С 31 января по 01 февраля в здании Правительства Москвы состоялся 21-ый Большой национальный форум информационной безопасности «Инфофорум-2019». Более 1500 участников из 60 субъектов РФ, включая представителей законодательной и исполнительный власти, СМИ, бизнеса, а также ведущих экспертов и разработчиков приняли участие в крупнейшем событии отрасли. Повестка форума: цифровая трансформация и информационная безопасность России.

В программе форума были обозначены наиболее актуальные проблемы и аспекты цифровизации: безопасность объектов критической информационной инфраструктуры (КИИ), безопасность глобального информационного пространства, информационная безопасность транспортного комплекса, реализация концепции «Умный город». Перед экспертным сообществом повис главный вопрос: как в условиях, когда отдельные субъекты глобального информационного пространства стремятся к господству в информационной среде, обеспечить безопасность объектов КИИ и предупредить инциденты ИБ?

В первый день форума особый интерес вызывали вопросы реализации закона 187-ФЗ «О безопасности критической информационной инфраструктуры», практически все докладчики так или иначе касались в своих выступлениях этой острой темы.

В рамках своего доклада заместитель директора ФСТЭК России Виталий Лютиков отметил, что принятие этого закона дало толчок к реализации мероприятий по обеспечению информационной безопасности в наиболее важных отраслях экономики и промышленности России. Неоднозначную реакцию зала вызвало утверждение, что практически все необходимые подзаконные акты к 187-ФЗ вступили в силу, поскольку отсутствующие на пленарном заседании представители Минкомсвязи и ФСБ России не могли дать свои комментарии по поводу недостатка регулирующих документов от их ведомств. Среди тенденций, связанных с реализацией закона 187-ФЗ, было отмечено стремление субъектов КИИ занизить категорию значимости своих объектов, что, по мнению экспертов, было весьма ожидаемо.

В своем докладе Виталий Лютиков также привел некоторую статистику, отражающую процесс реализации закона:

  • к настоящему моменту 1800 субъектов КИИ подали во ФСТЭК России Перечни объектов КИИ и приступили к их категорированию (для сравнения: в октябре-ноябре 2018 года их было только 700);
  • итого в Перечне ФТЭСК России на данный момент 27 000 объектов КИИ;
  • 700 субъектов КИИ уже закончили категорирование своих объектов.

Отрасли, лидирующие в осуществлении процесса категорирования, — здравоохранение, ТЭК, ВПК и металлургия. Наименьшую результативность показывают операторы связи. Процессы категорирования активно начались в банках, здесь свою роль сыграла помощь Центрального Банка России.

По оценке ФСТЭК России, озвученные выше цифры, составляют лишь 15% от прогнозируемого количества, которое составляет 12 000 субъектов КИИ и 180 000 объектов КИИ. При этом оценить количество значимых объектов даже приблизительно нельзя. ФСТЭК России видит проблему в несовершенстве методологии.

Заместитель директора НКЦИ Николай Мурашов сделал акцент на необходимости повышения компьютерной грамотности пользователей, подготовку кадров в области обеспечения информационной безопасности и обязательность организации ИБ в компаниях.

«Бизнесу следует быть дальновидным и добровольно следовать не только нормам, но и духу 187-ФЗ», — отметил Николай Мурашов.

Нормативная база РФ в области защиты информации пополняется ежегодно, но только сейчас прозвучала проблема отсутствия компетенций. Тем не менее, комментариев по поводу разработки требований или стандартов обучения оставлено не было.

Вопросам реализации 187-ФЗ в энергетике была посвящена отдельная секция Инфофорума-2019. Работу секции возглавили представители регуляторов ФСБ России и ФСТЭК России. Посетители секции с сожалением отметили, что не было возможности задавать вопросы президиуму и докладчикам.

В выступлении руководителя направления Защиты АСУ ТП Ростелеком-Solar Владимира Карантаева был рассмотрен пример реализации полного комплекса мероприятий по ФЗ-187 одной из организаций Минэнерго. В организации было выявлено более 200 объектов КИИ, из них категорию значимости получили лишь 5 объектов (какие именно категории были присвоены объектам не уточнялось). Еще по 10 объектам КИИ было принято добровольное решение субъекта по реализации приказа ФСТЭК России №239, без отнесения к ЗОКИИ.

Интерес вызвали объемы трудозатрат на реализацию этапа категорирования — несколько тысяч человеко-часов специалистов и руководителей субъекта КИИ, потраченных на непроизводственную деятельность. Плюс трудозатраты привлеченного подрядчика, объемы которых не оглашались. А ведь этап категорирования вынуждены проводить все организации страны, даже если значимые объекты КИИ не будут выявлены и не будут защищаться в дальнейшем. В выводах прозвучало пожелание в сторону регуляторов о необходимости упростить процессы выявления и категорирования объектов КИИ и обеспечить субъекты дополнительными методическими рекомендациями и инструкциями.

Общий вывод, который можно сделать исходя из презентаций и обсуждения докладов, — существует острая необходимость в разработке регуляторами (Минкомсвязи, ФСБ России) методических рекомендаций и различных инструкций для оказания помощи операторам конфиденциальной информации в части выполнения требований законодательства РФ в области обеспечения информационной безопасности.