С 2026 г. Федеральная служба по техническому и экспортному контролю
(ФСТЭК) России будет предъявлять подрядчикам значимых объектов критической
информационной инфраструктуры (ЗО КИИ) требования по обеспечению информационной
безопасности (ИБ). О подготовке соответствующего законопроекта рассказала
начальник управления ФСТЭК Елена Торбенко 18 ноября на SOC форуме, пишут
«Ведомости». По ее словам, которые приводит газета,
отсутствие контроля за действиями организаций-подрядчиков стало для рынка
проблемой. Если в договоре не прописаны обязанности, ответственность, а
организация-подрядчик не ознакомлена с внутренней документацией
компании-заказчика, то требования по безопасности выполняться не будут,
подчеркивает она.
«Мы надеемся, что в рамках тех поручений, которые уже имеются, в следующем
году в законодательстве появятся обязанности по выполнению подрядчиками ЗО КИИ
требования по обеспечению безопасности и вам будет проще включать это в
договора», – заявила Торбенко.
Субъекты КИИ – это конкретные юрлица, как правило, органы власти,
госкомпании и компании с госучастием. Они определяют в эксплуатируемых
информсистемах значимые объекты КИИ. Анализ инфраструктуры базируется на законе
о КИИ, последние дополнения в который были внесены в апреле 2025 г.
Отнесение объектов к ЗО КИИ должно опираться на отраслевые перечни типовых
объектов КИИ, которые утверждают отраслевые ведомства.
С начала 2025 г. прирост объема рассмотренных ФСТЭК сведений об
объектах КИИ увеличился более чем на 35%, следует из презентации Торбенко. В то
же время было направлено более 2000 требований о выполнении законодательства в
области безопасности КИИ, а также обеспечена актуализация сведений о более чем
5000 объектах КИИ, указано там.
Торбенко также рассказала, что за 10 месяцев 2025 г. ФСТЭК проверила
более 700 объектов ЗО КИИ и выявила 1100 нарушений требований законодательства
в части оценки обеспечения безопасности. По ее словам, все выявленные за это
время нарушения типовые: «Когда готовилась, пыталась понять, а что же у нас
нового? Да ничего нового. Ответить на вопрос, почему они не выполняются, я не
могу».
Торбенко отметила, что помимо контроля за подрядчиками среди нарушений было
выявлено фактическое несоответствие состава значимых объектов КИИ сведениям,
включенным в реестр ЗО КИИ: «В 98% случаев государственного контроля
административные дела возбуждаются по статье 19.7.15 – несоответствие
требованиям ЗО КИИ».
Причина массового и повторяющегося характера нарушения безопасности объектов
КИИ кроется в его системной и организационной природе, а не в технической
сложности, считают опрошенные «Ведомостями» эксперты. Повторяемые из года в год
причины несоответствия состава ЗО КИИ данным реестра могут быть разными – от
слишком быстрых изменений в инфраструктуре компании до неполного понимания, что
является значимым, а что нет, поясняют они. Компании зачастую воспринимают
соблюдение требований по КИИ как бюрократическую формальность, а не как часть
бизнес-процесса, сетуют эксперты. Кроме того, продолжают он, субъекты КИИ могут
не до конца осознавать, что некорректный реестр напрямую влияет на
эффективность всей системы защиты.
Одним из самых актуальных нарушений Торбенко сочла применение средств защиты
информации (СЗИ) из недружественных стран, несмотря на указ президента
№ 250 от 2022 г., согласно которому с 1 января 2025 г. вводится
запрет на использование ПО и «железа» из недружественных стран. Начальник
управления ФСТЭК отметила, что такое требование появилось из-за ухода
большинства производителей таких средств из России, в результате чего системы
остались незащищенными.
«В течение этого года мы не штрафовали за это, не выписывали штрафы, –
рассказала Торбенко. – Мы только говорили, что вам нужно спланировать
соответствующую замену. С мая 2022 г. прошло три с половиной года.
Задуматься о том, как это реализовать, уже можно было». Она добавила, что
теперь за выявленные нарушения будут составляться протоколы и приниматься
решения об административной ответственности должностных или юридических
лиц.
Также среди выявленных нарушений Торбенко выделила систематическое
неустранение найденных уязвимостей, отсутствие обновлений антивирусных баз и
компенсирующих мер, обеспечивающих блокирование угроз безопасности информации.
Она упомянула и выход в интернет в корпоративных сетях без реализованных мер
обеспечения безопасности.
Требование по обеспечению высокого уровня кибербезопасности для подрядчиков
ЗО КИИ – логичное развитие закона 187−ФЗ, которое призвано закрыть один из
ключевых каналов кибератак, считают эксперты. Скорее всего, новые нормы обяжут
подрядчиков, работающих с ЗО КИИ, соблюдать те же профильные приказы ФСТЭК, что
выданы для субъектов КИИ, предполагают они. В частности, придется создать
систему безопасности ЗО КИИ, установить конкретные технические и
организационные меры защиты (это идентификация и аутентификация, управление
доступом, антивирусная защита, обнаружение вторжений, реагирование на инциденты
и др.) в зависимости от категории значимости объекта, говорят эксперты.