Комплексная защита бизнеса, или как обеспечить соответствие компании требованиям по безопасности КИИ
Системный интегратор КРОК провел бизнес-ужин, посвященный новым законодательным требованиям по защите объектов критической информационной инфраструктуры (КИИ).
C 1 января 2018 года вступил в силу 187-ФЗ «О безопасности КИИ РФ», согласно которому субъекты КИИ — владельцы объектов КИИ и лица, обеспечивающие взаимодействие объектов КИИ, обязаны провести категорирование таких объектов, обеспечить их безопасность и подключиться к ГосСОПКА. В случае отсутствия защиты владелец КИИ может подвергнуться штрафу или даже лишению свободы. 10 апреля эксперты КРОК для узкого круга заказчиков и партнеров рассказали о новых требованиях законодательства и предложили конкретный перечень шагов по обеспечению соответствия этим требованиям. Бизнес-ужин прошел при партнерской поддержке Fortinet и Group-IB. К участию были приглашены представители регуляторов.
Согласно нормативно-правовым актам 187-ФЗ, под новые требования подпадают финансовые, транспортные, энергетические, телекоммуникационные компании, а также организации в сфере здравоохранения, науки, ТЭК, атомной энергетики и промышленности.
До 20 февраля 2019 года компании, которые попадают в сферу действия закона, обязаны самостоятельно провести категорирование объектов КИИ и согласовать их со ФСТЭК.
При этом данный этап включает в себя создание комиссии по категорированию, определение процессов в рамках основных видов деятельности компании и выявление наиболее критичных из их числа. Следующий шаг — формирование перечня объектов КИИ и его согласование с отраслевым регулятором (например, для сферы здравоохранения таковым выступает Минздрав). После этого перечень объектов подается в виде уведомления во ФСТЭК России, а для каждого объекта из перечня субъектом КИИ определяется категория значимости, после чего результаты категорирования направляются на согласование во ФСТЭК. Исходя из определенных категорий, владельцу объектов КИИ в дальнейшем необходимо выстраивать защиту.
В рамках бизнес-ужина эксперты КРОК остановили внимание на подготовке к защите объектов КИИ. Так, после согласования результатов категорирования со ФСТЭК важно провести аудит защищенности объектов КИИ и выявить уязвимости. И финальный шаг — определить и приоритизировать потенциальные угрозы в отношении объектов КИИ. Выполнение данных рекомендаций позволит качественно и своевременно подготовиться к дальнейшей серьезной работе по проектированию и созданию систем безопасности значимых объектов КИИ, а также подключению к ГосСОПКА.
«Российский рынок информационной безопасности достаточно быстро развивается, реагируя на появляющиеся угрозы и требования регуляторов. С появлением технологий Интернета вещей, больших данных и машинного обучения средства для атак становятся все более продвинутыми и охватывают все больше информационных систем и ресурсов. Очевидно, что в наши дни атаки на государственные информационные системы и ресурсы, а также ресурсы отдельных предприятий и отраслей могут привести к негативным последствиям для экономики страны, повлечь за собой вред для здоровья и жизни людей. Именно поэтому задачи предотвращения инцидентов информационной безопасности для критических информационных инфраструктур решаются на законодательном уровне. КРОК в числе первых компаний на рынке ИБ предлагает заказчикам комплексный подход по защите информационной инфраструктуры: от защиты значимых объектов КИИ и подготовки нормативных документов и ИT-инфраструктуры компаний к подключению к ГосСОПКА до круглосуточного мониторинга инцидентов безопасности в собственном SOC-центре», — подчеркнул Андрей Заикин, руководитель направления информационной безопасности КРОК.
Бизнес-ужин посетили руководители департаментов информационной безопасности крупных российских компаний финансовой сферы, представители госсектора, промышленной, нефтегазовой и транспортной индустрии, телекома.