Президент РФ подписал указ, увеличивающий штат работников Федеральной службы по техническому и экспортному контролю и расширяющий её полномочия по управлению безопасностью значимых объектов критической информационной инфраструктуры (КИИ). Об этом сообщает издание D-Russia.ru со ссылкой на официальный портал правовой информации.

Согласно документу, предельная штатная численность центрального аппарата ведомства будет увеличена с 260 до 289 сотрудников, территориальных органов — с 1012 до 1101 работника (без учёта персонала для охраны и обслуживания зданий). Также указ наделяет ФСТЭК России полномочиями по созданию информационной автоматизированной системы для управления деятельностью по технической защите информации и обеспечению безопасности значимых объектов КИИ.

В рамках своей компетенции ФСТЭК России будет вести централизованный учёт информационных систем и иных объектов КИИ по отраслям экономики, а также мониторинг и оценку текущего состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры. Также в числе обязанностей ведомства значится оперативное информирование органов власти, местного самоуправления и организаций об угрозах безопасности информации и уязвимостях информационных систем и иных объектов КИИ, а также о мерах по технической защите от этих угроз и уязвимостей.

Список объектов критической информационной инфраструктуры страны включает телекоммуникационные и IT-системы, а также АСУ ТП, которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Каждая пятая компания, владеющая критической инфраструктурой (КИИ), не успеет перейти на российскоге ПО к 2025 году из-за отсутствия подходящего аналога зарубежным продуктам. Такие данные представлены в совместном исследовании «К2 кибербезопасности» (подразделение компании «К2Тех») и Anti-Malware.ru.

Авторы исследования в июне–августе 2023 года опросили 108 руководителей по ИТ и ИБ российских компаний с выручкой более 5 млрд руб. и госкорпораций в разных отраслях, а также представителей разработчиков аппаратного и программного обеспечения для кибербезопасности. Напомним, что согласно указу президента от 30 марта 2022 года, с 1 января 2025 года госкомпаниям запрещено использовать иностранное ПО и оборудование для обеспечения работы КИИ.

Источник: «К2Тех»

58 % опрошенных компаний уверены в том, что успеют уложиться в сроке и реализовать все требования закон, тогда как 21 % компаний полагают, что не успеют вовремя реализовать необходимые проекты. Основным препятствием последние называют сложности с заменой иностранных решений на отечественные, связанные как с высокой стоимостью, так и с нехваткой оборудования. При этом 2 % компаний сказали, что у них в принципе нет средства на реализацию требований 187-ФЗ, ещё 44 % были вынуждены кратно увеличить расходы на ИБ, причём у 14 % компаний бюджеты выросли сразу на порядок.

Источник: «К2Тех»

Как показало исследование, лишь 8 % российских компаний завершили переход с иностранного на российское ПО. Еще 14 % находятся на завершающей стадии, а 10 % не приступали к переходу. При этом 24 % респондентов не понимают, какие решения нужны для выполнения указа, а 31 % уверены, что отечественные решения неспособны справиться с предъявляемыми требованиями. Среди наиболее востребованного ПО опрошенные называли межсетевые экраны (54 % респондентов), антивирусную защиту (33 %), сетевое оборудование (29 %) и средства криптографической защиты (25 %).

Источник: «К2Тех»

Участники рынка отмечают, что проблемы с выполнением законодательства в области КИИ связаны с тем, что многие владельцы подобных объектов не занимаются присвоением категорий, что является нарушением требований законодательства. К КИИ относятся сети связи и информационные системы госорганов, финансовых, энергетических, транспортных, медицинских, телекоммуникационных и ряда других компаний.

Минцифры, по информации газеты «Ведомости», намерено включить локализацию производства оборудования в перечень критериев для оценки технологической независимости критической информационной инфраструктуры (КИИ). Это, в частности, необходимо в свете сложившейся геополитической обстановки.

В соответствии с утверждёнными требованиями, с 1 января 2025 года на значимых объектах КИИ могут использоваться только программные продукты, включённые в реестр российского или евразийского ПО. Кроме того, госорганам и организациям запрещается применять средства защиты информации из недружественных стран.

Источник изображения: Delta Computers

В июне 2023-го премьер-министр Михаил Мишустин поручил Минцифры «проработать вопрос формирования системы оценки уровня соответствия КИИ требованиям по технологической независимости». В ответ в ведомстве предлагают оценивать наличие отечественных разработок, производственных линий высокотехнологичной продукции, а также наличие необходимых кадровых ресурсов и научных и технологических заделов у владельцев КИИ.

Разрабатываемая система оценки необходима для понимания того, насколько владельцы объектов КИИ готовы к переходу на отечественные программные и аппаратные решения, а также к их разработке и производству к 2025 году. Наработки Минцифры лягут в основу системы показателей технологического суверенитета, о которой говорится в Концепции технологического развития до 2030-го. В соответствии с этим документом к концу десятилетия Россия «должна обладать собственной научной, кадровой и технологической базой критических и сквозных технологий». Речь идёт об организации производства высокотехнологичной продукции — чипов и другой микроэлектроники, высокоточных станков и робототехники, авиакосмической техники, беспилотников, медицинского оборудования, телекоммуникационной техники и ПО.

Согласно исследованию «Нормативные правовые акты в сфере информационной безопасности (ИБ) и цифровой экономики по итогам 2021–2022 года» компании InfoWatch, в 2022 году в России было принято 257 нормативных правовых актов, касающихся регулирования сфер ИБ, ИТ и цифровой экономики в целом.

Это в количественном отношении на 11,6 % меньше по сравнению с предыдущим периодом. Однако распределение неравномерно. Так, доля актов в области цифровой экономики, ИБ и безопасности КИИ выросла. В сфере цифровой экономики нормативная база которой менялась более чем в половине случаев (51,8 %). Информационная безопасность по активности законодателей оказалась на втором месте (20,6 %), на третьем — категория «Биометрия и персональные данные» (10,9 %). Затем идут безопасность КИИ (5,8 %) и импортозамещение (4,7 %).

Источник: InfoWatch

Такие данные в компании связывают со значительным обострением геополитической обстановки, так как в прошлом году множество объектов КИИ, принадлежащих российским организациям, стали подвергаться массированным кибератакам. При этом многие новые документы принимались в ускоренном порядке и в условиях близких к экстремальным.

Большинство (67,7 %) законодательных актов в 2022 году приняло Правительство РФ, на долю Президента России и Минцифры приходятся 10,5 % и 8,6 % документов соответственно. Согласно исследованию, больше всего инициатив в 2022 году было предложено на тему регулирования цифровой экономики (34 %), на втором месте — биометрия и персональные данные (21,1 %), на третьем — законодательные акты в сфере импортозамещения (15 % от общего количества).

Федеральная служба технического экспортного контроля (ФСТЭК) предложила критически значимым компаниям, куда водят операторы, банки и структуры ТЭК, запретить при использовании корпоративных почтовых систем взаимодействие с иностранными IP-адресами. Об этом узнал «Коммерсантъ» из февральской презентации ФСТЭК, посвященной особенностям обеспечения безопасности критической информационной инфраструктуры.

Так, ФСТЭК предлагает отключить удаленный доступ к критичным узлам и сетям, запретить open relay (серверы, позволяющие бесконтрольно пропускать через себя почту), а также взаимодействие через электронную почту с иностранными IP-адресами. При этом защиту следует устанавливать и от «внутренних нарушителей». Предлагается реализовать запись действий привилегированных пользователей и не допускать пересечений прав администратора и работников. Впрочем, такие меры распределения прав доступа в значимых компаниях должны уже давно использоваться.

Источник изображения: «МойОфис» / mailion.ru

Объясняет ФСТЭК свое решение тем, что в ходе экспертизы выявил ряд проблем КИИ в части кибербезопасности. К примеру, компании не учитывают взаимодействие с другими объектами КИИ и занижают размеры ущерба от нарушений работы даже после масштабных кибератак на все отрасли российской экономики в 2022 году и принятых ранее мер.

Эксперты отнеслись к предложению ФСТЭК неоднозначно. С одной стороны, уже работает ограничение зарубежных адресов, с другой — компании могут взаимодействовать с контрагентами, которые используют зарубежные IP-адреса. Кроме того, принадлежность иностранных IP-адресов регулярно меняется.

Среди российских компаний из числа системообразующих предприятий и организаций критической информационной инфраструктуры (КИИ) лишь 3 % и 1,7 % соответственно заменили иностранные операционные системы (ОС) и системы управления базами данных (СУБД) на отечественные. Об этом сообщает «Коммерсант» со ссылкой на исследование «СерчИнформ».

По данным «СерчИнформ», в процессе перехода на отечественные ОС и СУБД находятся 23 % опрошенных. В 53 % компаний его только планируют, а в 22 % — пока не намерены переходить. Как отмечают представители компаний, в целом сейчас реализуется большое количество пилотных проектов, в среднем их реализация занимает от полугода до полутора лет. Сам переход, в зависимости от сложности инфраструктуры предприятия, может составить от полугода до пяти лет. Напомним, что согласно указу президента от 30 марта 2022 года, с 1 января 2025 года госкомпаниям запрещено использовать иностранное ПО и оборудование для обеспечения работы КИИ.

Источник изображения: pixabay.com

Участники энергетической отрасли отмечают, что у крупных компаний много разнообразного ПО, зачастую сопряженного, поэтому переход на новые платформы для них становится трудной задачей. В телеком-сегменте работы по переходу на отечественные СУБД и ОС на объектах КИИ требуют перестройки бизнес-процессов управления ИТ-активами. Миграция на отечественные ОС затруднительна, так как они не поддерживают множество компонентов и прикладного ПО. В финансовом секторе наибольшие трудности индустрия испытывает при замещении автоматизированных банковских систем (АБС). Одной из основных проблем участники рынка назвали совместимость с прикладным ПО и оборудованием. В строительном сегменте и девелопменте компаниям не хватает специализированных отраслевых продуктов под отечественные платформы.