерской атаки могут составить 0,5–1 млрд рублей, подсчитал директор департамента по продажам инвестиционной компании «Вектор Икс» Сергей Звенигородский.
Действие нового указа распространяется на федеральные органы исполнительной власти и высшие исполнительные органы государственной власти субъектов Федерации, а также на фонды и компании, созданные на основании федерального закона, например: Росатом, Газпром, Русгидро, РЖД и другие. Кроме того, указ относится к стратегическим предприятиям и стратегическим акционерным обществам, перечень которых утвержден указом президента от 04.08.2004 №1009 «Об утверждении перечня стратегических предприятий и стратегических акционерных обществ» (в основном в документе перечислены оборонные предприятия).
Соблюдать указ нужно и юридическим лицам, являющимся субъектами критической инфраструктуры, то есть подпадающим под действие Федерального закона от 26.07.2017 №187-ФЗ; системообразующим организациям российской экономики. По состоянию на 20 апреля 2020 года в перечень таких организаций входило 646 юридических лиц, включая, например, ПАО «Газпром», ООО «Мэйл.ру», АО «ЭР-телеком холдинг», ПАО «Уралкалий», ПАО «Детский мир», ООО «Группа компаний “Русагро”», АО «Гознак», ПАО «Авиакомпания “ЮТэйр”» и т. д. К июлю 2020 года в перечне было уже порядка 1300 системообразующих организаций. «По самым скромным оценкам, таких организаций до ста тысяч – несколько тысяч госорганизаций, 20 тыс. только финансовых организаций, 20 тыс. транспортных компаний (это не считая двух миллионов ИП, у которых есть свой грузовик), 5 тыс. больниц и т. п.», – рассуждает независимый эксперт по кибербезопасности Алексей Лукацкий.
Из глaвы oтдeлa в зaмecтитeли диpeктopa
Как уточняет старший аналитик аналитического центра ООО «УЦСБ» Анастасия Заведенская, попавшим под указ организациям следует возложить на должностное лицо уровня заместителя руководителя полномочия по обеспечению ИБ; на самого руководителя – персональную ответственность за обеспечение ИБ. Одним из оптимальных решений, по ее словам, будет повышение нынешних руководителей подразделений ИБ или лиц, ответственных за ИБ, до соответствующих должностей – как минимум в целях сокращения времени на их погружение в состояние ИБ организации, а также оперативного взаимодействия с контролирующими органами.
Кроме того, необходимо создать структурное подразделение, ответственное за обеспечение ИБ, или возложить такие функции на существующее подразделение. Таким образом, просто одной штатной единицы, ответственной за ИБ в организации, теперь будет недостаточно. «С учетом кадрового дефицита специалистов по ИБ стоит ожидать еще большей востребованности квалифицированных кандидатов», – говорит Заведенская.
Следует провести инвентаризацию договоров с подрядными организациями, оказывающими услуги по ИБ, так как для таких мероприятий нужно привлекать исключительно организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ, выдает ФСТЭК России). Учитывать это требование надо и при принятии дальнейших решений о привлечении подрядчиков. К деятельности по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты теперь можно привлекать исключительно аккредитованные центры государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
«Все попавшие под указ организации должны незамедлительно (так и написано) реализовывать все требования ФСТЭК и ФСБ, которые они активно рассылают в последнее время. Для обеспечения ИБ можно привлекать внешние компании, но только лицензиатов ТЗКИ. Если раньше можно было закрывать глаза на отсутствие лицензии ФСТЭК у подрядчиков, то теперь это уже не удастся сделать (по крайней мере так явно). Это означает, что либерализации рынка ИБ и возможности выйти на него небольшим компаниям не предвидится. В законопроекте об уведомлении РКН и ФСБ об утечках ПДн говорится о подключении всех операторов ПДн к ГосСОПКЕ».
В этом указе такой прямой нормы нет, уточняет эксперт, но опосредованно, через постоянные отсылки к необходимости обнаруживать, предотвращать и ликвидировать последствия компьютерных атак это также следует. Тем более что по указу ФСБ должна определить порядок мониторинга ИБ всеми организациями, попавшими под указ. «Учитывая, что у ФСБ уже имеются такие методики (с ограничительной пометкой), то есть вероятность, что эти методики наконец-то рассекретят (мне в свое время не удалось их получить официальным путем, даже несмотря на официальный запрос от лицензиата ФСБ). Сохраняется, конечно, вероятность, что ФСБ и сейчас потребует от всех получения лицензий ФСБ на гостайну, но требовать такого от почти сотни тысяч субъектов, попавших под новый указ, нельзя».
Кроме того, отмечает она, ФСБ получает беспрепятственный доступ (в том числе удаленный) ко всей инфраструктуре попавших под указ предприятий. «Бояться этого не стоит, – утверждает Алексей Лукацкий. – Это просто формулировка. Она существовала и в законодательстве по КИИ и всего лишь означала, что если у вас произойдет инцидент по ИБ и к вам придет разбираться и проводить расследование ФСБ, то чинить препятствие ей вы не имеете права. Теперь, правда, добавили еще про удаленный доступ, но тут пока сложно что-то сказать. Я не думаю, что эта норма будет как-то активно применяться, поскольку открывать дыру в периметре никто не захочет (а еще и нести ответственность за нее)», – рассуждает Лукацкий.
Heдpyжecтвeннoe ПO
Кроме того, с 30 марта текущего года были введены ограничения на приобретение иностранного оборудования и программного обеспечения для субъектов КИИ, которые осуществляют закупки по Федеральному закону от 18.07.2011 №223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» и в соответствии с указом президента от 30.03.2022 №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации». К тому же с 1 января 2025 года организациям запрещается использовать средства защиты информации, произведенные в недружественных государствах либо организациями под их юрисдикцией, прямо или косвенно подконтрольными им либо аффилированными с ними. Сейчас в перечень иностранных государств и территорий, совершающих в отношении России, российских компаний и граждан недружественные действия, включено 21 государство плюс государства – члены Европейского союза. Например, оборудование американского производства потенциально будет запрещено к использованию. На первый взгляд средства защиты из Израиля или Китая под такие запреты не подпадают, однако при выборе иностранных решений для защиты информации необходимо не просто обращать внимание на страну-производителя, но и проверять аффилированность компании (состав собственников, членов органов управления, лиц, имеющих право распоряжаться общим количеством голосов), рассуждает Анастасия Заведенская.
«Указ может потенциально нести как положительные, так и отрицательные последствия. Всякую идею легко, как мы знаем, может испортить реализация, – говорит Владимир Дащенко, эксперт по исследованиям угроз информационной безопасности в Лаборатории Касперского. – Безусловно, защищать государственные органы и госорганизации, равно как и объекты критической инфраструктуры, необходимо на должном уровне. Идея выведения функции обеспечения информационной безопасности из подчинения IT-службы, СБ или технологических подразделений в отдельную вертикаль, мы считаем, логична. Ее суть, как нам представляется, – повысить приоритет задач ИБ в организации, сделать их менее зависимыми от планов и целей прочих функций и их руководителей, а также сделать явным и прозрачным распределение бюджетов, полномочий и ответственности. Однако на местах в зависимости от ситуации, сложившейся в конкретной организации, она может стать очередным стимулом в борьбе за власть, должности, штаты и бюджеты. А в некоторых случаях – и это особенно актуально именно для промышленных компаний, где на инженерах лежит еще и персональная ответственность за функциональную безопасность технологических систем и объектов и распределение ответственности далеко не всегда зеркально распределению полномочий. По факту должности, штат и бюджеты могут оказаться распределенными в ущерб реальным полномочиям по реализации мер кибербезопасности в технологическом сегменте. Понятно, что на деле это может не просто не улучшить, но даже и ухудшить ситуацию с качеством ИБ».
России сейчас, конечно же, абсолютно необходимо снизить технологическую зависимость и создать свою собственную экспертизу во многих сегментах, в том числе и ИБ, убежден Дащенко. И стимулирование спроса на отечественные решения на государственном уровне – один из способов дать первоначальный толчок для решения этой проблемы. Но «фору», полученную таким способом, следует использовать с умом – не только с точки зрения бизнеса, но и как окно возможности технологического роста. А основным фактором, стимулирующим инвестиции в технологическое развитие, продолжает оставаться конкуренция. Исходя из этого соображения, можно дать практический совет потенциальным покупателям отечественных продуктов и услуг: при выборе поставщика из всех доступных отдавайте предпочтение тем, кто демонстрирует успешность своих решений на конкурентных рынках, ведь именно вы больше всех заинтересованы в качестве приобретаемого товара.
Mиp нe бyдeт пpeжним
«В госструктурах сфера информационной безопасности достаточно детально регламентирована законодательной базой, – говорит Григорий Сизоненко, генеральный директор компании ИВК. – В бизнесе же ответственность руководителя за обеспечение ИБ зачастую регламентируется собственником, который исходит из своих представлений о том, что правильно и неправильно, целесообразно или нецелесообразно. Собственники не всегда готовы выделять дополнительные средства на обеспечение безопасности КИИ, даже несмотря на предписания регуляторов. Поэтому новые требования регулятора законны и справедливы. Вообще любые требования регуляторов, которые направлены на реальное повышение безопасности IT-инфраструктуры, – это всегда хорошо. К сожалению, многие руководители субъектов КИИ по сей день продолжают жить в ощущении, будто никакой угрозы безопасности их информационным ресурсам не существует. Как радиация: раз не видно, значит, ее нет. Люди несут ответственность за состояние инфраструктуры, критической для жизнедеятельности государства, но им кажется, что после завершения спецоперации мир снова станет прежним, в котором атаки на информационные ресурсы были относительно редкими. Вынужден их расстроить: мир не будет прежним. Мы видим, как стремительно и кардинально изменилась расстановка сил на экономической и политической аренах, как информационное пространство стало реальным полем битвы за место в этом новом мире. Поэтому хорошо, если в организациях появится специальный сотрудник, который будет отвечать за информационную безопасность. Он лишний раз напомнит руководству о необходимости выстроить грамотную защиту IT-ресурсов, заблаговременно получит финансирование на ее развитие. Атаки на КИИ сегодня серьезно ужесточились».
Регуляторы – ФСТЭК, ФСБ, Минобороны – ранее прикладывали большие усилия и вкладывали ресурсы в создание инфраструктуры информационной безопасности КИИ, напоминает он. Эти ведомства разработали четкие требования к системам ИБ, ввели системы верификации и сертификации средств и технологий защиты.
«И теперь мы видим результаты этих усилий. Да, атаки на КИИ ужесточились, но инфраструктура устояла, критических массовых сбоев практически не произошло. Это значит, что регулятор проводил правильную целенаправленную политику для защиты КИИ. Не все организации приветствовали эти действия, многие руководители разных рангов выказывали недовольство дополнительным кругом обязанностей. Но, как показала практика, выполнение требований регуляторов позволило защитить даже IT-инфраструктуру, построенную на заемных средствах IT. И ныне это позволяет нам в условиях недружественного окружения обеспечивать устойчивость и безопасность критической информационной инфраструктуры», – замечает Сизоненко.
«Необходимо ответить на этот вопрос, надо определить: какие ИБ-решения отечественные. Дело в том, что сейчас на рынке существуют решения, которые в действительности являются слегка „отрихтованными“ импортными разработками. Они прошли государственную сертификацию, используются в госструктурах и бизнесе, но это достаточно опасная половинчатая ситуация, – рассуждает глава ИВК. – Хорошо, что сегодня государство объявило решительный бой таким продуктам. Да и разработчики оригиналов сами стали уходить с российского рынка и обрывать деловые связи с российскими партнерами. Однако это только оздоровит сектор ИБ. Многомиллионная выручка от продажи отечественных программных продуктов перестанет уходить за рубеж, останется в стране и пойдет на зарплаты программистов, которые продолжат развивать существующие решения и создадут новые. Так что нынешний период – это не банальный передел рынка, а торжество здравого смысла. Для российских разработчиков средств информационной безопасности сегодняшняя ситуация – это окно возможностей. Причем важно, чтобы разрабатываемые ими средства информационной безопасности были не опцией, а функцией информационных систем. При проектировании информационных систем надо закладывать ИБ как функцию, которую не придется дополнительно компенсировать сторонними наложенными средствами. Нередки случаи, когда эти средства нивелируют основной функционал системы, например, снижают производительность информационных систем. Это неприемлемо».
