Федеральный закон № 187-ФЗ, принятый несколько лет назад, стал краеугольным камнем обеспечения безопасности критической информационной инфраструктуры страны. Но недавние инциденты показывают, что защита данных от кибератак требует огромных усилий и внимательности. Компаниям стоит задуматься о том, как достигнуть желаемого уровня защиты, и почему совместная работа бизнеса и государства критически важна, сообщает Дзен-канал "Системы безопасности".
Ключевые трудности при реализации закона
При рассмотрении требований закона № 187-ФЗ, компаниям зачастую сложно понять, относится ли их объект к критической информационной инфраструктуре (КИИ). Первая задача — это адекватно оценить свои активы. Неправильная категоризация приводит к рискам: либо избыточные меры защиты затягивают бюджет, либо недооценка угрозы влечёт санкции со стороны контролирующих органов.
Следующий этап сложности возникает, когда признаки КИИ все же обнаружены, но организация с трудом учитывает все её составляющие из-за сложной сетевой структуры и многочисленных систем. В таких случаях, особенно в энергетическом секторе, объекты могут находиться вдалеке друг от друга, что увеличивает риск оставления??? их части незащищенной.
Приоритет: соблюдение требований безопасности
Для решения этих проблем организациям важно внимательно относиться к своим объектам защиты. При нехватке внутренних ресурсов стоит обратиться к профессионалам, обладающим опытом в категоризации и предпроектных обследованиях. Также полезно изучить опыт соседних компаний с аналогичными объектами.
Важным аспектом является выстраивание взаимодействия между службами информационной безопасности (ИБ), IT-отделами и бизнесом. В зависимости от структуры компании, баланс сил может меняться: иногда ИБ контролирует IT, иногда наоборот. Ключевым моментом является осознание того, что исполнение законодательства обязательно, а нарушения могут повлечь серьезные последствия.
Совместная работа — залог успеха
Нет универсальных ответов на возникающие задачи, но есть один ключевой принцип: необходимо работать сообща. Служба ИБ отвечает за безопасные настройки, а IT — за стабильную работу инфраструктуры. Бизнес, в свою очередь, заинтересован в надежности всех процессов. Нахождение компромиссов на всех уровнях поможет достичь общих целей.
Прежде чем реализовывать требования закона, организации должны провести внутренний аудит систем: что используется, какие меры уже внедрены, а что нужно дополнительно сделать. Объединяя бизнес-процессы с информационными системами, можно вынести четкие выводы относительно наличия КИИ и определить дополнительные необходимые меры для соблюдения законодательства.
