Статьи страница 33

Закон о критической информационной инфраструктуре действует уже полгода, однако большинство владельцев объектов КИИ до сих пор находятся в начальной стадии его исполнения: проводят категорирование. Проблемы, о которых мы писали ранее, несмотря на разъяснения и конференции с участием ФСТЭК, остались те же: многие не знают, являются ли они субъектами КИИ, как определить этот момент, с чего начать при определении значимости объектов и создании защищённой информационной системы.

Несмотря на серьёзную регламентацию процесса госзакупок и строгий контроль за исполнением заказа и расчётов за поставки, остаются проблемы в работе как поставщиков, так и заказчиков. Это связано как с нюансами проведения торгов, так и с особенностями участников с обеих сторон.

Работа на площадке АСТ ГОЗ

Госзакупки в сфере заказа для оборонных предприятий ведутся через специальную площадку — АСТ ГОЗ. Она начала работу в феврале 2017 года, и по заверениям разработчиков «заточена» именно под гособоронзаказ по функционалу и методам технической защиты данных. Регистрация доступна только для юридических лиц и формально бесплатна, однако для соответствия требованиям регистрации придётся затратить около 10 тыс. рублей за специализированный софт, электронную цифровую подпись, а также настройку оборудования на рабочем месте (компьютере) специалиста по госзакупкам.

Министерство обороны продолжает заботиться о сохранности служебной и секретной информации, касающейся вооруженных сил страны. Для защиты он уничтожения и других злонамеренных действий, которые возможны в связи с усилением угроз извне, специально для нужд Минобороны РФ разрабатывается закрытое облачное хранилище данных.

Итак, законодательство о критической информационной инфраструктуре постепенно обрастает практикой и разъяснениями ФСТЭК и ФСБ. Регуляторы уверены, что при должной квалификации и навыках IT-специалисты способны правильно категорировать объект и выстроить систему защиты КИИ. А если не способны — на то предусмотрена уголовная ответственность за нарушение требований защиты информации на значимых объектах.

Министерство обороны РФ утвердило новые правила обращения с портативными устройствами на режимных объектах. Если кратко: теперь большую часть электроники, используемой в повседневной жизни, запрещено проносить на территорию воинских частей или организаций, подведомственных Минобороны РФ. Таким образом ведомство планирует снизить риски случайной и умышленной утечки секретных сведений, отнесённой к государственной тайне, лишив сотрудников потенциальной возможности записать и передать конфиденциальные данные.

Уже полгода действует закон о критической информационной инфраструктуре, и близок тот момент, когда круг субъектов КИИ, наконец, окончательно определится. Для них появится другая забота: обеспечение технической защиты информационной системы, закупка соответствующего оборудования, профессиональная помощь специалистов по защите информации и т. д. И если для частного бизнеса — обладателя объекта КИИ еще есть поле для манёвра, то для тех систем, которые признаны значимыми и входят в число ГИС, закупка технических средств и программного обеспечения проходит исключительно в порядке тендерных торгов.

Эксперты в сфере цифровых технологий в экономическое пространство РФ считают, что реализацию проекта «Цифровая экономика» можно ускорить. 11 мая 2018 г. в ходе обсуждения в АНО «Цифровая экономика» специалисты пришли к общему выводу: зачастую внедрение IT-решения, способного качественно изменить те или иные процессы, займёт 1-2 месяца, однако из-за отставания законодательного регулирования внедрение занимает до 2-3 лет и к моменту запуска разрешённые технические решения безнадёжно устаревают.

Несколько последних лет показали, что кибератакам подвержены не только государственные и банковские информационные системы. Хакеров привлекают и такие отрасли, как медицина и фармацевтика, логистика, сетевой и интернет-бизнес. На теневом рынке существует определённый перечень услуг, направленных на парализацию бизнеса конкурента, например, «положить» сайт компании, найти уязвимости в защите системы и получить доступ к базам данных, и т. д.

Уголовный кодекс РФ содержит 5 статей, непосредственно определяющих нарушения работы с гостайной и соответствующие санкции, из них 4 касаются именно разглашения государственной тайны в различных вариациях, и лишь 1 — нарушения правил работы с носителями секретных сведений. Рассмотрим подробнее сами статьи и особенности квалификации преступлений, связанных с допуском к гостайне, а также нюансы привлечения к уголовной ответственности.

Для многих ограничения, связанные с допуском секретности, заключаются в запрете выезжать за границу. Именно невозможность зарубежных поездок в отпуск или к родственникам отпугивает многих от оформления допуска к гостайне и заключения соответствующего контракта.

Между тем, формальное наличие допуска секретности не означает автоматического запрета на пересечение границы, зато может предполагать ряд иных ограничений, о которых говорят и пишут редко.

В рамках работы ФСБ России по совершенствованию защиты информационных систем от кибератак совершенствуется система ГосСоПКА. Эта аббревиатура расшифровывается как государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. По своей сути ГосСОПКА — это своеобразная антихакерская структура, хранилище данных о компьютерных инцидентах, уязвимостях и хакерских атаках, а также разработчик рекомендаций и мер безопасности для своих участников в плане защиты информационных сетей.

Принятие закона о безопасности КИИ и связанных с ним нормативно-правовых актах о безопасности вызывают много вопросов у специалистов. Многие не до конца понимают роль и место ФСБ и ФСТЭК в вопросах реагирования на инциденты компьютерной безопасности на объектах критической информационной инфраструктуры, — их удивляет якобы «бездействие» регуляторов в ответ на сообщение о кибератаке на тот или иной объект и слишком размытые нормы в приказах и положениях по КИИ. Так ли это на самом деле?