Information Security: Каковы, по вашему опыту, основные риски для объектов КИИ в 2025 году?
Владислав Крылов: В соответствии с Указом Президента Российской Федерации от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности КИИ РФ» с 1 января 2025 г. субъектам КИИ запрещается использовать иностранное ПО на принадлежащих им ЗО КИИ.
В связи с грядущими вступающими в силу нормативными требованиями, выделим следующие риски:
- Поскольку субъектами КИИ РФ на объектах КИИ по-прежнему используется программное-аппаратное обеспечение иностранного происхождения, поддержка которого преимущественно на территории Российской Федерации прекращена, возрастает вероятность реализации угроз безопасности информации в отношении подобных объектов.
- Также следует отметить, что изменения в нормативно-правовой базе, регулирующей защиту объектов КИИ, могут потребовать от компаний значительных затрат на приведение их систем в соответствие с новыми стандартами, что может повлиять на их финансовую стабильность. Если снизить инвестиции в модернизацию и защиту объектов КИИ, их уязвимость к рискам может быть увеличена.
- Последнее, но не по значимости: ошибки персонала, недостаточная подготовка или недобросовестное поведение могут привести к инцидентам. Компании необходимо вкладываться и в поддержание, и в развитие человеческого ресурса.
Information Security: Какие требования законодательства о КИИ за последние годы оказались для вас наиболее интересными для реализации?
Владислав Крылов: Наиболее интересным требованием для реализации показалось обеспечение технологической независимости и безопасности критической информационной инфраструктуры РФ. В соответствии с Указом Президента Российской Федерации № 166 от 30 марта 2022 г. с 31 марта 2022 г. заказчики, осуществляющие закупки в соответствии с 223-ФЗ, не могут приобретать иностранное программное обеспечение, в том числе в составе ПАК, в целях его использования на принадлежащих им ЗО КИИ, а с 1 января 2025 г. органам государственной власти, заказчикам запрещается использовать иностранное программное обеспечение на принадлежащих им значимых объектах критической информационной инфраструктуры. Поиск решений по реализации данных требований – действительно интересная и нетривиальная задача.
Information Security: Какие ошибки, по вашему мнению, чаще всего допускают организации при проектировании системы защиты ОКИИ?
Владислав Крылов: Ошибки, которые чаще всего допускают организации при проектировании системы защиты объектов КИИ:
- недостаточная оценка негативных последствий в результате проведения компьютерных атак,
- некорректная оценка уязвимостей в их системах и последующее составление перечня актуальных угроз безопасности информации,
- занижение категории значимости, так как зачастую субъекты КИИ РФ проводят оценку масштаба возможных последствий уже с учетом применения организационных и технических мер, что является ошибкой. В соответствии с пунктом 14.1 Правил категорирования объектов КИИ при анализе угроз безопасности информации должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты КИИ, результатом которых является прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.
Information Security: Как вы считаете, достаточно ли текущих мер для защиты КИИ, или необходимы дополнительные инициативы на государственном уровне?
Владислав Крылов: На текущий момент времени законодательно установлен исчерпывающий перечень организационных и технических мероприятий, направленных на обеспечение безопасности критической информационной инфраструктуры, а именно на блокирование угроз безопасности или на снижение возможностей их реализации, исходя из условий функционирования объекта КИИ.
Кроме того, реализация требований в области обеспечения безопасности КИИ РФ позволит субъектам КИИ РФ минимизировать или полностью исключить возможность проведения со стороны злоумышленников компьютерных атак и наступление в результате их негативных последствий, которые, в свою очередь, создают предпосылки для прекращения или нарушения выполнения критических процессов в целом.