Журнал "Information Security/ Информационная безопасность" #6, 2024

В новом году обеспечение технологи- ческой независимости (так называемое импортозамещение) по-прежнему оста- нется одним из актуальных вопросов. В текущем году все субъекты КИИ должны были разработать планы пере- хода на доверенные программно-аппа- ратные платформы. Реализация этих планов будет начата в 2025 г. Проблемам импортозамещения, а также их решению была посвящена статья "Что мешает быстрому импорто- замещению на объектах критической информационной инфраструктуры?", опубликованная в четвертом номере журнала за 2024 г. 1 , поэтому я не буду останавливаться на данных вопросах. Отмечу лишь, что, как и ожидалось, не все субъекты КИИ в этом году выполни- ли планы по импортозамещению в части программного обеспечения, поэтому эта задача не утратит свою актуальность и в 2025 г. Актуальным останется выполнение требований Указа Президента России от 1 мая 2022 г. № 250 в части прекра- щения использования зарубежных (из так называемых недружественных госу- дарств) средств защиты информации. По моим оценкам, крупные субъекты КИИ, имеющие большую информацион- ную инфраструктуру, насчитывающую несколько тысяч объектов КИИ, не смо- гут исключить применение таких средств на незначимых объектах КИИ к 1 января 2025 г. – в части значимых объектов большинство субъектов КИИ, по оценкам экспертов, такие требования выполнили. Это касается прежде всего встроенных в системное (частично прикладное) про- граммное обеспечение средств защиты информации. В этой связи отказ от таких средств будет происходить посте- пенно, чтобы не нарушать технологиче- ские (производственные) процессы. В 2025 г., безусловно, продолжатся контрольно-надзорные мероприятия со стороны регуляторов – государственный контроль в области обеспечения без- опасности значимых объектов КИИ в соответствии с постановлением Пра- вительства РФ от 17.02.2018 № 162 и мониторинг защищенности в соответ- ствии с приказом ФСБ России от 11.05.2023 № 213. Субъектам КИИ необходимо быть готовыми к участию в указанных мероприятиях. Первичное категорирование В конце 2024 г. на конференциях по информационной безопасности часто говорили о том, что есть организации, являющиеся субъектами КИИ, которые до сих пор не завершили процедуру категорирования, оттягивая сроки путем внесения изменений в перечни объектов КИИ, подлежащих категорированию. В этой связи в законодательство были внесены изменения, устраняющие лазей- ки для оттягивания сроков так называе- мого первичного категорирования и пута- ницу при категорировании вновь созда- ваемых объектов. А именно: исключены нормы, связанные с необходимостью формирования перечня объектов КИИ, подлежащих категорированию (п. 5 подп. "г", п. 14 подп. "в", п. 15 Правил катего- рирования 2 ). Теперь нет необходимости формировать перечень объектов КИИ, подлежащих категорированию, согла- совывать его с головной структурой (для подведомственных организаций) и отправлять в ФСТЭК России. При этом ведение так называемых инвентариза- ционных перечней, из которых на прак- тике обычно формировались перечни объектов КИИ, подлежащих категори- рованию, законодательство не запре- щает. Поэтому субъекты КИИ по-преж- нему могут формировать такие перечни при наличии необходимости, например для проведения аудитов. Отказ в обслуживании В 2024 г. были внесены изменения, касающиеся защиты от одной из самых распространенных компьютерных угроз – атаки, направленной на отказ в обслу- живании. Речь идет об изменениях в требования по обеспечению безопасно- сти значимых объектов критической информационной инфраструктуры Рос- сийской Федерации (утвержденные при- казом ФСТЭК России от 25 декабря 2017 г. № 239), внесенныех приказом ФСТЭК России от 28.08.2024 № 159. Данные изменения в большей своей части не являются новыми и представ- ляют собой стандартную практику защи- ты от атак "отказ в обслуживании", поэтому для тех, кто ранее уже внедрил систему (подсистему) защиты от подоб- ных атак, практически никаких измене- ний не произойдет за исключением двух следующих моментов. Во-первых, п. 22(2) подп. "и" Требова- ний вводит относительно новую обязан- ность (по крайней мере, в моей практике специалисты по ИБ в рамках своих инфраструктур такое не делали): в тече- ние трех лет обеспечить хранение информации о фактах реализации атак, направленных на отказ в обслуживании. Таким образом, необходимо будет вно- сить корректировки в части хранения информации о событиях (инцидентах) информационной безопасности и, воз- можно, увеличивать емкости хранилищ систем, ведущих журналы событий и задействованных в нейтрализации данного вида атак. Во-вторых, подп. "б" п. 26(2) возлагает на субъекты КИИ новую обязанность: 38 • СПЕЦПРОЕКТ Актуальные вопросы защиты КИИ в 2025 году 2025 г. защита критической информационной инфраструктуры по-прежнему останется одной из приоритетных задач для организаций, работающих в ключевых отраслях экономики. Основные вызовы связаны с усилением требований регуляторов, необходимостью соблюдения новых нормативно-правовых требований, внедрением мер по импортозамещению в условиях ограниченного доступа к зарубежным технологиям и защитой от постоянно совершенствующихся компьютерных атак. В Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности 1 Журнал “Information Security/ Информационная безопасность" №4, 2024. С. 10–12 2 Утверждены постановлением Правительства РФ от 08.02.2018 № 127