На российской критической информационной инфраструктуре выявили 1100 нарушений

Москва. 18 ноября. INTERFAX.RU - Российские регуляторы и контрольные органы выявили более 1,1 тысячи нарушений в обеспечении безопасности объектов критической информационной инфраструктуры (КИИ), заявила начальник управления Федеральной службы по техническому и экспортному контролю (ФСТЭК) Елена Торбенко на SOC-Форуме.

"98% нарушений традиционно связаны с несоответствием фактического состава значимых объектов (ЗО) КИИ сведениям, включенным в реестр таких объектов", - сказала Торбенко.

Также к типовым нарушениям она отнесла отсутствие контроля за действиями подрядчиков, имеющих доступ к IT-инфраструктуре ЗО КИИ. Она отметила, что в 2026 году ожидается принятие ряда нормативных правовых актов, в которых, в частности, будет прописано выполнение подрядчиками требований, предъявляемых к владельцам ЗО КИИ. То есть на них будут распространяться нормы 187-ФЗ "О безопасности КИИ".

Представитель ФСТЭК указала также, что владельцы ЗО КИИ по-прежнему не занимаются вопросами поиска и устранения уязвимостей в программном обеспечении, используемом в ЗО КИИ.

"Уязвимости - наш бич, компании не занимаются их устранением, - возмущалась Торбенко. - По разным причинам, а компенсирующие меры, направленные на нивелирование угроз от уязвимостей, они не применяют".

Еще одним типовым нарушением Торбенко назвала отсутствие обновлений антивирусных баз и невыполнение парольных политик (в части сложности паролей и их регулярной смены - ИФ).

"Безопасники - физические тела, стремящиеся к покою, - подчеркнула представительница ФСТЭК. - Задача руководителей компаний - запинать специалистов по ИБ (информационной безопасности - ИФ) в части выполнения принятых в компаниях требований по антивирусной защите и парольной политике".

Особо Торбенко отметила невыполнение владельцами ЗО КИИ требований указа президента №250, запрещающего использование на значимых объектах КИИ средств защиты информации производства компаний из недружественных стран. Этот указ был принят в 2022 году, а срок его исполнения наступил 1 января 2025 года.

"Давайте говорить честно: с момент принятия указа прошло 3,5 года и было достаточно времени, чтобы решить, как его выполнить, - убеждена Торбенко. - В течение года не штрафовали за неисполнение этого указа, теперь органы прокуратуры указали, что мы поступали неправильно. Поэтому владельцам ЗО КИИ необходимо спланировать в ближайшее время исполнение указа №250".

В дальнейшем, по ее словам, за его нарушение будут возбуждать административные дела.

"Времени для игр - что не смогли сделать или не успели - уже не осталось", - добавила Торбенко.

В соответствии с 187-ФЗ, к субъектам КИИ относятся госорганы, российские юрлица и предприниматели, которым принадлежат информационные системы (ИС), интеллектуальные транспортные системы (ИТС) и автоматизированные системы управления (АСУ) в сфере здравоохранения, науки, транспорта, связи, энергетики, госрегистрации прав на недвижимость, в финсекторе, ТЭКе, атомной, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Установлено три категории значимости объектов КИИ. Для значимых объектов должны быть созданы системы обеспечения информбезопасности (СОИБ), удовлетворяющие определенным требованиям. Кроме того, с марта 2023 года были снижены границы ущерба бюджету, расцениваемого как значимый (в случае киберинцидентов на объектах КИИ). Также в перечень субъектов КИИ экономической сферы, помимо банков, включены финансовые организации, а к социально-значимым негативным последствиям сейчас относятся не только нарушения функционирования транспортной инфраструктуры, но и транспортных средств.

Для стимулирования соответствующих заказчиков в части перехода на использование российских IT и ИБ-решений президентом Владимиром Путиным были подписаны указы №166 и №250. Первый предусматривал перевод с 1 января 2025 года ЗО КИИ, принадлежащих госорганам и госкомпаниям, на использование российского ПО, а второй - перевод всех значимых объектов КИИ на использование российских средств информбезопасности.

По словам участников рынка, до недавнего времени владельцы объектов КИИ, на которых продолжает успешно использоваться иностранный софт, предпринимали различные ухищрения для выхода из-под действия названных указов. Речь идет, например, о занижении уровня значимости объектов КИИ, о "дроблении" информсистем и т.п.

ФСТЭК сейчас готовит проекты нормативных правовых актов, которыми правительство утвердит перечни типовых ЗО КИИ для различных отраслей.

Летом 2025 года Минцифры, Минпромторгу, Российскому фонду развития информационных технологий (РФРИТ) было поручено при участии индустриальных центров компетенции (ИЦК) подготовить предложения по приоритетному импортозамещению программного обеспечения ЗО КИИ. В частности, министерства и РФРИТ должны разработать методику по определению приоритетных направлений замещения зарубежных отраслевых решений на российские аналоги для каждой отрасли. На основании этой методики отраслевым комитетам по замещению зарубежных цифровых решений предстоит сделать предложения по формированию отраслевых IT-ландшафтов. При этом для каждой из отраслей должны быть установлены типовые объекты КИИ и сроки их перехода на отечественное ПО.