Сохрани и поделись: как частные компании должны обеспечивать государственную кибербезопасность

Сохрани и поделись: как частные компании должны обеспечивать государственную кибербезопасность

Спецпроект

В 2018 году вступил в силу Федеральный закон 187 о безопасности критической информационной инфраструктуры. Его задача выявлять потенциально уязвимые места, предотвращать кибератаки, расследовать их и устранять последствия на стратегически важных (значимых) объектах. Тогда же в структуре ФСБ России был создан оператор программы государственной кибербезопасности.

При этом касается закон не только государственных учреждений, объектов или госкомпаний, но и частного бизнеса. Государство не берет на себя обязанность защитить от кибератак, а лишь будет контролировать и управлять. Сама работа по борьбе с киберпреступностью лежит на компаниях и предприятиях — неважно, частные они или государственные. У частных компаний и компаний госсобственности есть еще год для того, чтобы привести свою систему кибербезопасности в соответствие с требованиями закона и начать отчитываться. Однако еще далеко не все предприниматели в принципе знают, что попадают под действие 187-ФЗ.

Вместе с нашим партнером — «Лабораторией Касперского» — мы рассказываем, почему стратегическая кибербезопасность страны коснется почти всех компаний и даже ИП, а также дадим инструкцию, как безопасно и без лишних затрат встроиться в эту систему.

Что такое ГосСОПКА?

Это Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Официально проблемой кибербезопасности в России озадачились только в 2013 году, а в 2014-м начали тестировать ГосСОПКА. Это вынужденные шаги, потому что киберпреступность в России растет давно кратными темпами, а международные киберскандалы сгущают краски. Один из последних — эпидемия трояна WannaCry (программы — вымогателя денег), которая началась в мае 2017 года. За короткое время заражены оказались более 500 тыс. пользователей по всему миру, львиная доля которых в России.


Киберпреступность в России

346 000

новых вирусов фиксируется
ежедневно (данные
Лаборатории Касперского)

в 2 раза

увеличилась доля киберпреступлений в России в общем объеме зарегистрированных преступлений в 2018 году с 2017 по 2018 год

20%

киберпреступлений
расследуется

в 10 раз

увеличилось число киберпреступлений с 2013 по 2016 год


В России в основном атакам подвергаются банки

1–2 банка

успешно атакуют каждый месяц в России

₽140 млн

средний ущерб от одной атаки

₽2,9 млрд

составляет ежегодный ущерб

Источники: ФИНЦертГенпрокуратура

Какие компании подпадают под действие закона

Закон охраняет IT-инфраструктуру (информационные системы, сети, автоматизированные системы управления) в 14 сферах, важных для жизни государства, например, обороны, здравоохранения, транспорта и т.п. Цель — защитить от хакеров не только госорганы, но и юридические лица, принадлежащие государству или частному бизнесу, а также ИП, если они владеют или работают с этими важными IT-ресурсами. Эти ресурсы называются — объекты КИИ (критической информационной инфраструктуры). Сбоев не должны давать ни система воздушной обороны страны, ни электростанция, ни банк, ни компания-подрядчик, которая кого-то из них обслуживает. Поэтому под действие закона о кибербезопасности подпадает широкий перечень субъектов разного характера.


14 отраслей, на компании в которых распространяется действие ФЗ-187

  • Здравоохранение
  • Наука
  • Транспорт
  • Связь
  • Энергетика
  • Банковская сфера
  • Сферы финансового рынка
  • Топливно-энергетический комплекс
  • Атомная энергетика
  • Оборонная промышленность
  • Ракетно-космическая  промышленность
  • Горнодобывающая  промышленность
  • Металлургическая промышленность
  • Химическая промышленность

Что делать, если вы подпадаете под действие закона

Компания сама должна проанализировать, насколько ее работа важна для отрасли, и определить, сбои каких именно IT-ресурсов будут критичны. Определив масштабы потенциальных угроз, следующий шаг – распределить более и менее значимые из них по категориям объектов КИИ от первой до третьей в порядке убывания. Решает это комиссия внутри компании, и утверждает потом ФСТЭК России (Федеральная служба по техническому и экспортному контролю – структура, созданная давно для противодействия иностранным техническим разведкам). В комиссию можно привлекать экспертов со стороны или обойтись своими силами. Позаботиться об информационной безопасности — обязанность компании. Формально подойти не получится. Закон предусматривает определенные требования к этому вопросу, и просто возложить дополнительные обязанности на обычного сисадмина нельзя. Нужно также подключиться к ГосСОПКА. Расходы на аудит, консалтинг и прочее компания определяет самостоятельно.


Дорожная карта действий компаний

Кто контролирует и за что наказывают

Компания подключается к системе ГосСОПКА, которую контролирует ФСБ России. Она следит за устранением кибератак и их последствиями.

В компании создается корпоративный филиал ГосСОПКА, который первым фиксирует угрозу и предлагает варианты противодействий. Информация должна уходить в головную структуру, но не автоматически, а по решению сотрудников на местах. Если сотрудники компании ошибочно решат, что ничего страшного не произошло и передавать информацию нет смысла, то может последовать дисциплинарная или уголовная ответственность — до десяти лет лишения свободы.

Даже если IT-ресурсы самой компании не пострадали, через ее системы вредоносная программа может заразить контрагентов. Например, через сервис червь проберется в банк. В штатном режиме работу системы кибербезопасности компании через три года проверяет ФСТЭК. После киберинцидента могут нагрянуть с проверкой внепланово.


Взаимодействие органов и субъектов

В случаях, касающихся сетей электросвязи и банковской сферы, разрабатываемые ФСТЭК и ФСБ требования должны согласовываться с Минкомсвязью и ЦБ.

Кто может помочь

Для компаний, которым необходимо подключаться к ГосСОПКА, есть несколько вариантов соответствовать требованиям закона о кибербезопасности: разрабатывать свои программные решения, покупать готовые или отдать этот вопрос полностью на аутсорсинг. Первый и третий варианты не подходят для небольших и небогатых компаний и тех, кто не является экспертом в этой области. Лучше воспользоваться готовыми программными продуктами, но с сертификацией ФСТЭК. Это ПО автоматически собирает информацию об угрозе, а специалист по IT-безопасности уже решает: реальна ли она и что делать? В принципе таких специалистов тоже можно привлекать удаленно, а не держать внутри компании. В любом случае придется потратиться, особенно если раньше эти вопросы не были в приоритете.


Как выбрать программные решения по IT-безопасности

Покупай сертифицированное

Отдавай предпочтение сертифицированным ФСТЭК продуктам. Это значительно упростит жизнь при проверках

 Покупай у лидера рынка

Чем дольше компания работает на рынке, тем больше у нее предложений для защиты от максимального количества угроз

 Покупай продвинутое

Чем лучше программа, тем больше процессов по сбору и анализу информации она автоматизирует, тем меньше «ручного труда» в случае атаки, а также легче устанавливать.