С последним ударом курантов в полночь 1 января вступили в силу как Новый, 2018 год, так и новый Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Это второй случай в российской истории государственного регулирования ИБ, когда обязательные требования по обеспечению безопасности информационных систем затрагивают не только госсектор, но и промышленные холдинги, и коммерческие компании различных отраслей, и даже индивидуальных предпринимателей. Область применения нового закона распространяется на операторов информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, функционирующих в сфере связи, энергетики, финансов, здравоохранения, науки, транспорта, топливно-энергетическом комплексе, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Законопроект определяет требования к категорированию значимых объектов критической информационной инфраструктуры (КИИ), порядок госконтроля в области обеспечения их безопасности на различных этапах жизненного цикла и состав организационно-технических мер защиты. Организации, подключаемые к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА), будут обязаны сообщать уполномоченным органам обо всех инцидентах в сфере ИБ и помогать им в расследовании.
Необходимость исполнения с 01.01.2018 положений 187-ФЗ порождает множество вопросов: как будет регулироваться безопасность значимых объектов критической информационной инфраструктуры; как организована и сегментирована система ГосСОПКА, внедрение которой призвано отсечь до 90% атак; где ознакомиться с нормативной базой; какие подзаконные акты стоит ожидать; что планируют предложить разработчики средств ИБ; к чему готовиться промышленности; что потребуется от подпадающих под госрегулирование владельцев информационных систем, чтобы не «наступить на грабли» новых требований, а в идеале – внести вклад в укрепление государственной системы противодействия компьютерным атакам.
Этой ключевой в сфере ИБ законодательной инициативе посвятил выступление на конференции Security Day в ФосАгро-Череповец Игорь Железняк, начальник отдела консалтинга департамента информационной безопасности «АйТеко». В центре внимания докладчика оказались основные положения ФЗ, подходы к выполнению требований по обеспечению безопасности значимых объектов КИИ и реализации функций ГосСОПКА, способы выявления уязвимостей и моделирования угроз, вопросы разработки и внедрения мер защиты. Рассказал эксперт системного интегратора и о программе обеспечения информационной безопасности АСУ ТП, которую департамент ИБ «АйТеко» уже четвертый год успешно реализует в «ФосАгро».
«Как новый мощный драйвер, федеральный закон «О безопасности критической информационной инфраструктуры РФ» даст еще больший толчок росту и развитию рынка ИБ России, чем в свое время 152-ФЗ «О персональных данных», – отмечает Игорь Железняк. – Команда профессионалов ДИБ «АйТеко», в активе которой более 120 проектов за десять лет работы на российском рынке ИБ, обладает развитой экспертизой, профильными компетенциями и уникальным опытом в части приведения заказчиков в соответствие требованиям российского законодательства в области информационной безопасности. Как следствие, мы готовы оказать и существующим, и потенциальным клиентам квалифицированное содействие, дав практические рекомендации и разъяснения по всем вопросам 187-ФЗ».
Правительство РФ и ФСТЭК России как регуляторы отныне делают обязательными к исполнению требования по защите КИИ, к числу которой относятся АСУ ТП критически важных объектов, включая предприятия химической отрасли.
«Снижение рисков в сфере информационной безопасности для АСУ ТП сегодня выходит на первый план, – поясняет Олег Маслов, заместитель руководителя ИТ-службы по информационной безопасности компании «ФосАгро». – Благодаря поддержке специалистов компании «АйТеко», с которой мы активно взаимодействуем с 2014 года по ряду направлений и проектов, ИБ и ИТ-подразделения группы компаний «ФосАгро» своевременно подготовились к проведению организационно-технических мероприятий для достижения соответствия положениям нового федерального закона и требованиям исполнительных органов».