71% российских компаний заявляют, что столкнулись с различными сложностями при реализации требований 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (КИИ). Это выяснилось в ходе совместного исследования К2 Кибербезопасность и Anti-Malware.ru[1]. Кроме того, сложности с выполнением требований закона вынудили 44% респондентов кратно увеличить расходы на безопасность.

Более 14% организаций подняли бюджет на ИБ в 10 раз. К этому в первую очередь приводила недооценка объема работ из-за недостаточно глубокого аудита, а также увеличение количества работ в силу технических особенностей инфраструктуры. В некоторых компаниях нет полного понимания требований законодательства, что в дальнейшем приводит к росту числа необходимых СЗИ.

К категории субъектов КИИ относятся предприятия, нарушение работы которых может привести к выходу из строя транспортной инфраструктуры, сетей связи, государственных услуг, нанесению ущерба жизни и здоровью людей. Основная цель 187-ФЗ — защитить IT-системы госорганов, банков, промышленности, медицинских учреждений и других компаний от кибератак. Хотя закон был принят в 2018 году, 35% респондентов ещё находятся на старте реализации проекта. Только 7% компаний полностью завершили его.

Большинство респондентов (27%) назвали главной сложностью подбор и закупку отечественного ПО и оборудования. Она связана с его высокой стоимостью и нехваткой. Вместе с тем, почти половина опрошенных (48%) уверены в том, что российские продукты позволят закрыть требования закона. Не удовлетворены тем, что предлагает рынок — 31%. При этом 21% организаций (каждая пятая) признаются, что не успеют перейти к 2025 году на российские продукты на значимых объектах КИИ, согласно требований 166 Указа[2].

Среди других сложностей компании называли: трудности в понимании самого закона (13%), организацию процессов (8%), аудит и категорирование (8%).

Начать системную работу над исполнением требований 187-ФЗ организации во многом побудил Указ Президента РФ от 01.05.2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», в котором были указаны конкретные ответственные лица. ФСТЭК России с 2017 года ведёт планомерную разъяснительную работу, призванную облегчить субъектам КИИ понимание закона и приведение своей деятельности в соответствие с его требованиями. Мы постоянно организуем внутренние и выездные мероприятия, делаем адресные рассылки. На данный момент организации активно присылают нам документы с перечнями и сведениями об объектах КИИ. Мы прогнозируем дальнейшую активизацию субъектов КИИ по выполнению требований закона.

Валентин П. Данилушкин
Начальник отдела управления ФСТЭК России по Центральному федеральному округу

По графикам происходит поэтапный переход критической информационной инфраструктуры Т Плюс на российские решения, в соответствии с требованиями 187-ФЗ. Мы считаем, что, в связи с постоянно увеличивающимся количеством атак, требования закона выглядят обоснованными. Они направлены на создание не только бумажной, но и практической ИБ. Принятие закона и подзаконных актов (в частности Указов 166 и 250) позволило Заказчикам требовать соблюдения требований ИБ от поставщиков в предлагаемых решениях.

Татьяна Зайцева
Директор по информационной безопасности Т Плюс

Несмотря на серьезные трудности, с которыми сталкивается бизнес, ситуация с обеспечением безопасности КИИ позитивная. По данным исследования, 90% субъектов КИИ приступили к реализации закона. Речь идет о десятках тысяч организаций. По нашему опыту, большое количество предприятий все ещё используют зарубежные решения в инфраструктуре значимых объектов защиты, в том числе средства защиты. При этом мы видим тренд, что российские вендоры сейчас получили большой драйвер роста в связи с освободившимися продуктовыми нишами, а также поддержку от государства. Компании развивают свои продукты, при этом используют передовые технологии, доступные на рынке.

Андрей Заикин
Директор по развитию бизнеса К2 Кибербезопасность

Мы видим существенное изменение подходов регуляторов в направлении практической, результативной кибербезопасности, в том числе и с точки зрения реализации конкретных подходов на предприятиях: начиная от ответственности руководства и заканчивая процессами оценки и подтверждения уровня защищенности.

Михаил Кадер
Архитектор решений по информационной безопасности Positive Technologies

71% компаний c критической информационной инфраструктурой сложно организовать ее безопасность