Первые итоги реализации приказа ФСБ России от 11 мая 2023 года №213 «Об утверждении порядка осуществления принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими» подвёл Андрей Раевский, представитель Национального координационного центра по компьютерным инцидентам (НКЦКИ) в ходе Конференции АБИСС по вопросам регуляторики ИБ.
Он отметил, что приказ подготовлен в рамках реализации Указа №250 президента России и определяет порядок мониторинга субъектов КИИ. «Этот мониторинг носит не только удалённый характер, но и подразумевает оценку защищённости с выходом на объект», — подчеркнул докладчик.
«В соответствии с установленным порядком, субъекты обязаны направлять в адрес доменные имена и IP-адреса своего внешнего периметра для проведения мониторинга защищённости. На основе предоставленной информации от объектов КИИ мы формируем план мониторинга защищённости по каждому из объектов», — разъяснил порядок работы представитель НКЦКИ. Раевский добавил, что не все организации готовы оперативно делиться такой информацией, поэтому регулятор был вынужден проводить определённую разъяснительную работу, чтобы отладить процесс получения данных от субъектов КИИ.
Первые результаты реализации Приказа №213 показывают, что уровень безопасности находится «на не совсем правильном уровне» в более чем 50% организаций, подпадающих под требования Указа №250, в отношении которых был проведён мониторинг анализа защищённости. В большинстве случаев специалисты НКЦКИ выявили возможность проникновения в информационную систему со стороны внешнего злоумышленника.
«Результат нашего первичного мониторинга пока не такой хороший, как мы бы хотели. В подавляющем большинстве случаев (около 80%) мы реализовали угрозу проникновения внешнего злоумышленника в инфраструктуру», — заявил Андрей Раевский.
По итогам мониторинга регулятор выдаёт рекомендации таким организациям, чтобы они обратили на внимание на проблемы и, что самое главное, устранили выявленные угрозы информационные безопасности. Однако компании часто сталкиваются со сложностями в реализации требований. Это связано с отсутствием в компаниях сотрудников с нужной компетенцией или их невнимательностью. Спикер выразил надежду, что работа по мониторингу будет проводиться на постоянной основе, и график проверок покажет повышение уровня защищённости объектов КИИ в будущем.
Эксперт НКЦКИ также призвал руководителей субъектов КИИ обращать внимание на необходимость повышения квалификации сотрудников, которые занимаются вопросами ИБ, направлять их на курсы повышения квалификации, вести бюджетное планирование и создавать условия для обучения, при необходимости расширять штатную численность сотрудников ИБ-подразделений.
В будущем будут рассматриваться вопросы расширения нормативной базы и введения ответственности за несоблюдение требований информационной безопасности и нормативно-правовых актов регуляторов, заключил Раевский.
