Информационная безопасность на предприятии — 2025: нововведения, законодательство, надзор

В условиях цифровизации всех сфер жизни информационная безопасность не только обретает всё большую значимость, но и становится предметом постоянно устрожающегося нормативного регулирования. О ключевых нововведениях текущего года и их влиянии на бизнес рассказывают эксперты Недели «Техэксперт» — крупнейшей онлайн-конференции, посвященной важным для промышленности законодательным изменениям.

Критическая информационная инфраструктура

Генеральный директор компании Ovodov CyberSecurity Александр Оводов выделил несколько основных направлений информационной безопасности (ИБ), которые регулируются государством (рис. 1), и отдельно остановился на критической информационной инфраструктуре (КИИ).

Рисунок 1. Направления ИБ с точки зрения выполнения требований законодательства и непосредственной защиты от угроз

Под действие Федерального закона от 26.07.2017 г. № 187‑ФЗ «О безопасности критической информационной инфраструктуры РФ» подпадает довольно много хозяйствующих субъектов, «которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности», а также «российские юридические лица и индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».

Уже сегодня можно уверенно сказать, что круг этих субъектов будет только расширяться — как минимум на контрагентов перечисленных организаций. Это следует в том числе из статистики Федеральной службы по техническому и экспортному контролю (ФСТЭК) за 2024 г., в которой сказано, что значительное количество атак приходится на цепочки поставок — ИТ-компании, работающие с субъектами КИИ. Из этой же статистики следует, что велико число нарушений в категорировании объектов КИИ (№ 187‑ФЗ выделяет три категории в зависимости от значимости объекта): за минувший год выявлено более 500 таких нарушений. Именно через неправильно категорированные и некатегорированные объекты злоумышленники чаще всего проникают в инфраструктуру предприятия. Контроль уровня защищенности объектов показал, что 49% из них имеют низкую защищенность, 31% — среднюю и только 11% — базовую, т. е. соответствуют нижнему порогу безопасности, заданному № 187‑ФЗ и его подзаконными нормативными правовыми актами (НПА).

В связи с этим планируются нововведения, с одной стороны устрожающие контроль, а с другой — призванные помочь предприятиям в соблюдении нарастающих требований законодательства:

• ФСТЭК собирается создать личные кабинеты субъектов КИИ для взаимодействия в части проверок;
• в связи с обновлением Указа Президента РФ от 01.05.2022 г. № 250 ожидаются проекты НПА, регулирующие аккредитацию центров ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) — важного компонента обеспечения целостности КИИ.

Некоторые изменения уже вступили в силу. Например, согласно тому же Указу Президента РФ № 250, с 1 января 2025 г. на объектах КИИ запрещается не только использовать средства защиты информации (СЗИ) из недружественных стран, но и «пользоваться сервисами (работами, услугами) по обеспечению информационной безопасности», которые предоставляются организациями из таких стран.

Послабление для субъектов КИИ в части взаимодействия с Единой биометрической системой (ЕБС) по обработке биометрических данных сотрудников также отменено. Теперь все компании, которые осуществляют биометрическую идентификацию сотрудников, обязаны взаимодействовать с ЕБС.

Правительство РФ в Постановлении от 14.11.2023 г. № 1912 уже с 1 сентября 2024 г. запретило покупать и эксплуатировать для значимых объектов КИИ (ЗОКИИ) недоверенные программно-аппаратные комплексы (ПАК). Доверенный ПАК должен входить в Реестр Минпромторга России и Реестр отечественного программного обеспечения (ПО), а если выполняет функции СЗИ — иметь сертификацию ФСТЭК. Полный переход на использование доверенных ПАК на ЗОКИИ должен быть осуществлен до 1 января 2030 г. Купить недоверенный ПАК пока еще можно — при наличии заключения о его отнесении к промышленной продукции, не имеющей произведенных в Российской Федерации аналогов, выданного ответственным органом.

Действующие субъекты КИИ, эксплуатирующие ЗОКИИ, согласно тому же Постановлению Правительства № 1912, должны были до 1 января 2025 г. направить в федеральный орган по своему профилю копию плана перехода на доверенные ПАК. План по ЗОКИИ, получившим или изменившим категорию после 1 сентября 2024 г., необходимо отправить в течение четырех месяцев. Внесение изменений в план перехода осуществляется только утверждением его новой редакции. Начиная с 2026 г. следует направлять ежегодно до 1 марта отчет о ходе реализации плана перехода за прошедший год.

Из Постановления Правительства РФ от 08.02.2018 г. № 127 в новой редакции, действующей с 19 сентября 2024 г., убрали норму о составлении перечня объектов КИИ (п. 15). Теперь при появлении объекта требуется сразу его категорировать и направлять информацию во ФСТЭК.

В новой редакции приказа ФСТЭК от 25.12.2017 г. № 239 появился п. 22.2, конкретизирующий технические меры по защите от атак ЗОКИИ, имеющих интерфейсы и сервисы, к которым должен быть обеспечен постоянный доступ из сети Интернет. Еще один новый п. 26.2 описывает организационные меры.

Рисунок 2.

Важнейшим нововведением стал методический документ ФСТЭК России от 02.05.2024 г. «Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов КИИ». Применение методики подразумевается как представителями ФСТЭК при проверке организации, так и специалистами самой организации при проведении внутренних проверок. Периодичность таких проверок должна быть не реже одного раза в шесть месяцев.

Критерии оценки представлены в таблице с четырьмя группами показателей: организация и управление, защита пользователей, защита информационных систем, мониторинг ИБ и реагирование. По каждому направлению представлены частные показатели, значение коэффициента каждого из них и значение весового коэффициента группы показателей. После оценки общий коэффициент защищенности высчитывается по формуле и может принимать значение от 0 до 1. Если значение коэффициента ниже единицы, субъект КИИ обязан разработать план реализации мероприятий по достижению следующего уровня защиты от актуальных угроз. При этом срок реализации плана не должен превышать период до проведения следующей плановой оценки.

Выполнение требований по защите данных

Алексей Парфентьев, заместитель генерального директора по инновационной деятельности ООО «СерчИнформ», рассказал об устрожении законодательства о защите персональных данных, в т. ч. о штрафах за различные нарушения в этой сфере, а также о неожиданных преимуществах нововведений — например, смягчении ответственности для организаций, инвестирующих в ИБ (рис. 3).

Рисунок 3. Законодательные нововведения в области защиты персональных данных

Спикер объяснил разницу между задачами и, соответственно, технологиями для защиты персональных данных и КИИ, раскрыл особенности анализа текста и более сложных данных и настройки механизмов блокировок, которые не будут мешать рабочим процессам.

В условиях выстраивания ИБ следует позаботиться о двух категориях сотрудников:

• добросовестных рядовых специалистах, которые готовы соблюдать повышенные меры информационной безопасности, но не знают как;
• ИБ-специалистах, на которых помимо мер по обеспечению безопасности с каждым годом ложится всё больше и больше отчетности.

И те и другие сотрудники нуждаются в инструментах автоматизации своих рутинных ИБ-процессов (например, в корпоративном архиваторе данных с шифрованием для передачи данных контрагентам), а автоматизация требует инвестиций. Однако статистика показывает, что до 60% организаций не увеличивают финансирование ИБ, несмотря на все вызовы. Большинство ИБ-затрат уходит на продление имеющихся лицензий и техподдержку уже внедренных СЗИ, а новые СЗИ закупаются на оставшиеся средства.

У этой проблемы существуют три решения:

• меры налоговой поддержки — учет расходов на ПО в двойном объеме и снижение за счет инвестиций в ПО налога на прибыль;
• использование альтернативных и кросс-функциональных СЗИ (DLP/DCAP);
• аутсорсинг ИБ, который в ряде случаев может быть значительно дешевле самостоятельной категоризации и защиты от утечек, но требует внимательного выбора подрядчика.

Работа с нормативными документами

Руководитель проекта «Техэксперт» в сфере цифровых технологий Александр Николаев коснулся проблем ориентации в постоянно меняющейся нормативной базе по обеспечению ИБ и ответственности за нарушение требований к защите КИИ. Спикер подчеркнул, что помимо перечисленных Александром Оводовым нормативных правовых актов существуют также нормативные технические документы в области ИБ — национальные и межгосударственные стандарты. Более 100 из них уже действуют, и процесс стандартизации активно продолжается. Как это часто бывает со стандартами, они, во‑первых, не систематизированы, а во‑вторых, не гармонизированы с существующими едиными системами ГОСТов в сфере информационных технологий (ЕСПД, ЕСТД и т. д.).

Рисунок 4. Ответственность за нарушение требований к защите КИИ

Разбираться в этом море неструктурированной нормативной информации можно, конечно, и самостоятельно, «вручную», но лучше использовать специализированные программные решения. В качестве примера таких решений можно привести профессиональную справочную систему «Техэксперт: Цифровые технологии», которая не только содержит исчерпывающий объем актуальных нормативных документов в области информационных технологий вообще и ИБ в частности, но и обладает встроенными инструментами анализа — например, автоматическим визуальным выделением различий в двух редакциях документа.

За вопросом «Что изменилось в регулировании?» часто следует вопрос: «Что это значит для нашего предприятия?» Как и с любыми другими бизнес-процессами, плотно регулируемыми законодательством, мало просто донести информацию до специалистов, нужно еще и имплементировать изменения. Здесь следует сочетать готовые методические материалы от экспертов (например, рекомендации по выполнению № 187-ФЗ из упомянутой системы) с внутренней аналитикой. Проверку внедрения новых требований стоит отдельно включить в план очередного аудита ИБ на предприятии.

Существуют две активно развивающиеся технологии: SMART-стандарты и промышленные онтологии. И те и другие в конечном итоге должны служить интеграции различных информационных и киберфизических систем и бесшовной передаче данных, а значит, повлияют и на подходы к обеспечению ИБ.

Аудит и мониторинг ИБ

О том, как обеспечивать информационную защиту не для галочки с помощью аудита и мониторинга ИБ, рассказала Маргарита Терехова, специалист по информационной безопасности «Астрал. Безопасность». Она подчеркнула, что риски ИБ не ограничиваются утечками, и выделила четыре направления, которым нужно уделять внимание:

• утечка информации;
• потеря и/или недоступность важных данных;
• нарушение целостности информации и/или важных данных;
• неправомочная эксплуатация информационных ресурсов.

Аудит ИБ — это процесс получения объективных качественных и количественных оценок текущего состояния ИБ организации в соответствии с определенными критериями и показателями. Он может быть как внутренним, проводимым для самоконтроля, так и внешним. Второй тип аудитов проводится независимыми экспертами, которым по условиям договоров предоставляется доступ к ресурсам организации. Как правило, внешний аудит дает более объективную оценку существующей системы управления ИБ.

Аудит ИБ можно разделить на три вида:

• Технический аудит. Подразумевает сбор информации об общем текущем уровне ИБ с точки зрения технологий и технических решений. Предполагает обязательный выезд специалиста для обследования и проведения интервьюирования персонала. Может включать в себя различные работы: аудит инфраструктуры локальной вычислительной сети, вычислительной инфраструктуры, действующих систем защиты информации и пр.
• Оценка реализации требований по защите информации. В ходе аудита определяются и классифицируются информационные системы, собираются и анализируются данные о расположении, составе, типе обрабатываемой информации, технических средствах, персонале, разработанных документах для каждой информационной системы. Работы могут проводиться с целью определения соответствия требованиям как конкретного НПА (например, № 187-ФЗ), так и всей совокупности действующих нормативных требований в области ИБ.
• Дополнительные услуги: обследования с целью импортозамещения оборудования, ПО или технических средств; разработка дорожной карты по импортозамещению построения системы защиты согласно целевой архитектуре в организации; пентесты (тестирование безопасности на проникновение, комплекс мер, которые имитируют реальную атаку на сеть или приложение).

М. Терехова объяснила слушателям разницу между аудитом (проверкой на соответствие) и пентестом (проверка на уязвимость в рамках определенного кейса / определенной цели), рассказала о методиках проведения пентеста (рис. 5), его этапах и результатах.

Рисунок 5. Методики проведения пентеста / анализа защищенности

Непрерывный мониторинг событий ИБ, происходящих в ИТ-инфраструктуре, и своевременное реагирование на возникающие инциденты позволяют обеспечить SOC (Security Operations Center — центр мониторинга безопасности). Такие центры чаще всего нужны субъектам КИИ, операторам персональных данных и любым частным организациям, для которых потеря контроля над своими информационными ресурсами или утечка данных могут стать критичными и привести к финансовым или репутационным потерям.

М. Терехова сделала обзор видов центров мониторинга и предоставляемых ими услуг, а также рассказала о возможных схемах подключения к аутсорсным SOС, если у организации нет возможности развернуть полноценный центр мониторинга на своих мощностях с набором штата сотрудников. Она отметила, что аутсорс по большей части снимает техническую и квалификационную нагрузку с предприятия, но все-таки подразумевает деятельное участие. По словам эксперта, многие заказчики считают, что услуга «под ключ» означает «вообще ничего не нужно делать», но если в момент инцидента ИБ некому будет принять меры на месте, то самый мощный мониторинг окажется бесполезным. Специалист, принимающий сигнал из центра мониторинга, должен быть достаточно квалифицирован, чтобы понимать, о какой угрозе идет речь, и иметь четкий протокол взаимодействия с этой угрозой.

Техрегулирование и международный опыт

Заместитель председателя технического комитета ТК‑МТК‑22 «Информационные технологии» Юрий Тимофеев рассказал о зарубежных органах по стандартизации, которые занимаются вопросами ИБ на международном (ISO, IEC, ITU, IETF, IEEE), региональном (CEN/CENELEC, ETSI, ECMA) и национальном (ANSI, NIST, DIN, BSI, JISK, KATS и др.) уровнях. Отдельно спикер остановился на работе совместного технического комитета ISO/IEC по информационным технологиям — JTC1 Information Technology и его подкомитета 27, работающего над вопросами ИБ (SC27 Information Security). В рамках SC27 действуют пять рабочих групп, которые дают представление об определенных международным сообществом важных направлениях стандартизации в сфере ИБ:

• менеджмент ИБ (WG1 — Information Security Management Systems);
• криптография и другие механизмы защиты информации (WG2 — Cryptography and Security Mechanisms);
• критерии оценки ИБ (WG3 — Security Evaluation, Testing and Specification);
• средства и сервисы безопасности (WG4 — Security Controls and Services);
• идентификация и защита персональных данных (WG5 — Identity Management and Privacy Technologies).

По мнению Ю. Тимофеева, по каждой новой горячей тематике создаются новые подкомитеты и рабочие группы, однако при разработке программ их деятельности помимо терминологических и общеметодических стандартов ощущается дефицит предложений по новым технологическим проектам.

Проблема усугубляется разностью в подходах даже к основным понятиям. Например, в США термин Cybersecurity в большей степени применяется при решении оргвопросов по реагированию на компьютерные инциденты, тогда как в подкомитетах IEC этот термин используется при обсуждении вопросов устойчивости критических вычислительных процессов. В то же время в ISO в работу запущены проекты с ключевым понятием Trustworthiness, используемым по отношению к предсказуемо корректному поведению автоматизированных систем, роботов искусственного интеллекта в целом.

Основные выводы

1. Законодательство в области ИБ становится всё строже, особенно по отношению к субъектам КИИ. Каждой организации, которая теоретически может оказаться субъектом КИИ или его контрагентом, следует регулярно проверять обновление № 187-ФЗ и его подзаконных актов.

2. Ужесточилось законодательство в области защиты персональных данных. Для защиты от утечек и других угроз ИБ необходимо, с одной стороны, автоматизировать направленные на соблюдение ИБ рабочие процессы рядовых сотрудников, а с другой — максимально облегчить технологию отчетности для ИБ-специалистов. И то и другое требует инвестиций, но без превращения человеческого фактора из негативного в позитивный безопасность всё равно обеспечить не удастся.

3. Работу с нормативными документами также нужно максимально автоматизировать — чтобы тратить больше интеллектуальных ресурсов не на механический мониторинг и анализ, а на принятие решений об имплементации изменений. Любую имплементацию также нужно проверять в ходе аудитов, а не пускать на самотек.

4. Аудит, как и мониторинг ИБ, можно вынести на аутсорс, но аутсорс не панацея. При использовании внешних мощностей для мониторинга ИБ-инцидентов на территории компании всегда должен быть специалист, который сможет принять сигнал и предпринять необходимые действия «на земле».

Резюме

В работе секции «Информационная безопасность на предприятии — 2025: нововведения, законодательство, надзор» приняли участие более 700 специалистов, которые активно задавали вопросы и включались в обсуждения. Пользу мероприятия отметили и спикеры. Модератор секции А. Оводов в завершение программы отметил, что изменение нормативного ландшафта требует выработки системного подхода к управлению ИБ, в т. ч. с точки зрения соответствия законодательству. А это значит, что посвященные изменениям нормативных требований в ИБ мероприятия в рамках Недели «Техэксперт» должны стать доброй традицией.

01.05.2025

---

448

Поделиться: