Кто попадает под закон 187-ФЗ «О безопасности критической информационной инфраструктуры»?

Если раскрыть цель исследования более понятным языком, то речь идет о независимой оценке реально достигнутого уровня безопасности на предприятиях в отраслях, связанных с национальной безопасностью. Это касается не только крупного бизнеса, но и малых и средних предприятий.

Кто попадает под действие закона?

На первый взгляд, может показаться, что речь идет только о крупном бизнесе, а к среднему и малому это не имеет прямого отношения. Но не все так просто. Согласно Федеральному закону № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (КИИ), под его действие попадают не только государственные органы и учреждения, крупный бизнес, но и средние и небольшие компании, представленные как через юридические лица, так и индивидуальных предпринимателей.

Признаком принадлежности к субъектам КИИ являются два условия: 1) использование компаниями (на правах собственности, аренды или ином законном основании) информационных систем, телеком-сетей, систем АСУ; и 2) принадлежность к любой из отраслей экономики из списка. В него входят 13 направлений экономики: здравоохранение, наука, транспорт, связь, энергетика, система госрегистрации прав на недвижимое имущество, банковская и финансовая сферы, топливно-энергетический комплекс, атомная энергетика, оборонная или ракетно-космическая промышленность, горнодобывающие отрасли, металлургия и химическое производство.

Список компаний, попадающих под действие данного закона, как видно, получается достаточно широким. Но, как показывает практика, далеко не все компании осознают свою принадлежность.

Известно, что «незнание закона не освобождает от ответственности». Ответственность в данном случае выражается не только в сумме ущерба, который может быть нанесен российскому бизнесу из-за активной кампании кибератак против него, но и за счет очень высоких штрафов, которые государство собирается взимать с нерадивых компаний в случае несоблюдения ими норм законодательства. Но цель всего – стимулировать рост безопасности в перечисленных отраслях экономики.

Мнение регулятора: «Времени прошло предостаточно»

Самый ближайшее требование, которое должны исполнить компании – это перестроить свои ИБ-системы с учетом введенного полного запрета на использование с 1 января 2025 года средств защиты информации (СЗИ), выпущенные в «недружественных» странах.

Эти требования закона 187-ФЗ появились достаточно давно. Сам федеральный закон был принят 26 июля 2017 года и вступил в силу с 1 января 2018 года. Но до начала 2022 года многие компании рассматривали его больше как выражение т.н. «бумажной» безопасности. Если объяснить на пальцах, исполнить требования можно было формально, «на бумаге».

Формально все действительно сходилось: в отчете требовалось отразить наличие российских систем ИБ в инфраструктуре компании. За реальную безопасность отвечал же отдел ИБ или программист (в зависимости от масштаба компании), его «кухня» была делом его «личного вкуса».

Однако в 1 кв. 2022 года многие компании почувствовали на собственном опыте важность 187-ФЗ. Количество кибератак против российского бизнеса выросло на 60% по сравнению с годом раньше и достигло рекордного уровня - 290 тыс. атак за квартал.

Кроме того, многие компании столкнулись с прекращением поставок обновлени используемого ПО, а отдельное сетевое и ИБ-оборудование оказалось неработоспособным после отключения их поддержки со стороны вендора.

Как показали результаты проведенного исследования, произошедшие изменения пока можно рассматривать как усиление давления на бизнес со стороны ИБ, а не переход к условиям кибервойны. Действительно, почти 2/3 опрошенных (61%) еще не сталкивались с критическими инцидентами в области ИБ внутри своих компаний.

Изменения в оценке важности 187-ФЗ пока только проходят рубикон: чуть более половины опрошенных (52%) приняли для себя, что заложенные в закон нормативные требования по КИИ действительно соответствуют существующим угрозам. Оставшиеся 48% до сих пор сомневаются в этом (в той или иной степени).

Необходимо отметить, как проводились исследования. Это позволит правильно понимать публикуемые цифры.

Исследование проводилось через серию свободных интервью, в результате которых организатор делал собственную оценку по вопросам ИБ, а сами вопросы не обязательно должны были задаваться респондентам в прямом виде.

Интервью проводились в июне-августе 2023 года. В них приняли участие ИТ- и ИБ-руководители 99 крупных российских компаний и госкорпораций, больше половина из которых (62%) имеют годовую выручку в размере более 5 млрд руб, т.е. это представители прежде всего крупного бизнеса.

В опросе также участвовали представители около десятка российских вендоров, которые занимаются разработкой аппаратного и программного обеспечения для ИБ.

Работа с требованиями Закона № 187-ФЗ

Большинство опытных хакеров знают, что «взломать можно любую компанию». Поэтому главными интересантами в соблюдении требований ИБ являются сами компании.

Главная проблема в том, что развитие ИБ требует роста инвестиций, а для компаний они относятся к расходной части бюджета. Цель закона 187-ФЗ фактически состоит в том, чтобы заставить компании получить для себя веское обоснование этих затрат на ИБ. Для этого им потребуется разработка документа, в котором должны пройти категорирование применяемые элементы КИИ. Это позволяет оценить ущерб, который может быть нанесен бизнесу в результате успешного проведения кибератак.

Кроме того, предприятия должны пройти процедуру подключения к системе ГосСОПКА (Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак). Назначение этой системы – сбор в реальном времени в масштабе всей страны данных о проводимых против бизнеса кибератаках. Собранная информация используется для выстраивания защиты и реализации концепции национальной безопасности на общегосударственном уровне.

Термин «бумажная безопасность», который преобладал в оценке требований 187-ФЗ до 2022 года, появился неслучайно. Реализация требует создания на предприятиях специальных комиссий из компетентных людей, которые, зная особенности применяемого ПО и бизнес-процессы компании, могут составить перечень объектов КИИ, провести их категоризацию и оценить ущерб. Далее этот документ передается во ФСТЭК России. На этом подготовительный этап со стороны компаний заканчивается. Все «на бумаге».

Что дальше? ФСТЭК России должен каждые три года проводить плановые и внеплановые проверки предприятий. Официальных списков с графиком проверки и отражением названий компаний нет. Сам ФСТЭК передает списки компаний на проверку своим партнерам, которые сами строят уже свои графики для объезда и проверки компаний. Другими словами, для компаний весь дальнейший процесс выглядит как «Господа! К нам едет Ревизор!»

«Шеф, все пропало!»

Как мы уже отметили, первым «часом Х» в рамках реализации требований 187-ФЗ станет «1 января 2025 года». Начиная с этого момента, «нерадивые компании» могут попасть под высокие штрафы. Как показали результаты исследования, «лед тронулся»…

Мы не случайно отметили, что закон 187-ФЗ вступил в силу уже в 2018 году. Для ФСТЭК России это служит признаком, что «времени на подготовку было предостаточно».

Но как показывают результаты опроса, каждая пятая компания (21%) признают, что они не успеют импортозаместить все применяемые решения к назначенному сроку. В то же время больше половины компаний (58%) считают, что успеют уложиться.

Сразу отметим, что преобладающая доля респондентов относится к крупному бизнесу. Он сильно отличается по своей динамике и инвестициям от среднего и малого. Как складывается ситуация в SMB, пока не так понятна, хотя результаты исследования позволяют делать приближенные оценки.

В ходе исследования был выявлен также список причин, тормозящих выполнение требований 187-ФЗ.

24% опрошенных заявили, что они до сих пор не знают, какие именно решения можно применять для замены существующего ПО в целях реализации требований ФЗ. Для среднего и малого бизнеса эти показатели наверняка выше. И дело даже не только в названиях продуктов и их функциональной начинке, много вопросов вызывает, где найти инвестиции.

Что делать?

Очевидной задачей ФСТЭК России по выстраиванию единой системы национальной безопасности является то, чтобы компании не ограничивались только вводом «заплаточных» решений для устранения последствий кибератак. Именно такой результат можно было ожидать от DDoS, получивших широкое распространение в 2022 году. Они породили важность внедрения такого средства, как межсетевой экран нового поколения (NGFW).

Главная цель ФСТЭК России - подтолкнуть компании к выстраиванию у себя полномасштабных систем защиты, в том числе с внедрением SIEM-систем, сканеров безопасности, систем защиты от несанкционированного доступа, регулярное проведение пентестов, участие в Bounty-программах и многое другое. Эти тренды нашли отражение для крупного бизнеса, как показали результаты исследования.

В то же время, как видно из результатов, все еще сохраняется определенное недоверие к отечественным решениям. Очевидно, что они создаются синхронно с постановкой требований.

Будут ли они настолько надежными, как и решения, от которых российским компаниям надлежит отказаться? Будут ли они иметь такой же сервис технической поддержки и настолько понятны для практического применения?

Эти и другие вопросы, а также неизбежный рост цен заставляют многие компании откладывать решение о переходе на новые ИБ-продукты на более поздний срок.

Кто заплатит за фуршет?

Вопрос выделения бюджета на внедрение новых отечественных продуктов взамен иностранных продолжает оставаться важным, хотя об этом не так часто говорят. Очевидно, что цены на новые продукты будут не ниже, чем на западные продукты. Это объясняется хотя бы просто меньшим масштабом их продаж, чем имеют западные продукты.

Авторы исследования не обошли этот острый вопрос и публикуют свои результаты.

Как уже отмечалось, оценка сильно зависит от масштаба потенциального ущерба, который может быть нанесен бизнесу в результате неисполнения требований регулятора. В то же время, по мнению почти половины (49%) участников опроса, повышенные расходы на безопасность адекватно соотносятся с необходимыми затратами.

Как сложится пазл в итоге к началу 2025 года пока трудно оценить. Результаты проведенного исследования показывают, что процесс выполнения компаниями требований регулятора уже пошел.

И повторим, главная цель запущенного процесса – усилить национальную кибербезопасность.