Начнем с простого теста: кто относится к субъектам критической информационной инфраструктуры (КИИ) в России?
- Школы
- Поликлиники
- Банки
- Транспортные компании
Правильный ответ — все.
Согласно определению Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», субъект КИИ – это государственный орган, государственное учреждение, российское юридическое лицо и (или) индивидуальный предприниматель, которому на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере:
- здравоохранения;
- науки;
- транспорта;
- связи;
- банковской сфере и иных сферах финансового рынка;
- топливно-энергетического комплекса;
- оборонной промышленности;
- ракетно-космической промышленности;
- горнодобывающей промышленности;
- металлургической промышленности;
- химической промышленности.
Указом президента РФ №250 от 1 мая 2022 г. организации, относящиеся к субъектам КИИ, обязаны перевести все свои критические бизнес-процессы на отечественное ПО, аккредитованное ФСТЭК к 1 января 2025 г. В первую очередь это относится к автоматизированным системам управления (АСУ), информационным системам (ИС) и информационно-телекоммуникационных систем (ИТС).
Как показывает наш опыт общения с частными образовательными и медицинскими учреждениями, далеко не все субъекты КИИ знают о том, что они включены в этот перечень и им срочно надо категоризировать и заменять используемые системы. Если верить статистике, собранной «К2 кибербезопасность», больше половины (59%) средних и крупных компаний с критической информационной инфраструктурой (КИИ) не успеют полностью перейти на отечественные решения до начала 2025 г. Напомним, никаких данных о переносах крайних сроков по КИИ не было.
Что же делать, если вы в этих 59%?
- Пытаться оспорить статус субъекта КИИ
- Верить в перенос дедлайна
- Начать импортозамещение объектов КИИ с решений информационной безопасности
В первую очередь нужно определить, что в вашем конкретном случае относится к объектам КИИ. Это программные и аппаратные средства, перебои которых могут привести к негативным экономическим и социальным последствиям, опасности для жизни людей.
Допустим, вы выделили бюджет на исполнение указа №250, но долгое время откладывали процесс импортозамещения. Тогда советуем начать с защиты конфиденциальных данных от утечек и неправомерного использования.
Во-первых, эта задача охватывает критические бизнес-процессы всех отделов: хранение персональных данных сотрудников, режимы секретности и распределение доступов, регистрация и обработка входящей корреспонденции, переписка по корпоративной почте и т.д.
Во-вторых, нелегальный доступ к документам грозит серьезными экономическими и юридическими последствиями.
В-третьих, средства защиты от несанкционированного доступа (CЗИ от НСД) требуют меньше времени на внедрение, нежели CRM, АСУ или ИТС.
Один из лидеров рынка по числу проданных лицензий в сфере защиты конфиденциальной информации — российский разработчик ООО «Протекшен Технолоджи», лучше известный под лейблом StarForce.
Продукты линейки StarForce позволяют:
- обеспечить контроль доступа к информации за пределами периметра организации. Документы, электронные письма, корпоративный мультимедийный контент, переданный посторонним получателям случайно или преднамеренно, не будет доступен для просмотра и распространения третьим лицам;
- защитить исходный код и бинарные файлы корпоративных приложений от реверс-инжиниринга и исследования злоумышленниками, предупреждая обнаружение и эксплуатацию уязвимостей.
Основные пользователи решений StarForce — субъекты КИИ: банки, промышленные предприятия, объекты топливно-энергетического комплекса и транспорта, образовательные и научные учреждения, предприятия по разработке программных решений. Например, РЖД, 1С, Mail.ru, Аэрофлот.
Для крупных корпоративных клиентов и предприятий госсектора мы особенно рекомендуем StarForce Content Enterprise — продвинутое решение для комплексной защиты информации с системой расследования утечек.
StarForce Content Enterprise (SFCE) призвано защищать электронные документы от утечек, чтобы не позволить злоумышленникам получить доступ к конфиденциальной информации.
Решение сертифицировано ФСТЭК по УД-4 для защиту информации ГИС 1 класса, АСУ ТП1, на объектах КИИ 1 категории, а также для обеспечения безопасности персональных данных 1 класса. Его можно использовать как альтернативу Oracle IRM, Microsoft Azure RM и SAP OTD в части распределения прав доступа пользователей к документам (в том числе и для служебного пользования).
Другое важное преимущество для российских реалий — SFCE одинаково хорошо работает как на Windows, так и на всех основных версиях Linux. Также решение имеет серверную и облачную версии. Поэтому для внедрения не потребуются масштабные закупки нового железа.
Кроме того, в стандартной комплектации без доработок под заказчика внедрение SFCE займет всего 2 дня. Не придется выделять месяцы на обучение сотен сотрудников новым интерфейсам и программам. Рядовые пользователи почти не заметят изменений в работе с электронными документами. Достаточно обучить нескольких ответственных лиц, которые будут управлять доступами и отслеживать подозрительную активность.
Безусловно, внедрение ПО для защиты конфиденциальной информации станет всего лишь первым шагом на пути импортозамещения и исполнения Федерального закона №187-ФЗ. Однако важно, чтобы этот первый шаг заложил основу безопасности информационных систем и бизнес-процессов организации.