Что в приоритете: секретность или безопасность КИИ

Дата публикации: 7 февраля 2024

Вадим Владимирович Петров
Ведущий эксперт по защите информации

130

Специалисты по безопасности КИИ отмечают: при нынешних ограничениях доступа к информации, на которую нужно ориентироваться в работе по защите критических информационных инфраструктур, приведет к снижению качества такой защиты. Стремление ведомств сохранить в тайне информацию о том, «как мы охраняем КИИ» рискует аннулировать весь полезный эффект от такой конфиденциальности.

В чем противоречие

В РФ все подзаконные НПА, регламентирующие исполнение требование ФЗ-187, должны быть общедоступными.

Однако ФСТЭК автоматически присваивает метку «ДСП» всем документам, которые устанавливают методики оценки значимости объектов КИИ и исполнения требований закона об их защите, а также информации о компьютерных инцидентах.

Такую скрытность ведомства объясняют тем, что при нарушении правил обмена информацией об инцидентах (т.е. своеобразная утечка информации о количестве и видах кибератак в России) есть риск разглашения сведений и о методах защиты, а также технической информации о самих объектах КИИ. Это может повлечь вред политическим и экономическим интересам страны. Хотя данные сведения не являются государственной тайной, на них распространяется режим ограниченного доступа.

С одной стороны, определенные риски утечки есть. С другой — закрытость информации о количестве и характере компьютерных угроз (попыток и законченных кибератак на КИИ) и ограниченное обращение даже внутри компании приводят к тому, что «безопасники» не могут должным образом обосновать перед руководством запросы на повышенное финансирование работы, расширение штата специалистов, закупку нового ПО и оборудования. Кроме того, тишина по поводу компьютерных инцидентов создает впечатление, что в РФ уже безопасно, особых угроз нет, а значит, организация может обойтись уже имеющимся бюджетом для защиты КИИ.

Спецлитература — только при наличии лицензии ФСБ

Методические и руководящие документы, необходимые для выполнения требований Федерального закона № 187-ФЗ, одновременно ограничены в доступе — их могут купить только фирмы с лицензией ФСБ на гостайну. ФСТЭК постоянно анонсирует все новые методические рекомендации, чтобы субъекты КИИ использовали актуальные способы защиты — но сразу предупреждает, что документы будут отмечены грифом «Для служебного пользования». Чтобы купить их, субъектам КИИ придется выделить дополнительные средства и получить лицензию ФСБ на работу с государственной тайной — это обязательное требование ФСТЭК при заказе документации.

Дополнительные материальные издержки и ожидание поступления документов (3-5 месяцев) создают дополнительные препятствия для выполнения требований ФЗ-187.

Есть и еще один неочевидный минус такого подхода к распространению документов: специалисты по защите от киберугроз лишены возможности обсуждать проекты НПА и высказывать свои замечания и пожелания к проекту. От этого страдает качество документов, ведь именно практики, работающие в реальных условиях, выявляет большинство недостатков и несоответствий документа, а значит, могут повлиять на его содержание.

В конечном итоге излишнее ограничение в доступе к документам, описывающим методику защиты КИИ, приводит к обратному эффекту: защита снижается, а организации, работающие с критическими информационными системами, недооценивают риски.

Нужна помощь с оформлением лицензии ФСБ на гостайну? Поможем подготовить компанию к лицензированию и получить необходимые допуски. Звоните!

Нужна косультация по лицензированию ФСБ?

Проконсультироваться