Принятый давно федеральный закон № 187-ФЗ продолжает оставаться краеугольным камнем для обеспечения защиты критически важной информационной инфраструктуры в России. Актуальные проблемы, с которыми сталкиваются вещи в сфере кибербезопасности, показывают, что несмотря на достигнутые успехи, полная защита данных от хакеров остается ребусом, решение которого требует совместных усилий бизнеса и государства.
Поиск объектов критической инфраструктуры
Первым шагом в реализации требований закона становится понимание, какие активы относятся к критической информационной инфраструктуре (КИИ). Часто компании, не имея опыта, ошибочно исключают некоторые объекты из списков критически важных. Процесс категоризации может оказаться непростым, и в результате организации могут получить штрафы за недобросовестность или, наоборот, перерасходовать бюджет на непредусмотренные меры защиты.
Анализ инфраструктуры важен, особенно в больших компаниях, где объекты КИИ могут находиться на значительном расстоянии друг от друга. Неполное понимание архитектуры системы может привести к оставлению без защиты некоторых из них, что ставит под угрозу всю цепочку.
Важность соблюдения требований информационной безопасности
Сложности ресурсов могут быть преодолены, если компании отнесутся к защите серьезно и примут опыт сторонних специалистов. Привлечение экспертов по категоризации может стать ключевым фактором успеха в адаптации к требованиям подзаконных актов. При этом важно выстраивать диалог между службой информационной безопасности, ИТ-отделом и бизнесом. Каждая из сторон должна понимать свои цели и быть готовой к компромиссам ради общей безопасности компании.
Реализация норм закона 187-ФЗ подразумевает следующее:
- Проведение внутреннего аудита информационных систем для выявления всех активов.
- Формирование четкого понимания взаимосвязи между бизнес-процессами и используемыми системами.
Специфика разных отраслей
Хоть требования закона едины для всех секторов, специфика их реализации заметна в ключевых отраслях: энергетике, транспорте и здравоохранении. В энергетике защитные меры связаны с добычей и передачей энергии. В здравоохранении акцент делается на защите данных пациентов и медицинских систем. Хотя перечисленные отрасли отличаются, требования к их защите остаются высокими и четкими.
Ключевой вызов заключается в управлении уязвимостями, включая регулярное обновление программного обеспечения и контроль прав доступа. Также значима организация процесса резервного копирования данных. Разработка централизованной команды для общения с регуляторами позволит избежать недоразумений и повысить эффективность взаимодействия.
Таким образом, успешная реализация закона о кибербезопасности требует от компаний не только осознания своих обязанностей, но и активного участия в процессе обмена информацией для улучшения общей защищенности и предотвращения потенциальных атак.
