Госорганы, госкорпорации, банки, сотовых операторов и другие компании, обладающие критически важной информационной инфраструктурой (КИИ), могут обязать проводить анализ киберзащищенности своих сетей. Методику разрабатывает Федеральная служба технического экспортного контроля (ФСТЭК). Компании будут оцениваться по уровню защиты данных, скорости реагирования на инциденты и осведомленности сотрудников о киберрисках. Инициатива вряд ли повысит защищенность, полагают эксперты, но поможет планировать закупки, а поставщикам — формировать цены.
Фото: Ирина Бужор, Коммерсантъ
ФСТЭК разработала новую методику оценки степени информационной безопасности в российских организациях, сообщил замдиректора службы Виталий Лютиков на SOC-форуме 15 ноября. Как пояснили “Ъ” во ФСТЭК, методика предназначена для госорганов и организаций с госучастием, а также объектов КИИ (банки, операторы связи, организации ТЭКа и так далее). На начальном этапе она будет носить рекомендательный характер, обязательность внедрения оценят после апробации, уточнили в службе. «Цель — формирование единых подходов оценки защищенности информации в организациях»,— говорят во ФСТЭК.
Ведомство предлагает выделить четыре уровня защищенности, следует из презентации ФСТЭК, с которой ознакомился “Ъ”,— высокий, базовый повышенный, базовый и низкий.
Результат будет складываться из трех основных показателей: организация и управление защитой информации, внедрение мер защиты, поддержка ее уровня (например, мониторинг и реагирование компании на инцидент, управление уязвимостями). Также будет учитываться обучение персонала и его осведомленность в вопросах кибербезопасности.
Новая методика ФСТЭК похожа на оценку «цифровой зрелости» организаций, которую аппарат вице-премьера Дмитрия Чернышенко применил к федеральным органам исполнительной власти (ФОИВ) в рамках цифровой трансформации (одна из национальных целей развития России до 2030 года), объясняет собеседник “Ъ” в правительстве. В нее входит оценка внедрения ФОИВами технологий искусственного интеллекта, обработки больших данных и интернета вещей, а также применение российской радиоэлектронной продукции: систем хранения данных и серверов. По словам собеседника “Ъ”, методика необходима властям, поскольку «сейчас собрать картину кибербезопасности в КИИ очень сложно».
После начала военных действий на Украине российская IT-инфраструктура, в том числе госсектор, регулярно подвергалась кибератакам. Так, 26 марта атаке подверглась Росавиация, в результате ведомство было вынуждено перейти на бумажный документооборот (см. “Ъ” от 28 марта). В ноябре стало известно об успешном взломе структуры Роскомнадзора, в результате которого в сеть попала внутренняя переписка организации и другая чувствительная информация (см. “Ъ” от 18 ноября).
Субъекты КИИ в целом положительно оценивают инициативу ФСЭК. «Прозрачная методика категорирования и оценки уровня защищенности, а также четкие рекомендации по устранению выявленных в ходе проверок недочетов позволят субъектам КИИ единообразно и адекватно подходить к организации кибербезопасности»,— отметил замначальника департамента защиты информации Газпромбанка Алексей Плешков. В Tele2 обещают применять методику в случае ее утверждения: «Оценить ее качество пока затруднительно, но общий подход — перечисленные факторы и структура интегральной оценки — представляется верным». В «МегаФоне» отметили, что для оценки инициативы «необходимо более детально изучить ее».
51 процент
киберинцидентов в банках в 2022 году был связан с утечкой конфиденциальных данных, по оценке Positive Technologies.
Разрабатываемый ФСТЭК подход должен стать опорным и для заказчиков, и для разработчиков, полагает руководитель исследований ГК «Астра» Роман Мылицын. По его мнению, методика будет уточняться и отрабатывается на реальных проблемах. Сама по себе методика не повысит защищенность организации, но может быть важной для планирования работы подразделений по защите информации или внешних подрядчиков, считает руководитель аналитического центра компании Zecurion Владимир Ульянов. Объем запросов клиентов к компаниям в области информационной безопасности введение методики не увеличит, считает независимый эксперт по информационной безопасности Рустэм Хайретдинов, но структурирует и даст им обоснование. Собеседник “Ъ” на рынке ИБ также допускает, что поставщики решений для безопасности смогут использовать методику для формирования цен на свои продукты.