Безопасности добиваются методично

Федеральная служба технического экспортного контроля (ФСТЭК) разработала правила оценки защищенности госорганов и критически значимой инфраструктуры РФ (КИИ). Компании, объекты которой относятся к КИИ, должны будут по запросу ФСТЭК или пока по собственному регламенту представлять ведомству данные о защищенности своих объектов: результаты внутреннего контроля, опросов профильных сотрудников и т. д. Компании считают, что методика поможет им оценить свою защищенность, называя требования «простыми и понятными». Но эксперты полагают, что оценка может стать дополнительным поводом для проверок.

Выйти из полноэкранного режима

Развернуть на весь экран

“Ъ” ознакомился с методикой оценки состояния защиты информации госорганов и объектов критической информационной инфраструктуры (КИИ: банки, телеком-компании и т. д.), которую 6 мая опубликовала ФСТЭК.

Согласно тексту документа, оценка должна проводиться не реже чем раз в полгода. Организации будут собирать данные о состоянии своих объектов и направлять их регулятору не позднее 30 дней с определенного срока (его установит каждая компания во внутреннем регламенте) или запроса ФСТЭК. Внеочередная проверка пройдет в случае киберинцидента или значимых изменений в IT-инфраструктуре компании. Документ не устанавливает точной даты, с которой компаниям будет нужно представлять отчеты.

ФСТЭК приводит источники данных, из которых должны состоять отчеты компаний. Это результаты внутреннего контроля за обеспечением безопасности, госконтроля другими органами власти, результаты внешней оценки, документация на средства защиты, используемые компаниями, а также «результаты опроса сотрудников» о том, какие задачи они выполняют с теми или иными IT-системами и как те защищены. ФСТЭК не ответила “Ъ”.

Участники рынка рассчитывают, что документ поможет проводить и самостоятельную оценку текущего состояния защищенности. «Однако о ее точности можно будет сказать только спустя время работы в соответствии с методикой»,— подчеркивает вице-президент Ассоциации банков России Алексей Войлуков. В МТС говорят, что готовы следовать требованиям методики. В «Вымпелкоме» считают, что результаты оценки могут указать на явные проблемы, требующие немедленного устранения: «Это будет полезно для специалистов по безопасности, работающих с объектами КИИ».

По мнению замтехдиректора Innostage Данияра Исхакова, благодаря методике ФСТЭК компании смогут сфокусироваться на минимально необходимом уровне защиты: «Требования просты и понятны, что должно положительно сказаться на желании выполнять их реально, а не формально».

ФСТЭК следует общей мировой практике оценки зрелости компаний, в данном случае по кибербезопасности, объясняет бизнес-консультант Positive Technologies Алексей Лукацкий: «При этом не стоит ждать, что данный показатель напрямую будет зависеть и влиять на практический уровень кибербезопасности в организациях». Эксперт отмечает, что «даже если пока методика будет носить рекомендательный характер, то со временем может стать обязательной для всех субъектов КИИ».

Консультант департамента консалтинга и аудита «Информзащиты» Сергей Васильченко уточняет, что для установки обязательных требований будут необходимы дополнительные нормативные акты. Но даже сейчас, полагает он, «просто отписаться у компаний не получится, отчеты ожидаются не просто раз в полгода, а по запросу, и критерии оценки вполне конкретные».

Гендиректор облачного провайдера Nubes Василий Степаненко добавляет, что оценка по новой методике может дать ФСТЭК возможность формировать собственный план выездных проверок выполнения мер безопасности на объектах КИИ. Подобные мероприятия уже проводит ФСБ, подчеркивает он, проверяя деятельность по обнаружению, предупреждению и ликвидации кибератак и реагированию на них.

Татьяна Исакова, Юлия Пославская