Начнем с простого теста: кто относится к субъектам критической информационной инфраструктуры (КИИ) в России?

  1. Школы
  2. Поликлиники
  3. Банки
  4. Транспортные компании

Правильный ответ — все.

Согласно определению Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», субъект КИИ – это государственный орган, государственное учреждение, российское юридическое лицо и (или) индивидуальный предприниматель, которому на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере:

  • здравоохранения;
  • науки;
  • транспорта;
  • связи;
  • банковской сфере и иных сферах финансового рынка;
  • топливно-энергетического комплекса;
  • оборонной промышленности;
  • ракетно-космической промышленности;
  • горнодобывающей промышленности;
  • металлургической промышленности;
  • химической промышленности.

Указом президента РФ №250 от 1 мая 2022 г. организации, относящиеся к субъектам КИИ, обязаны перевести все свои критические бизнес-процессы на отечественное ПО, аккредитованное ФСТЭК к 1 января 2025 г. В первую очередь это относится к автоматизированным системам управления (АСУ), информационным системам (ИС) и информационно-телекоммуникационных систем (ИТС).

Как показывает наш опыт общения с частными образовательными и медицинскими учреждениями, далеко не все субъекты КИИ знают о том, что они включены в этот перечень и им срочно надо категоризировать и заменять используемые системы. Если верить статистике, собранной «К2 кибербезопасность», больше половины (59%) средних и крупных компаний с критической информационной инфраструктурой (КИИ) не успеют полностью перейти на отечественные решения до начала 2025 г. Напомним, никаких данных о переносах крайних сроков по КИИ не было.

Что же делать, если вы в этих 59%?

  • Пытаться оспорить статус субъекта КИИ
  • Верить в перенос дедлайна
  • Начать импортозамещение объектов КИИ с решений информационной безопасности

В первую очередь нужно определить, что в вашем конкретном случае относится к объектам КИИ. Это программные и аппаратные средства, перебои которых могут привести к негативным экономическим и социальным последствиям, опасности для жизни людей.

Допустим, вы выделили бюджет на исполнение указа №250, но долгое время откладывали процесс импортозамещения. Тогда советуем начать с защиты конфиденциальных данных от утечек и неправомерного использования.

Во-первых, эта задача охватывает критические бизнес-процессы всех отделов: хранение персональных данных сотрудников, режимы секретности и распределение доступов, регистрация и обработка входящей корреспонденции, переписка по корпоративной почте и т.д.

Во-вторых, нелегальный доступ к документам грозит серьезными экономическими и юридическими последствиями.

В-третьих, средства защиты от несанкционированного доступа (CЗИ от НСД) требуют меньше времени на внедрение, нежели CRM, АСУ или ИТС.

Один из лидеров рынка по числу проданных лицензий в сфере защиты конфиденциальной информации — российский разработчик ООО «Протекшен Технолоджи», лучше известный под лейблом StarForce.

Продукты линейки StarForce позволяют:

  • обеспечить контроль доступа к информации за пределами периметра организации. Документы, электронные письма, корпоративный мультимедийный контент, переданный посторонним получателям случайно или преднамеренно, не будет доступен для просмотра и распространения третьим лицам;
  • защитить исходный код и бинарные файлы корпоративных приложений от реверс-инжиниринга и исследования злоумышленниками, предупреждая обнаружение и эксплуатацию уязвимостей.

Основные пользователи решений StarForce — субъекты КИИ: банки, промышленные предприятия, объекты топливно-энергетического комплекса и транспорта, образовательные и научные учреждения, предприятия по разработке программных решений. Например, РЖД, 1С, Mail.ru, Аэрофлот.

Для крупных корпоративных клиентов и предприятий госсектора мы особенно рекомендуем StarForce Content Enterprise — продвинутое решение для комплексной защиты информации с системой расследования утечек.

StarForce Content Enterprise (SFCE) призвано защищать электронные документы от утечек, чтобы не позволить злоумышленникам получить доступ к конфиденциальной информации.

Решение сертифицировано ФСТЭК по УД-4 для защиту информации ГИС 1 класса, АСУ ТП1, на объектах КИИ 1 категории, а также для обеспечения безопасности персональных данных 1 класса. Его можно использовать как альтернативу Oracle IRM, Microsoft Azure RM и SAP OTD в части распределения прав доступа пользователей к документам (в том числе и для служебного пользования).

Другое важное преимущество для российских реалий — SFCE одинаково хорошо работает как на Windows, так и на всех основных версиях Linux. Также решение имеет серверную и облачную версии. Поэтому для внедрения не потребуются масштабные закупки нового железа.

Кроме того, в стандартной комплектации без доработок под заказчика внедрение SFCE займет всего 2 дня. Не придется выделять месяцы на обучение сотен сотрудников новым интерфейсам и программам. Рядовые пользователи почти не заметят изменений в работе с электронными документами. Достаточно обучить нескольких ответственных лиц, которые будут управлять доступами и отслеживать подозрительную активность.

Безусловно, внедрение ПО для защиты конфиденциальной информации станет всего лишь первым шагом на пути импортозамещения и исполнения Федерального закона №187-ФЗ. Однако важно, чтобы этот первый шаг заложил основу безопасности информационных систем и бизнес-процессов организации.