187-ФЗ: безопасность критической инфраструктуры как отдельная повестка

В июле 2017 года Государственная дума приняла федеральный закон № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации". Закон ещё не вступил в полную силу, подзаконные акты продолжают формироваться, но направление уже очевидно. Для компаний реального сектора - энергетики, транспорта, телекоммуникаций, финансов, здравоохранения, промышленности - это не очередное регуляторное упражнение. Это качественно другой разговор об ответственности за безопасность инфраструктуры.

Я хочу объяснить, почему этот закон стоит воспринимать серьёзно даже тем, кто привык воспринимать ИБ-регулирование как бумажную работу.

Что такое КИИ и кого это касается

Критическая информационная инфраструктура - это информационные системы и сети, нарушение или прекращение работы которых может повлечь тяжкие последствия. Закон относит к субъектам КИИ организации в ряде отраслей: здравоохранение, наука, транспорт, связь, энергетика, банки и финансовый рынок, топливно-энергетический комплекс, атомная промышленность, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая.

Важный момент: отнесение к субъектам КИИ не зависит от размера компании. Небольшое региональное предприятие в одной из этих отраслей может оказаться субъектом КИИ, если его информационные системы напрямую задействованы в отраслевом процессе.

Следующий шаг после отнесения к субъектам - категорирование объектов КИИ. Это процесс оценки того, насколько критичен каждый конкретный объект - по социальным, политическим, экономическим последствиям возможного инцидента. Результат - присвоение одной из трёх категорий значимости или заключение о том, что объект не является значимым.

Почему это другой разговор, не просто ещё один стандарт

Большинство требований по ИБ, с которыми компании сталкивались до сих пор, касались защиты данных: персональных данных, платёжной информации, корпоративных секретов. Логика была такова: данные утекли - плохо, но в основном это репутационный и финансовый ущерб.

187-ФЗ переключает фокус на функциональность инфраструктуры. Атака на промышленную систему управления, на энергетическую систему, на транспортную сеть - это уже не история об утечке данных. Это история о том, что может остановиться производство, прекратиться подача электроэнергии, нарушиться транспортный поток. Последствия другого порядка.

Именно поэтому закон предусматривает обязательное подключение к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и выстраивание взаимодействия с ФСБ. Это выходит за рамки того, чем занимается внутренняя служба ИБ большинства компаний.

Что реально нужно сделать в ближайшее время

Подзаконные акты, устанавливающие конкретные требования и сроки, ещё формируются. Но уже сейчас есть шаги, которые имеет смысл сделать вне зависимости от финального текста регуляторики.

Первое - провести инвентаризацию. Какие информационные системы и сети в компании задействованы в производственных или отраслевых процессах? Это не только корпоративная ИТ-инфраструктура. Сюда входят АСУ ТП, системы телеметрии и мониторинга, системы управления технологическими процессами, диспетчерские системы.

Второе - понять реальную топологию. Насколько эти системы изолированы от внешних сетей? Как они взаимодействуют с корпоративной ИТ-инфраструктурой? Это нередко обнаруживает неожиданные связи: промышленная сеть, которая считалась изолированной, оказывается имеющей точки соприкосновения с корпоративной через VPN для удалённого обслуживания.

Третье - оценить зрелость процессов безопасности именно для этих систем. У АСУ ТП и промышленных систем управления своя специфика: там часто стоит оборудование с многолетними циклами обновления, с нестандартными протоколами, с требованием непрерывной работы. Стандартные корпоративные практики ИБ там применимы лишь частично.

Вопросы, которые стоит задать себе сейчас

Если ваша компания работает в одной из отраслей, перечисленных в законе:

1. Мы уже провели первичную классификацию - попадаем ли мы под определение субъекта КИИ?
2. Есть ли у нас инвентаризация всех систем, которые задействованы в производственных процессах, включая промышленные?
3. Кто в компании отвечает за безопасность именно промышленных и технологических систем - не только корпоративного ИТ?
4. Насколько наша служба ИБ знакома со спецификой АСУ ТП и промышленных сетей?
5. Есть ли у нас план на случай компьютерного инцидента именно в производственной инфраструктуре?

Закон создаёт новую повестку. Компании, которые начнут работу по этим вопросам сейчас, окажутся в лучшей позиции - как с точки зрения соответствия требованиям, так и с точки зрения реальной защищённости.