Новые правила кибербезопасности для КИИ от ФСБ на 2026 год: обзор изменений, комментарии экспертов

Обзор ключевых изменений

Публикация приказов приводит в действие несколько важных механизмов.

Международный и межведомственный обмен данными в сфере ИБ. Утвержден порядок обмена информацией о компьютерных атаках и инцидентах (Приказ ФСБ РФ №546). Теперь субъекты КИИ не только должны сообщать о киберинцидентах в ФСБ, но и получили регламент для взаимодействия с аналогичными структурами иностранных государств и международных организаций. Это, в частности, формализует каналы для совместного противодействия трансграничным киберугрозам.

Единый механизм информирования и реагирования. Новый порядок информирования ФСБ России о компьютерных атаках и инцидентах (Приказ ФСБ РФ №547) детально прописывает алгоритмы действий для организаций при обнаружении атаки: какие данные передавать, как реагировать и ликвидировать последствия. Документ прямо ссылается на обязанности, установленные частью 4 статьи 9 Федерального закона №187-ФЗ. В нем, в частности, утверждены более короткие, чем раньше, сроки информирования ФСБ о компьютерных инцидентах: до 3 часов – для значимых объектов КИИ, до 24 часов – для остальных объектов КИИ и государственных информационных ресурсов, с которыми работают организации.

Непрерывное взаимодействие с государственной системой. Для интеграции ИБ-инфраструктуры организаций с ГосСОПКА (Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак) утвержден отдельный порядок осуществления непрерывного взаимодействия субъектов КИИ с этим ресурсом с использованием инфраструктуры НКЦКИ (Приказ ФСБ РФ №548). Это создает правовую основу для постоянного мониторинга угроз на уровне государства.

Жесткие технические стандарты. Два новых приказа устанавливают конкретные требования к средствам защиты (средствам обнаружения вторжений, SIEM-системам, средствам анализа угроз и т. д.) и регламентируют порядок и технические условия их установки (Приказы ФСБ РФ №553, 554). Это означает, что используемое и вновь внедряемое программно-аппаратное обеспечение теперь должно соответствовать строгим критериям ФСБ, а процесс его развертывания – быть четко документированным.

Значение нововведений для субъектов КИИ: мнения экспертов

По мнению аналитиков в области кибербезопасности, вступление в силу перечисленных выше приказов завершает формирование детальной «дорожной карты» для субъектов КИИ. Если раньше законодательство только «задавало рамки», то теперь в нем появились конкретные пошаговые инструкции.

ФСБ систематизирует отчетность и ужесточает контроль. Организациям придется пересмотреть свои процессы по управлению киберинцидентами, обеспечить совместимость с ГосСОПКА и, вероятно, провести аудит своих систем защиты на соответствие новым техническим требованиям.

Эксперт по информационной безопасности компании «Инфосистемы Джет» Никита Мусиенко
Фото: «Инфосистемы Джет»

Никита Мусиенко, эксперт по информационной безопасности компании «Инфосистемы Джет», объясняет: «Обновленный комплект приказов ФСБ России существенно повышает регуляторную и операционную нагрузку на организации, обладающие значимыми объектами КИИ. Ключевое изменение состоит в смещении акцента: вместо эпизодического информирования о свершившемся факте компьютерного инцидента, происходит переход к режиму постоянной готовности, непрерывного взаимодействия с ГосСОПКА и соблюдения более строгих требований к техническим и организационным мерам реагирования не только на компьютерные инциденты, но и на компьютерные атаки.

Новый порядок информирования о компьютерных инцидентах и атаках, согласно приказу ФСБ России № 547, требует от субъектов КИИ обеспечивать круглосуточную готовность к выявлению, первичной классификации инцидентов и направлению сообщений в НКЦКИ в предельно сжатые сроки. Это означает необходимость перехода к постоянному мониторингу, закрепления ответственных за коммуникацию с НКЦКИ, подготовки типовых форм уведомлений и выстраивания внутренней процедуры принятия решений, чтобы исключить задержки из-за согласований. Формирование плана реагирования на компьютерные инциденты и атаки не как формального документа, а как рабочего инструмента, обязывает субъекты КИИ к внимательному пересмотру процедур реагирования, распределения полномочий, а также связки реагирования с восстановлением и обеспечением непрерывности.

Непрерывный характер взаимодействия с ГосСОПКА, согласно приказу ФСБ России № 548, требует от субъектов КИИ быть готовыми к оперативному исполнению запросов и рекомендаций, поддерживать устойчивые каналы связи и обеспечить внутреннюю дисциплину обработки входящих предупреждений. В этой логике для субъекта КИИ будут важны не только сроки, но и способность быстро предоставить достоверные сведения о принятых мерах, ходе расследования и результатах устранения последствий».

Эксперты считают, что для соответствия новому законодательству компаниям придется в большей степени уделить внимание организационным, административным и юридическим аспектам, а в несколько меньшей – техническим.

Ведущий инженер-аналитик аналитического центра кибербезопасности
компании «Газинформсервис» Максим Федосенко
Фото: «Газинформсервис»

«Любые изменения, даже незначительные, влияют на процессы внутри организации, которые были построены по предыдущим стандартам. Степень этого влияния зависит от масштаба изменений. Однако сами процессы организаций, работающих в рамках приказов регуляторов, обычно хорошо адаптивны к изменениям, связанным с усложнением ландшафта киберугроз. В основном изменения коснутся организационных моментов, а именно внутренних положений в части процедур отчетности и сроков их предоставления, а также контроля в части проведения мероприятий по защите и устранения инцидентов ИБ. Адаптация же технической составляющей будет минимальной», – полагает ведущий инженер-аналитик аналитического центра кибербезопасности компании «Газинформсервис» Максим Федосенко.

Патентный поверенный UserGate Александр Киселев
Фото: UserGate

«Предложенные поправки не предполагают существенного изменения требований к технической сущности средств защиты информации», – соглашается патентный поверенный UserGate Александр Киселев.

«Вместе с тем, – продолжает он, – организации, подпадающие под действие соответствующих нормативных документов, должны актуализировать свое понимание установленных требований, а также ответственности за их несоблюдение. В первую очередь это касается организации мониторинга событий информационной безопасности, выполнения предусмотренных регламентами действий и предоставления отчетности. Поддержка указанных процессов должна быть обеспечена в круглосуточном режиме (24/7).

Следует учитывать, что, в соответствии с Федеральным законом от 31.07.2020 №248-ФЗ, срок, определяемый часами, истекает по окончании последнего часа установленного срока. Продление такого срока по причине выходных или нерабочего времени законодательством не предусмотрено, что требует от организаций постоянной готовности к реагированию вне зависимости от установленного режима работы.

В связи с расширением полномочий НКЦКИ необходимо учитывать, что за нарушение правил защиты информации и несоблюдение требований в области обеспечения безопасности КИИ Российской Федерации предусмотрена административная ответственность. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации, а также информационно-телекоммуникационных сетей влечет уголовную ответственность в соответствии с действующим законодательством Российской Федерации».

Руководитель технического отдела «АйТи Бастион» Владимир Алтухов
Фото: «АйТи Бастион»

«Нововведения выступают частью планомерного движения по «закручиванию гаек» – с этим, на мой взгляд, и связано сокращение сроков информирования. Не могу однозначно сказать, что это плохо: всё-таки одно из главных свойств информации – ее актуальность. Это значит, что и защита информации должна успевать за атаками в части реакции на инциденты. Оценка влияния этих изменений, кажется, не имеет смысла. Степень ответственность за работу КИИ не изменилась и буквально «зашита» в названии. Те, кто попадает под действия предыдущих документов уже привыкли жить в этой парадигме ответственности. Предстоит лишь перенастроить временные значения в уже имеющихся средствах и процессах», – добавляет
 руководитель технического отдела «АйТи Бастион» Владимир Алтухов.

Итак, пакет документов ФСБ знаменует переход к более жесткой и структурированной фазе защиты критических цифровых активов России. Субъектам КИИ необходимо в кратчайшие сроки изучить новые регламенты и привести свои процедуры и системы в соответствие с ними.

Готовность ИБ-разработчиков к актуальным требованиям рынка: мнения экспертов

В связи с новыми правилами кибербезопасности, установленными ФСБ, заказчикам из сферы КИИ могут понадобиться не только современные цифровые продукты, отвечающие всем актуальным требованиям, но и консалтинговые услуги.

Максим Федосенко, «Газинформсервис»:

«Нововведения, безусловно, повышают уровень безопасности ИБ-решений и использующих их компаний за счет своей контролирующей функции, которая в том числе побуждает своевременно принимать меры и актуализировать данные об ландшафте киберугроз. В то же время нововведения всегда устанавливают свои рамки в работу ИБ-решений, ограничения в используемых в них процессах, а иногда – «связывают руки» разработчикам.

Что касается данных изменений, то доработки продуктов и процессов к их соответствию коснутся в основном организационной части: сроки, ответственные, содержимое отчетов. Доработка технической же составляющей будет заключаться в изменении «чисел» в переменных кода и увеличении «массива» выгружаемой информации.

Продукты нашей компании должны соответствовать и соответствуют требованиям регуляторов, что позволяет использовать их в государственных учреждениях и объектах КИИ. Поэтому наша компания готова предоставить заказчикам продукты, соответствующие нововведениям регуляторов, и необходимый консалтинг в минимальные сроки с минимальными обновлениями продуктов.

О конкретных запросах от заказчиков пока что говорить рановато. Однако точно можно сказать, что у заказчиков с КИИ спрос будет обязательно в силу необходимости их соответствия требованиям регуляторов, а у частных компаний спрос будет минимальным и покрыт постепенно в рамках естественных обновлений используемых ими продуктов».

Владимир Алтухов, «АйТи Бастион»:

«Вне зависимости от изменений в регламентах и нормативных документах, ИБ-решения должны оперативно выявлять, логировать и оповещать об инцидентах и атаках. А еще – делать расследования этих событий проще и «приятнее», иначе говоря, помогать, например, с той же отчетностью.

Мы готовы к этому, потому что изначально держим в голове (и, что важнее, – в техническом задании на разработку) перечисленные выше аспекты. Такой подход позволяет заранее учитывать потребности заказчика и не бояться «штормов» в регуляторике.

Спрос на консалтинговые услуги непосредственно от производителей растет. Во многом это связано с ограниченными ресурсами – в первую очередь, человеческими. Команда «АйТи Бастион» накопила достаточный уровень экспертизы, чтобы предложить ее рынку».

Никита Мусиенко, «Инфосистемы Джет»:

«Для разработчиков ИБ-решений важно, чтобы их продукты позволяли субъектам КИИ выполнять новые требования регулятора по реагированию на компьютерные инциденты и атаки, а также оперативно обеспечивали подготовку всей необходимой отчетности. Для большинства субъектов КИИ будет критически важна возможность быстро формировать полный комплект данных для уведомления и сопровождения инцидента или атаки, обеспечивать удобную выгрузку технических сведений, а также фиксировать действия оператора и результаты реагирования в подтверждаемом виде. Дополнительно, с учетом требований приказа ФСБ России №554, для разработчиков усиливается запрос на подтверждение соответствия требованиям по защите информации, а также на реализацию необходимых механизмов защиты информации при обмене данными.

Компания «Инфосистемы Джет» может предоставить полный комплекс услуг по взаимодействию с ГосСОПКА: от консультационной поддержки по приведению организационных процессов реагирования на компьютерные инциденты и атаки в соответствие с новыми нормами, до предоставления услуг аккредитованного центра ГосСОПКА, отвечающего регуляторным требованиям ФСБ России».

Александр Киселев, UserGate:

«В настоящее время компания UserGate вывела на рынок услугу «Центр мониторинга информационной безопасности как сервис» (SOCaaS) – UserGate uFactor. Предлагаемое решение обеспечивает заказчикам не только защиту информационной инфраструктуры, но также соблюдение установленных требований при взаимодействии с профессиональным сообществом и государственными структурами системы обеспечения информационной безопасности».