Елена Торбенко, зам. начальника управления ФСТЭК России, во время своего выступления на SOC-Форуме 2021 затронула тему реализации требований федерального закона «о КИИ» по результатам выполненного государственного контроля.
Она заявила, что диджитализация процессов позволяет как увеличить эффективность бизнес-процессов организации, так и повысить возможности по нарушениям в штатных информационных системах компаний.
«На данный момент, согласно законодательству, уже наступило время, когда ФСТЭК России посетила некоторые субъекты КИИ с госконтролем. Сегодня можно сказать о трендах, которые сформировались по результатам проведённого контроля, о часто совершаемых предприятиями ошибках», – отметила Торбенко.
По словам Елены Торбенко, её ведомство проводит проверку выполнения требований регламента категорирования систем. Во время этих проверочных мероприятий сотрудники ФСТЭК России обнаружили несколько стандартных проблем.
Прежде всего, это невыполнение предприятием порядка категорирования. Также проверяемые организации часто предоставляли информацию, которая не соответствовала реальному положению вещей на объекте КИИ, а также «забывали» о некоторых системах, что могло стать причиной нанесения бизнес-процессам серьёзного ущерба.
Представитель ФСТЭК России подчеркнула, что систем обеспечения безопасности – это документация, люди и технические меры обеспечения безопасности, рассматриваемые во время госконтроля.
«Если говорить о людях, то на проверенных объектах КИИ мы наблюдали нехватку персонала, отвечающего за соблюдение безопасности. Я уже не один раз говорила о том, что не способен один или всего несколько человек контролировать сразу несколько зданий и помещений, расположенных на 4-5 гектарах территории предприятия, эффективно и адекватно при этом обеспечивая безопасности. Физически это сделать невозможно.
Например, у предприятия, согласно документации, есть штат в 10 человек, но по факту в направлении обеспечения безопасности работает один-два сотрудника. Помимо этого, даже эти специалисты могут иметь недостаточную подготовку. Те организации, которые мы проверяли в 2021 году, выполняли все предписанные требования. Но во время общения с субъектами КИИ можно видеть, что некоторые из них до сих пор не позаботились о том, чтобы работать с обученными и подготовленными людьми», – резюмировала Елена Торбенко.
CISO CLUB — информационный партнёр SOC-Форума 2021.