Закону о безопасности КИИ уже 6 лет, но выполнение до сих идёт со скрипом

По состоянию на конец 2024 года всё ещё продолжается процесс категорирования объектов КИИ, и в российских организациях имеется тенденция по невыполнению законодательства, даже первой его части – категорирования. В связи с этим ФСТЭК применила такой механизм как направление субъектам КИИ требований о выполнении законодательства. В 2024 году направлено более 1 тыс. требований.

Елена Торбенко напомнила, что за непредоставление сведений предусмотрена ответственность, и она активно применяется. Соответственно, те органы, которые осуществляют надзор за выполнением законодательства, исходят из позиции, что к настоящему моменту все вопросы по функционирующим объектам КИИ должны быть завершены.

Сама ФСТЭК тоже ведёт контроль, в том числе, внеплановый. По результатам госконтроля уже выявлено более 500 нарушений.

Начальник управления ФСТЭК России Елена Торбенко выступила на SOC Forum 2024
Фото: прямая трансляция SOC Forum 2024

«К сожалению, и организационные, и технические нарушения повторяются из раза в раз, несмотря на разъяснения, про которые мы вам рассказываем», – говорит представитель ФСТЭК.

И одно из главных нарушений – несоответствие состава значимых объектов КИИ, представленного во ФСТЭК, тому, что реально есть на объектах. Не включая те или иные элементы значимых объектов в их состав, тем самым, их выносят за периметр защищаемых объектов. Это ведёт к тому, что в результате именно через эти элементы объектов, через эти архитектурные уязвимости нарушитель и заходит в системы предприятия.

Другая проблема – не осуществляется контроль за действиями подрядчиков. А меж тем, многие инциденты происходят именно через них. Например, речь о подрядчиках, оказывающих услуги поддержки систем.