Осталось меньше года до окончания срока реализации требований по защите объектов критической инфраструктуры

В современных условиях кибербезопасность становится одним из ключевых факторов обеспечения стабильной работы предприятий. В связи с этим выполнение требований законодательства по защите критической информационной инфраструктуры (КИИ) приобретает первостепенное значение.

Напоминаем, что в соответствии с Федеральным законом № 187-ФЗ от 26 июля 2017 года “О безопасности критической информационной инфраструктуры Российской Федерации”, Указом Президента РФ № 250 от 1 мая 2022 года, а также Постановлением Правительства РФ № 127 от 8 февраля 2018 года, организации, владеющие объектами КИИ, обязаны привести их в соответствие с установленными нормами безопасности.

Срок выполнения всех требований установлен до конца 2025 года. Несоблюдение нормативов может повлечь серьезные последствия, в том числе уголовную и административную ответственность.

Согласно Федеральному закону № 194-ФЗ:

· Невыполнение требований безопасности КИИ при тяжких последствиях грозит лишением свободы до 10 лет.

· Нарушение правил эксплуатации объектов КИИ — до 6 лет лишения свободы.

· Невыполнение предписаний регуляторов — административный штраф до 20 000 рублей.

Важность своевременной реализации мер усиливается реальной статистикой угроз:

· По данным НКЦКИ, в 2023 году около 16% атак на КИИ были связаны с DDoS-атаками.

· Высокий уровень угроз представляют уязвимости на периметре, использование вредоносного ПО (особенно шифровальщиков), а также атаки с применением методов социальной инженерии и фишинга .

Основные этапы выполнения требований по защите КИИ:

1. Классификация объектов КИИ

Обязательно проведение категорирования и постановка значимых объектов на учет в ФСТЭК России.

2. Разработка и внедрение системы защиты информации

Обязательна защита с использованием сертифицированных отечественных средств. Презентация отмечает критически важные компоненты защиты: SIEM-системы, системы реагирования SOAR/IRP, системы мониторинга трафика, межсетевые экраны NGFW и DLP-системы .

3. Организация мониторинга киберугроз

Нужно не только создать внутренние подразделения ИБ или привлечь аккредитованных специалистов, но и обеспечить взаимодействие с НКЦКИ.

4. Внедрение системы контроля и управления доступом

Эффективные решения включают:

· Многофакторную аутентификацию (MFA).

· Системы централизованного управления учетными записями и правами доступа (IAM/IGA) .

5. Подготовка отчетной документации

Комплексная отчетность необходима для взаимодействия с регуляторами (ФСТЭК, ФСБ, НКЦКИ), включая:

· Акты обследования объектов.

· Модели угроз.

· Технические задания и проекты подсистем безопасности .

Импортозамещение на объектах КИИ:

К 1 января 2025 года субъекты КИИ должны были перейти на отечественное ПО. Однако, как показал опрос:

· Только 48% уже полностью перешли.

· 23% в процессе перехода.

· 7% планируют успеть к сроку.

· 20% отмечают высокие сложности перехода из-за незрелости решений или высокой стоимости миграции .

Практические рекомендации для ускорения внедрения защиты КИИ:

· Пилотные проекты совместно с отечественными вендорами.

· Раннее обучение персонала.

· Организация технологических окон для внедрения решений без риска для основной деятельности.

· Проработка индивидуальных конфигураций безопасности для АСУ ТП .

Если ваше предприятие еще не соответствует требованиям законодательства, важно действовать незамедлительно!

Наша компания “Комплексные Коммуникации” предлагает полный комплекс услуг:

· Аудит защиты объектов КИИ.

· Разработку и внедрение системы защиты “под ключ”.

· Сопровождение в процессе категорирования, внедрения средств защиты и аттестации.

Свяжитесь с нами для консультации – мы поможем вам обеспечить надежную защиту и полное соответствие нормативным требованиям!