Закону о безопасности КИИ уже 6 лет, но выполнение до сих идёт со скрипом

Закону о безопасности КИИ уже 6 лет, но выполнение до сих идёт со скрипом
Фото freepik.com
Уже шесть лет как действует 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» (КИИ), и некоторые результаты его выполнения есть, но есть и проблемные моменты. О них на SOC Forum 2024 сегодня, 6 ноября 2024 года, рассказала Елена Торбенко, начальник управления ФСТЭК России.

По состоянию на конец 2024 года всё ещё продолжается процесс категорирования объектов КИИ, и в российских организациях имеется тенденция по невыполнению законодательства, даже первой его части – категорирования. В связи с этим ФСТЭК применила такой механизм как направление субъектам КИИ требований о выполнении законодательства. В 2024 году направлено более 1 тыс. требований.

Елена Торбенко напомнила, что за непредоставление сведений предусмотрена ответственность, и она активно применяется. Соответственно, те органы, которые осуществляют надзор за выполнением законодательства, исходят из позиции, что к настоящему моменту все вопросы по функционирующим объектам КИИ должны быть завершены.

Сама ФСТЭК тоже ведёт контроль, в том числе, внеплановый. По результатам госконтроля уже выявлено более 500 нарушений.

 

Начальник управления ФСТЭК России Елена Торбенко выступила на SOC Forum 2024

Начальник управления ФСТЭК России Елена Торбенко выступила на SOC Forum 2024
Фото: прямая трансляция SOC Forum 2024

 

«К сожалению, и организационные, и технические нарушения повторяются из раза в раз, несмотря на разъяснения, про которые мы вам рассказываем», – говорит представитель ФСТЭК.

И одно из главных нарушений – несоответствие состава значимых объектов КИИ, представленного во ФСТЭК, тому, что реально есть на объектах. Не включая те или иные элементы значимых объектов в их состав, тем самым, их выносят за периметр защищаемых объектов. Это ведёт к тому, что в результате именно через эти элементы объектов, через эти архитектурные уязвимости нарушитель и заходит в системы предприятия.

Другая проблема – не осуществляется контроль за действиями подрядчиков. А меж тем, многие инциденты происходят именно через них. Например, речь о подрядчиках, оказывающих услуги поддержки систем.

Автор: Александр Абрамов.

Тематики: Регулирование, Безопасность

Ключевые слова: информационная безопасность, регулирование, ФСТЭК, критическая инфраструктура