Валентин П. Данилушкин
Начальник отдела управления ФСТЭК России по Центральному федеральному округу
71% российских компаний заявляют, что столкнулись с различными сложностями при реализации требований 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (КИИ). Это выяснилось в ходе совместного исследования К2 Кибербезопасность и Anti-Malware.ru[1]. Кроме того, сложности с выполнением требований закона вынудили 44% респондентов кратно увеличить расходы на безопасность.
Более 14% организаций подняли бюджет на ИБ в 10 раз. К этому в первую очередь приводила недооценка объема работ из-за недостаточно глубокого аудита, а также увеличение количества работ в силу технических особенностей инфраструктуры. В некоторых компаниях нет полного понимания требований законодательства, что в дальнейшем приводит к росту числа необходимых СЗИ.
К категории субъектов КИИ относятся предприятия, нарушение работы которых может привести к выходу из строя транспортной инфраструктуры, сетей связи, государственных услуг, нанесению ущерба жизни и здоровью людей. Основная цель 187-ФЗ — защитить IT-системы госорганов, банков, промышленности, медицинских учреждений и других компаний от кибератак. Хотя закон был принят в 2018 году, 35% респондентов ещё находятся на старте реализации проекта. Только 7% компаний полностью завершили его.
Большинство респондентов (27%) назвали главной сложностью подбор и закупку отечественного ПО и оборудования. Она связана с его высокой стоимостью и нехваткой. Вместе с тем, почти половина опрошенных (48%) уверены в том, что российские продукты позволят закрыть требования закона. Не удовлетворены тем, что предлагает рынок — 31%. При этом 21% организаций (каждая пятая) признаются, что не успеют перейти к 2025 году на российские продукты на значимых объектах КИИ, согласно требований 166 Указа[2].
Среди других сложностей компании называли: трудности в понимании самого закона (13%), организацию процессов (8%), аудит и категорирование (8%).
Более 14% организаций подняли бюджет на ИБ в 10 раз. К этому в первую очередь приводила недооценка объема работ из-за недостаточно глубокого аудита, а также увеличение количества работ в силу технических особенностей инфраструктуры. В некоторых компаниях нет полного понимания требований законодательства, что в дальнейшем приводит к росту числа необходимых СЗИ.
К категории субъектов КИИ относятся предприятия, нарушение работы которых может привести к выходу из строя транспортной инфраструктуры, сетей связи, государственных услуг, нанесению ущерба жизни и здоровью людей. Основная цель 187-ФЗ — защитить IT-системы госорганов, банков, промышленности, медицинских учреждений и других компаний от кибератак. Хотя закон был принят в 2018 году, 35% респондентов ещё находятся на старте реализации проекта. Только 7% компаний полностью завершили его.
Большинство респондентов (27%) назвали главной сложностью подбор и закупку отечественного ПО и оборудования. Она связана с его высокой стоимостью и нехваткой. Вместе с тем, почти половина опрошенных (48%) уверены в том, что российские продукты позволят закрыть требования закона. Не удовлетворены тем, что предлагает рынок — 31%. При этом 21% организаций (каждая пятая) признаются, что не успеют перейти к 2025 году на российские продукты на значимых объектах КИИ, согласно требований 166 Указа[2].
Среди других сложностей компании называли: трудности в понимании самого закона (13%), организацию процессов (8%), аудит и категорирование (8%).
«Начать системную работу над исполнением требований 187-ФЗ организации во многом побудил Указ Президента РФ от 01.05.2022 г. № 250 „О дополнительных мерах по обеспечению информационной безопасности Российской Федерации“, в котором были указаны конкретные ответственные лица. ФСТЭК России с 2017 года ведёт планомерную разъяснительную работу, призванную облегчить субъектам КИИ понимание закона и приведение своей деятельности в соответствие с его требованиями. Мы постоянно организуем внутренние и выездные мероприятия, делаем адресные рассылки. На данный момент организации активно присылают нам документы с перечнями и сведениями об объектах КИИ. Мы прогнозируем дальнейшую активизацию субъектов КИИ по выполнению требований закона».
«По графикам происходит поэтапный переход критической информационной инфраструктуры Т Плюс на российские решения, в соответствии с требованиями 187-ФЗ. Мы считаем, что, в связи с постоянно увеличивающимся количеством атак, требования закона выглядят обоснованными. Они направлены на создание не только бумажной, но и практической ИБ. Принятие закона и подзаконных актов (в частности Указов 166 и 250) позволило Заказчикам требовать соблюдения требований ИБ от поставщиков в предлагаемых решениях».
Татьяна Зайцева
Директор по информационной безопасности Т Плюс
«Несмотря на серьезные трудности, с которыми сталкивается бизнес, ситуация с обеспечением безопасности КИИ позитивная. По данным исследования, 90% субъектов КИИ приступили к реализации закона. Речь идет о десятках тысяч организаций. По нашему опыту, большое количество предприятий все ещё используют зарубежные решения в инфраструктуре значимых объектов защиты, в том числе средства защиты. При этом мы видим тренд, что российские вендоры сейчас получили большой драйвер роста в связи с освободившимися продуктовыми нишами, а также поддержку от государства. Компании развивают свои продукты, при этом используют передовые технологии, доступные на рынке».
Андрей Заикин
Директор по развитию бизнеса К2 Кибербезопасность
«Мы видим существенное изменение подходов регуляторов в направлении практической, результативной кибербезопасности, в том числе и с точки зрения реализации конкретных подходов на предприятиях: начиная от ответственности руководства и заканчивая процессами оценки и подтверждения уровня защищенности».
Михаил Кадер
Архитектор решений по информационной безопасности Positive Technologies