Федеральный закон N187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» вступает в силу с 1 января 2018 г. Однако реальное применение его возможно только после разработки и принятия группы подзаконных актов, конкретизирующих практику применения, увязывающих с ним ранее принятые законы. Чего же ждут от этих документов субъекты критических информационных инфраструктур (КИИ) и другие заинтересованные участники российского рынка ИБ?
Следует отметить, что графика подготовки ожидаемых документов в открытом доступе нет, хотя известно, что основная их часть должна быть готова к 01.01.2018, и потому ответы на ожидания участников отрасли появляются неожиданно. Так, в самом конце ноября Президент РФ подписал указ о назначении ФСТЭК России координирующим органом в организации ИБ КИИ страны, ответственным в том числе за сведение воедино всех регуляторных требований в этой области.
Увязывая между собой требования к ИБ КИИ со стороны ФСБ, МО РФ, МЧС, Минэнерго, ЦБ РФ, Минкомсвязи и других регуляторов, важно соблюсти отраслевую специфику каждой регулируемой предметной области, поскольку чрезмерные обобщения регуляторных требований чреваты формальным их выполнением (как это долгие годы происходило с требованиями закона «О персональных данных»).
В ближайшее время регуляторы обещают приемлемую для практического использования методику категоризации объектов КИИ. Готовятся также требования к построению систем ИБ объектов КИИ, к организации процессов обеспечения ИБ КИИ (где важной частью объявлена организация взаимодействия субъектов КИИ с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак — ГосСОПКА). В актуальной повестке дня регуляторов также стандартизация событий ИБ и данных, регистрируемых средствами защиты информации, и обмена этими данными. ФСТЭК России обещает продолжить обсуждение ожидаемых документов с экспертным сообществом.
Эксперты обращают внимание на то, что сведения о мерах защиты КИИ отнесены сегодня к государственной тайне. Отсутствие необходимой конкретизации применения этого режима дополнительно усложняет и без того непростые процессы обеспечения ИБ КИИ.
Так, этот режим сложно организовать на объектах гражданского профиля, к которым относятся многие из структур КИИ. Это электростанции, системы управления транспортом, гидротехнические сооружения, крупные финансовые организации, узлы связи... К тому же до 90% из них находится в частной собственности. Использование на них импортного оборудования и программного обеспечения, услуг иностранных специалистов, и без того отягченное политикой импортозамещения, станет из-за режима гостайны еще более сложным. А без них сегодня не обойтись. Высказывается экспертное мнение о том, что для большинства объектов КИИ логичнее ограничиться менее строгим режимом конфиденциальности.
Нехватка ИБ-специалистов в России, по данным Минтруда, составляет сегодня примерно 60 тыс. человек, а с учетом специализации на обеспечении ИБ КИИ дефицит ощущается еще острее. В стране, по оценкам некоторых экспертов, всего два учебных центра готовят специалистов по данному профилю. Актуальность вопроса понятна регуляторам, однако пока он остается нерешенным, и приходится констатировать, что первые назначенцы ответственными за ИБ на объектах КИИ будут учиться на собственных ошибках.
Для многих объектов КИИ критически важными являются последствия ИБ-инцидентов, отражающиеся на безопасности людей и окружающей среды. Участники рынка ожидают внесения разумной конкретности в ответственность (прежде всего уголовную), которая позволила бы не допускать перегибов при назначении наказаний за ИБ-инциденты на объектах КИИ. Персоналу объектов КИИ нужны от регуляторов четкие регламенты, определяющие порядок действий при кибератаках.
Как заявляют представители регуляторов, с их стороны есть понимание задачи не допустить зарегулирования направления обеспечения ИБ КИИ. По их словам, у них нет заинтересованности выставлять нереализуемые требования к процессам организации ИБ КИИ. В качестве хорошего примера для остальных отраслей называются действия ЦБ РФ в области регулирования ИБ в финансовой отрасли.
Предполагается, что первопроходцами в организации процесса обеспечения ИБ КИИ выступят объекты КИИ, относящиеся к госсобственности: процесс там проще организовать и контролировать, в том числе и потому, что обеспечение ИБ на них будет производиться за счет госбюджетных средств.
