Регулирование КИИ и эффективные инструменты для ее защиты
Безопасность информационных систем отдельных предприятий или промышленных объектов имеет критически важное значение как для экономики, так и для всего государства. Именно поэтому такие объекты получили специальный статус — объекты КИИ. К таким объектам могут относиться промышленные предприятия, атомные электростанции, финансовые учреждения, объекты сфер здравоохранения, науки, связи, транспорта и прочие.
Предприятия, входящие в критическую информационную инфраструктуру, являются объектами особого регулирования и пристального внимания со стороны государства. Следовательно, возрастает и степень ответственности для компаний, попавших в категорию КИИ. Требования к защите КИИ устанавливаются Федеральным законом № 187 «О безопасности критической информационной инфраструктуры Российской Федерации» и приказами ФСТЭК и ФСБ во исполнение этого закона. Наибольшее внимание отрасли в последние годы приковано к приказам ФСТЭК России № 239 и № 235.
«В случае если компания подпадает под законодательство о КИИ, у нее возникают дополнительные требования к информационной безопасности. Во-первых, она должна категоризироваться в соответствии с правилами, описанными в постановлении правительства РФ № 127. Во-вторых, возникает дополнительная ответственность перед государством в виде штрафов, а также персональная ответственность людей, которые отвечают за информационную безопасность в организации. Какие-то организации могут пытаться избежать категоризации в качестве КИИ. Но отсутствие такой категоризации, если компания действительно подпадает под требования, чревато последствиями с точки зрения законодательства», — объясняет директор по маркетингу «Лаборатории Касперского» Джабраил Матиев.
Далеко не все специалисты в области кибербезопасности разбираются в юридических тонкостях регулирования и многочисленных требованиях, которые налагаются на системы КИИ. Чтобы упростить специалистам по информационной безопасности эту задачу, в «Лаборатории Касперского» создали интерактивную базу знаний — Регуляторный хаб знаний в области информационной безопасности. На одной платформе собраны нормативные документы, необходимые для бизнеса в различных отраслях, практические ИБ-советы и технологические решения, подходящие для компаний разных масштабов и направлений деятельности.
«Мы наработали экспертизу во всех ключевых отраслях и используем ее для того, чтобы помогать организациям бороться с угрозами, специфичными для их индустрии. Например, промышленным предприятиям мы предлагаем потоки данных об угрозах, нацеленных именно на промышленные системы. В финансовой отрасли мы предлагаем директорам по безопасности специализированные отчеты об угрозах, нацеленных на финансовый сектор. Обладая обширным опытом в области защиты различных индустрий, мы предлагаем решения и сервисы, которые позволяют обеспечить как реальную эффективную защиту, так и соответствие требованиям к КИИ», — рассказал Джабраил Матиев.
О том, почему госпредприятия и другие организации переходят на российские решения в сфере информационной безопасности, читайте в следующем материале.
