В начале ноября вышел указ Президента № 846 от 08.11.2023 г., обозначающий ряд направлений деятельности Федеральной службы по техническому и экспортному контролю (ФСТЭК). Участники рынка информационной безопасности уверены, что успешно их вести ведомству позволит активное сотрудничество с ИБ-компаниями и владельцами объектов критической информационной инфраструктуры (КИИ) из различных отраслей.
Суть нововведений
Указ Президента, вышедший восьмого ноября этого года, вносит изменения в другой указ главы государства — «Вопросы Федеральной службы по техническому и экспортному контролю», — который был издан шестнадцатого августа 2004 года, и утвержденное им положение. Таким образом, указ Президента, вышедший около двадцати лет назад, приводится в соответствие с ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
Новый указ предусматривает увеличение максимально возможного количества штатных сотрудников центрального аппарата ФСТЭК России с 260 до 289, территориальных органов – с 1 012 до 1 101.
Также из документа следует, что ведомство займется созданием и поддержанием работы информационной автоматизированной системы для управления технической защитой данных и обеспечением безопасности значимых объектов КИИ.
При этом ведомство начнет вести мониторинг состояния технической защиты данных и обеспечения безопасности значимых объектов КИИ, создаст "процессы управления" данными операциями, учитывающие отраслевую специфику таких объектов, и организует их внедрение.
Одновременно оно обеспечит взаимодействие органов власти, местного самоуправления и организаций в рамках работы, направленной на повышение уровня осуществления этих операций. Параллельно ФСТЭК будет организовывать и проводить оценку эффективности работы госорганов, осуществляющих такие действия.
Кроме того, в пределах своих компетенций ФСТЭК займется централизованным учетом информационных систем и других объектов КИИ по отраслям экономики.
Помимо всего перечисленного, ведомству предстоит оперативно информировать органы власти, местного самоуправления и организации об угрозах безопасности данных и уязвимостях информационных систем и иных объектов КИИ, а также о технической защите от них.
Значение
Несмотря на богатое содержание, новый указ, по словам Игоря Гусева, ведущего инженера компании "Газинформсервис", не несет за собой ничего кардинально нового.
"Чуть увеличена штатная численность работников ФСТЭК при кратном увеличении курируемых вопросов и субъектов страны. Создание реестра категорированных объектов КИИ было установлено статьёй восемь федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". Требования по безопасности КИИ, оценка и госконтроль КИИ определены статьями 11, 12, 13 этого закона", — поясняет Игорь Гусев.
Сергей Куц, руководитель направления по отраслевой кибербезопасности, Positive Technologies, считает, что новый указ призван облегчить работу ФСТЭК с КИИ и организовать эффективное взаимодействие ведомства с субъектами КИИ из различных отраслей.
"Субъектов КИИ много, это более сотни тысяч организаций, часть из которых все еще находится в состоянии самоопределения по ФЗ "О безопасности КИИ РФ". Обрабатывать большое количество сведений по категорированию, учитывать отраслевые особенности в функциях каждого из объектов защиты, оценивать правильность проведенной работы одной службе сложно", — поясняет Сергей Куц.
Также он обращает внимание, что времени на категорирование систем по КИИ было достаточно и сегодня уже необходимо измерять эффективность той защиты, которая реализована. Новый указ, по его словам, учитывает и этот аспект.
Предпосылки
Необходимость в направлениях деятельности ФСТЭК, обозначенных в указе, в первую очередь обуславливает ввод новых законодательных актов, направленных на обеспечение информационной безопасности страны.
"Например, в России введен закон о суверенном интернете, который предполагает ограничение доступа российских пользователей к зарубежным ресурсам, а ФСТЭК отвечает за контроль и реализацию этого закона. При этом работа ведомства в отличие от частных компаний основывается на строгих стандартах и требованиях безопасности, и государство может предпочесть иметь контроль и участие в данном процессе, — поясняет директор Ideco Дмитрий Хомутов.
Возможно, к идее обозначить определенные направления деятельности ФСТЭК в указе его создателей привел законопроект о внесении изменений в ФЗ «О безопасности объектов топливно-энергетического комплекса», появившийся этим летом.
"В нем Министерство энергетики России пыталось взять на себя схожие задачи в сфере ТЭК. Однако аналогичные проблемы необходимо решать для всех сфер КИИ, обеспечив при этом единство применяемых подходов и методологий. Позволить это сделать может единый центр координации данной деятельности в лице ФСТЭК", — поясняет заместитель директора департамента консалтинга Innostage Данияр Исхаков.
По словам эксперта по информационной безопасности компании F.A.C.C.T. Сергея Золотухина, направления деятельности у ФСТЭК, обозначенные в указе, в общем и целом означают взятие на себя государством координации всех действий и ресурсов, направленных на обеспечение защиты объектов КИИ, в том числе со стороны частных компаний.
"Отраслевых направлений и сегментов очень много и все они могут быть связаны между собой кросс-отраслевыми процессами. Например, поставка сырья – от добычи, транспортировки и переработки, до поставки конечному потребителю готовой продукции. Вероятно, ФСТЭК будет выступать в роли координатора и управлять этими процессами, объединяя отраслевых экспертов для решения специфических задач обеспечения безопасности", — поясняет Сергей Куц.
Примечательно, что сразу после выхода указа президент Ассоциации малых операторов России (АМОР) Дмитрий Галушко заявлял в СМИ, что создание централизованной базы данных, которое предусматривает указ, необходимо для упрощения контроля субъектов и объектов КИИ. По его словам, статья 13.12.1 КоАП, предусматривающая штрафы за нарушение требований в области обеспечения безопасности КИИ, действует уже два года, но фактически не применяется, а новая система позволит лучше следить и наказывать нарушителей.
Однако с ним не согласен руководитель направления безопасности промышленных предприятий Infosecurity a Softline Company Анатолий Сазонов. По его словам, административная ответственность субъектов КИИ законодательно закреплена и правоприменительная практика в отношении административных правонарушений распространена достаточно широко.
"Такие штрафы могут налагать как ФСТЭК, так и ФСБ. Например, по информации самой ФСТЭК, проверки подверглись около 900 субъектов КИИ и у около 600 субъектов были выявлены существенные нарушения требований по обеспечению безопасности КИИ. Позже данным организациям были выданы предписания на устранение нарушений, а около 40 субъектов КИИ были привлечены к административной ответственности", — рассказывает Анатолий Сазонов.
Следует отметить, что проверке ведомства подверглись субъекты КИИ в сфере энергетики, металлургии, химической и горнодобывающей промышленности, транспорта, связи и ОПК. В перечень типовых нарушений, которые были выявлены ФСТЭК, вошло отсутствие обновлений антивирусных баз и настроек антивирусов.
Также ведомство обнаружило, что администрирование части объектов КИИ ведется с рабочих мест, находящихся в корпоративных сетях с выходом в интернет, без принятия мер, необходимых для обеспечения безопасности. Кроме того, ФСТЭК столкнулась с тем, что ряд предприятий не занимается выявлением, анализом и устранением уязвимостей на значимых объектах КИИ. При этом часть организаций применяет уязвимое ПО, не реализовав компенсирующие меры обеспечения безопасности.
"Сегодня ФСТЭК относится к нарушениям вполне лояльно, надеясь на ответственность руководителей, входя в их положение, связанное с бюджетным и кадровым дефицитами. Однако ведомство всегда применяет меры наказания, когда выявляет сознательную халатность и попустительство. Поскольку информационная безопасность обеспечивается прежде всего действенными мерами, то ФСТЭК зачастую оказывает методическую поддержку, видя явную заинтересованность участников в результате, а не в отписках", — рассказывает Игорь Гусев.
Перспективы
На первый взгляд, одной из проблемой, которые могут осложнить ведение ФСТЭК направлений деятельности, обозначенных в указе, видится недостаточный уровень компетенций многих госслужащих, связанных с обеспечением информационной безопасности в стране. Мнения о том, что именно такие сотрудники занимаются ИБ в госучреждениях, основываются на том, что профессионалы своего дела не будут в них работать из-за небольшой заработной платы. Однако с этим не согласен директор Ideco Дмитрий Хомутов.
"Низкий уровень дохода не всегда свидетельствует о низкой квалификации и компетенции сотрудников госорганов. У многих специалистов по ИБ, работающих в госструктурах, есть высшее образование, они прошли соответствующую профессиональную подготовку и имеют необходимый опыт работы", — отмечает Дмитрий Хомутов.
С ним солидарен Игорь Гусев. По его словам, низкий уровень дохода далеко не всегда означает низкий уровень компетенций и путать причину со следствием не следует. Кроме того, у профессионалов есть другие виды мотивации, которые обеспечивают их высокий уровень компетенций. А специалисты с высоким уровнем дохода не всегда им обладают.
"Да, высокие компетенции позволяют претендовать на более хороший уровень оплаты труда, но главную роль играет тот результат, который ожидает получить работодатель от специалиста, то есть востребованность специалистов в конкретный момент времени на рынке труда. При этом некоторые виды мотивации, доступные во ФСТЭК, частные компании не обеспечивают. Каждый специалист сам решает, что для него важнее", — поясняет Игорь Гусев.
При этом он считает, что государственные интересы в первую очередь должны обеспечивать и контролировать именно сотрудники госструктур.
"Было бы странным поручать заниматься этим частным компаниям, преследующим свои интересы. Их главная цель — извлечение прибыли", — отмечает Игорь Гусев.
По мнению Дмитрия Хомутова, реализацию обозначенных в указе направлений деятельности ФСТЭК осложнит высокий уровень текучки сотрудников ФСТЭК и коррупция.
"Объёмы работ и ответственность за результат ФСТЭК существенно возросли, не все способны выдержать эту нагрузку. Что касается коррупции, на мой взгляд, вряд ли тут будут какие-то проблемы — не тот уровень доступа к финансовым ресурсам, чтобы сильно опасаться злоупотреблений. Тем более во ФСТЭК принято достаточно много антикоррупционных процедур. Информация о них доступна в соответствующих документах на официальном сайте ведомства", — рассказывает Игорь Гусев.
По мнению Дмитрия Хомутова, затруднения у ФСТЭК также может вызвать недостаток высококвалифицированных специалистов в новых областях. Устранить его ведомству помогут программы обучения и сотрудничества с учебными заведениями.
"Для формирования мер защиты, учитывающих отраслевую специфику, ФСТЭК необходимо будет подключать к работе отраслевых экспертов и специалистов, которые понимают производственные и бизнес-процессы, могут спрогнозировать потенциальные точки отказа в отраслевых и межотраслевых цепочках поставок и, главное — выработать меры обеспечения бесперебойной работы важных систем", — добавляет Сергей Куц.
Свою роль, по словам Дмитрия Хомутова, сыграют и технические проблемы, связанные с разработкой нового оборудования и программного обеспечения. Их решение потребует от ведомства инвестирования в научно-исследовательские работы и сотрудничество с инновационными компаниями. Еще ряд проблем вызовет постоянно меняющееся законодательство.
"ФСТЭК должен быть в курсе последних изменений и готов реагировать на них, включая обновление процедур и политик", — поясняет Дмитрий Хомутов.
База данных
Создание системы управления технической защитой данных и обеспечением безопасности значимых объектов КИИ, по всей видимости, позволит ФСТЭК структурировать эту работу. С ее помощью регулятор и отраслевые ведомства, в частности, смогут информировать субъекты КИИ об устранении, например, наиболее опасных для конкретной отрасли уязвимостей и сразу же указывать меры их устранения и нейтрализации угроз.
Если при этом ведомство будет учитывать отраслевую специфику, то организация-получатель такой информации с высокой вероятностью реализует необходимые меры, понимая, что таким образом существенно повысит свой уровень защищенности и готовность к отражению атак, в том числе уменьшит риск проведения проверки регулятора.
Также, по словам Сергея Куца, при помощи системы можно будет проводить оценку уровня зрелости и защищенности организаций, эффективности применяемых мер защиты, отслеживать сроки выполнения поставленных задач и получать обратную связь по статусам.
Для эффективной работы системы регулятору потребуется создать методическую базу, которая позволит выстраивать процессы ИБ и измерять их результативность. Кроме того, ему необходимо будет внедрить в нее удобные средства коммуникации с отраслевыми ведомствами, региональным сегментом и другими участниками взаимодействия.
"Система должна быть хорошо защищена от несанкционированного доступа и взлома. Для этого необходимо использование сильного шифрования, авторизации и аутентификации пользователей, а также регулярное обновление системы безопасности", — отмечает Дмитрий Хомутов.
Сергей Золотухин, говоря о предназначении системы, отмечает что исполнение обязательных требований не должно подменять реальную работу на местах.
"Не менее важно эффективное выявление и отражение атак, внедрение на предприятиях самых современных отечественных средств, позволяющих определить, что идет подготовка к атакам, а также молниеносное реагирование при обнаружении попыток нападений на предприятия КИИ", — подчеркивает Сергей Золотухин.
Игорь Гусев отмечает, что база данных, о которой идет речь в указе, уже давно существует и информация о ней относится к гостайне.
"С нарушителями в первую очередь следует бороться путём повышения осведомлённости в области информационной безопасности, потому что, как показывает практика, большинство инцидентов с КИИ происходит из-за недооценки рисков реализации угроз, недостаточных компетенций соответствующих специалистов и руководящего состава", — заключает Игорь Гусев.