В Москве прошла партнерская конференция «НОТА ДЕНЬ» отечественного вендора НОТА (Холдинг Т1), в рамках которой участники смогли познакомиться с экосистемой ИБ-продуктов НОТА КУПОЛ, узнать подробнее о возможностях входящих в нее инструментов в области информационной безопасности, а также обсудить актуальные вопросы реальной защиты объектов критической информационной инфраструктуры (КИИ). Если ранее задача по категорированию объектов КИИ возлагалась на владельца ИТ- системы, который опирался на рекомендации ФСТЭК России, теперь, согласно инициативе Минцифры, Правительство будет определять для каждой отрасли список типовых информационных систем, которые необходимо относить к значимым объектам КИИ, и устанавливать сроки их импортозамещения. Участники панельной дискуссии на мероприятии рассмотрели зрелость отечественных аналогов ИТ-систем в ряде отраслей и способ автоматизации категорирования объектов КИИ.

«Бумажная» безопасность и фактическая защищённость Несмотря на критику «бумажной» безопасности она остается обязательной для любого предприятия. Чтобы избежать компрометации данных компаниям необходимо опираться на собственный опыт и строить активную систему безопасности на базе современных программных средств. Каждая из сторон приводит весомые аргументы, но, как считает Фёдор Трифонов, руководитель отдела технического сопровождения продаж НОТА КУПОЛ, «бумажная» безопасность всегда будет идти бок о бок с реальной. Компании не обойтись без отчётных документов, которые она обязана предоставлять регулятору. Они отражают соответствие законодательным требованиям, которые сами по себе весьма разносторонни. Не стоит относиться с высокомерием к «бумажной» безопасности, поскольку соответствие требованиям необходимо для унификации проверок и оценки уровня защищенности.

Например, в банковской сфере организации подтверждают соответствие требованиям стандарта PCI DSS. Этот формат контроля актуален уже десятки лет. Реальная практика выстраивания ИБ внутри компаний По мнению Алексея Кубарева, директора по информационной безопасности Т1 Облако, деление на «бумажные» и иные мероприятия очень условное. «Если «бумажная» безопасность сводится лишь к формальному закрытию требований непроработанными типовыми документами, фактически это означает, что бизнес лишен реальной системы». В качестве примера спикер привёл приказ ФСТЭК России № 21, касающийся мер по обеспечению безопасности персональных данных при их обработке в информационных системах. Когда невозможна техническая реализация отдельных выбранных мер защиты, а также когда происходит внедрение новых информационных технологий и выявляются дополнительные угрозы безопасности для персональных данных, компании должны разрабатывать компенсирующие меры, направленные на нейтрализацию актуальных угроз. По мнению Алексея Кубарева, многое в бизнесе определяется оценкой размера потенциальных потерь, которые умножаются на их вероятность. «Как только меняются значимость персональных данных и размер потенциального ущерба в случае их компрометации, необходимо проводить переоценку рисков. Это целесообразно делать раз в два месяца. Новая оценка позволит обосновать, сколько потребуется реально потратить на совершенствование системы безопасности».

Роман Шапиро, руководитель департамента ИБ компании «Почта России», считает, что в каждом случае требуется индивидуальный подход. «Можно бесконечно рассуждать, что «бумажная» безопасность не позволяет закрыть все существующие риски. Но если соответствующий документ был оформлен своевременно, то это спасает компанию как минимум от наложения штрафа со стороны контролирующих органов в случае выявления факта компрометации.

Аналогичная ситуация складывается и вокруг высокой скорости изменения ИТ-ландшафта: с точки зрения безопасности определяющим фактором является скорость реагирования ИБ-подразделения на инциденты», — говорит Роман. Спикер отметил, что подходы небольших компаний до сих пор качественно отличаются от того, как действует крупный бизнес. «Небольшие компании не торопятся с внедрением систем ИБ. Их подход опирается на то, сталкивались ли они непосредственно с инцидентами или нет. Совершенно другие подходы демонстрируют крупные корпорации: они умеют считать, сколько денег приносит каждая программная система, способны оценивать затраты от простоя бизнеса, понимают влияние инцидентов на снижение производительности и репутации компании». Он убеждён, что нынешний уровень вовлечённости компаний в оценку ИБ-рисков (и, соответственно, степень их готовности ко внедрению программных ИБ-платформ) очень сильно зависит от уровня зрелости и понимания собственных возможностей по качественной реализации функций ИБ.

Необходимо учитывать ответственность за нарушения Ещё совсем недавно затраты на развитие систем безопасности внутри компаний рассматривались многими как малоэффективные расходы. Если возможности инвестиций были сильно ограничены, а фактические проверки со стороны регулятора отсутствовали или проходили формально, компании старались откладывать работы по ИБ на будущее. Как рассказал Алексей Кубарев (Т1 Облако), важное стимулирующее значение для принятия решений о необходимости внедрения систем безопасности имеет законодательство. Знание и учёт законов оказывают воздействие на планирование развития бизнеса. Наиболее важными были названы: Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»; статья 274.1 УК РФ, касающаяся неправомерного воздействия на критическую информационную инфраструктуру; законопроект № 502104-8 об увеличении штрафов за утечки персональных данных; законопроект № 502113-8 об уголовной ответственности за преступления в сфере персональных данных. В июне 2023 года, выступая на конференции ЦИПР-2023, премьер-министр РФ Михаил Мишустин дал распоряжение по привлечению индустриальных центров компетенций (ИЦК) к формированию перечней типовых решений, относящихся к КИИ. Тогда было определено, что списки будут составляться отдельно для каждой отрасли, а также будут установлены предельные сроки по замещению зарубежных продуктов отечественными решениями с учётом их готовности и зрелости. Напомним, что ИЦК появились в 2022 году в рамках первой фазы реализации профильной инициативы правительства РФ. Тогда в стране было создано 37 ИЦК и 13 центров компетенций по разработке ПО, деятельность которых координируют 18 отраслевых комитетов. Требования и реальность Согласно экспертным оценкам, за год до официального предельного срока лишь 7% компаний заявили о полной готовности и о завершении процесса категорирования объектов в своей инфраструктуре. 14% отметили, что находятся на завершающем этапе, 10% опрошенных компаний даже не приступали к делу, оставшиеся 69% сообщили, что процесс идёт, но далёк от финала. Что же делать? Все участники панельной дискуссии были единогласны в своей оценке: без автоматизации провести полное импортозамещение всего ПО в рамках выстроенных систем ИБ за оставшееся время невозможно. Главная причина — очень широкий перечень необходимых программных продуктов, на замещение которых потребуется время, а также отсутствие некоторых классов продуктов. В то же время, заказчики неодинаково оценивают значимость применяемых продуктов и выделяют элементы систем ИБ с разной приоритетностью внедрения. В топ востребованных ИБ-инструментов входят: межсетевые экраны, средства антивирусной защиты, элементы сетевого оборудования и средства криптографической защиты. Антон Марков выразил мнение, которое поддержали все участники дискуссии: «Ресурсы компаний всегда ограничены, поэтому эффективный процесс реализации требований регулятора к безопасности лучше строить на основе взаимного доверия. Речь идёт не о возврате к схеме выбора объектов КИИ путём самостоятельного категорирования, а о повышении доверия регулятора к игрокам рынка и их привлечению к определению списка объектов, которые относимых к значимым объектам КИИ». По словам спикера, хотя требования по категоризации обычно понятны на интуитивном уровне, учёт существующей инфраструктуры часто требует привлечения опытной команды, члены которой смогут рассказать, что следует делать конкретной компании и какие именно продукты потребуются. Поэтому необходима не просто программа для учёта активов, а полномасштабная помощь компаниям в реализации задачи импортозамещения с возможностью оценить полученные результаты и убедиться в их полноте перед отправкой в контролирующий орган.

Экосистема НОТА КУПОЛ В рамках конференции также была показана экосистема ИБ-продуктов НОТА КУПОЛ. Она была разработана российским мультипродуктовым вендором НОТА (входит в Холдинг Т1) в ответ на растущую потребность отечественного бизнеса в инструментах защиты корпоративной инфраструктуры. Как и в других программных продуктах вендора, портфель ИБ-решений аккумулировал экспертизу множества подразделений одного из крупнейших ИТ-игроков российского рынка, которая реализована на современном технологическом стеке с учетом актуальных регуляторных требований. Как отметил Антон Спирин, заместитель генерального директора по развитию бизнеса НОТА, требования в первую очередь касаются операторов КИИ, которые должны импортозаместить все свои решения к 2025 году. «Для них вопрос быстрого создания новых операционных решений, которые обеспечат их полную защищённость, один из самых важных. НОТА КУПОЛ — решение, которое можно внедрять уже сейчас и не подвергать себя рискам».