Компания К2Тех опубликовала результаты совместного исследования ее подразделения К2 Кибербезопасность и аналитического портала Anti-Malware.ru под названием «Исследование готовности и реакции бизнеса к законодательным требованиям защиты КИИ», которое проводилось среди 100 представителей российских компаний из ключевых сегментов экономики с выручкой не менее 5 млрд руб. и в процессе которого изучалось готовность крупного российского бизнеса к защите своей критической информационной инфраструктуры (КИИ) в соответствии с требованиями регуляторов. Выяснилось, что даже среди крупных компаний 71% респондентов заявили, что столкнулись с различными сложностями при реализации требований закона №187-ФЗ «О безопасности КИИ РФ».
Критическая инфраструктура России
К категории субъектов КИИ относятся предприятия, нарушение работы которых может привести к выходу из строя транспортной инфраструктуры, сетей связи, государственных услуг, нанесению ущерба жизни и здоровью людей. Основная цель закона №187-ФЗ — защитить ИТ-системы госорганов, банков, промышленности, медицинских учреждений и других компаний от кибератак. Хотя закон был принят в 2018 году, 35% респондентов ещё находятся на старте реализации проекта. Только 7% компаний полностью завершили проекты по реализации его требований.
Активизация процесса исполнения требований этого закона произошла после принятия весной прошлого года указа Президента РФ №166, в котором содержалось требование с 1 января 2025 года использовать в объектах КИИ только отечественные средства защиты.
Однако в результате требований ускоренного внедрения отечественных средств защиты более 14% организаций были вынуждены поднять бюджет в 10 раз, а 44% респондентов кратно увеличить расходы на безопасность. К такому увеличению расходов в первую очередь приводила недооценка объема работ из-за недостаточно глубокого аудита, а также увеличение количества работ в силу технических особенностей инфраструктуры. Большинство респондентов (27%) назвали главной проблемой при реализации требований закона подбор и закупку отечественного ПО и оборудования. При этом 21% организаций (каждая пятая) признаются, что не успеют перейти к 2025 году на отечественные продукты на значимых объектах КИИ, согласно требований указа Президента №166. Вместе с тем, почти половина респондентов (48%) уверены в том, что российские продукты позволят закрыть требования закона.
«Несмотря на серьезные трудности, с которыми сталкивается бизнес, ситуация с обеспечением безопасности КИИ позитивная, – отметил на пресс-конференции, на которой были озвучены результаты исследования, директор по развитию бизнеса К2 Кибербезопасность Андрей Заикин. – По данным исследования, 90% субъектов КИИ приступили к реализации закона. Речь идет о десятках тысяч организаций. По нашему опыту, большое количество предприятий все ещё используют зарубежные решения в инфраструктуре значимых объектов защиты, в том числе средства защиты. При этом мы видим тренд, что российские вендоры сейчас получили большой драйвер роста в связи с освободившимися продуктовыми нишами, а также поддержку от государства. Компании развивают свои продукты, при этом используют передовые технологии, доступные на рынке».
Разъяснительная работа ФСТЭК
«Начать системную работу над исполнением требований 187-ФЗ организации во многом побудил Указ Президента РФ от 01.05.2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», в котором были указаны конкретные ответственные лица, – считает начальник отдела управления ФСТЭК России по Центральному федеральному округу Валентин Данилушкин. – ФСТЭК России с 2017 года ведёт планомерную разъяснительную работу, призванную облегчить субъектам КИИ понимание закона и приведение своей деятельности в соответствие с его требованиями. Мы постоянно организуем внутренние и выездные мероприятия, делаем адресные рассылки. На данный момент организации активно присылают нам документы с перечнями и сведениями об объектах КИИ. Мы прогнозируем дальнейшую активизацию субъектов КИИ по выполнению требований закона».
