По состоянию на конец 2024 года всё ещё продолжается процесс категорирования объектов КИИ, и в российских организациях имеется тенденция по невыполнению законодательства, даже первой его части – категорирования. В связи с этим ФСТЭК применила такой механизм как направление субъектам КИИ требований о выполнении законодательства. В 2024 году направлено более 1 тыс. требований.
Елена Торбенко напомнила, что за непредоставление сведений предусмотрена ответственность, и она активно применяется. Соответственно, те органы, которые осуществляют надзор за выполнением законодательства, исходят из позиции, что к настоящему моменту все вопросы по функционирующим объектам КИИ должны быть завершены.
Сама ФСТЭК тоже ведёт контроль, в том числе, внеплановый. По результатам госконтроля уже выявлено более 500 нарушений.
Начальник управления ФСТЭК России Елена Торбенко выступила на SOC Forum 2024
Фото: прямая трансляция SOC Forum 2024
«К сожалению, и организационные, и технические нарушения повторяются из раза в раз, несмотря на разъяснения, про которые мы вам рассказываем», – говорит представитель ФСТЭК.
И одно из главных нарушений – несоответствие состава значимых объектов КИИ, представленного во ФСТЭК, тому, что реально есть на объектах. Не включая те или иные элементы значимых объектов в их состав, тем самым, их выносят за периметр защищаемых объектов. Это ведёт к тому, что в результате именно через эти элементы объектов, через эти архитектурные уязвимости нарушитель и заходит в системы предприятия.
Другая проблема – не осуществляется контроль за действиями подрядчиков. А меж тем, многие инциденты происходят именно через них. Например, речь о подрядчиках, оказывающих услуги поддержки систем.