Безопасности добиваются методично

Для КИИ разработали новую схему отчетности о защите данных

Федеральная служба технического экспортного контроля (ФСТЭК) разработала правила оценки защищенности госорганов и критически значимой инфраструктуры РФ (КИИ). Компании, объекты которой относятся к КИИ, должны будут по запросу ФСТЭК или пока по собственному регламенту представлять ведомству данные о защищенности своих объектов: результаты внутреннего контроля, опросов профильных сотрудников и т. д. Компании считают, что методика поможет им оценить свою защищенность, называя требования «простыми и понятными». Но эксперты полагают, что оценка может стать дополнительным поводом для проверок.

Фото: Александр Миридонов, Коммерсантъ

Фото: Александр Миридонов, Коммерсантъ

“Ъ” ознакомился с методикой оценки состояния защиты информации госорганов и объектов критической информационной инфраструктуры (КИИ: банки, телеком-компании и т. д.), которую 6 мая опубликовала ФСТЭК.

Согласно тексту документа, оценка должна проводиться не реже чем раз в полгода. Организации будут собирать данные о состоянии своих объектов и направлять их регулятору не позднее 30 дней с определенного срока (его установит каждая компания во внутреннем регламенте) или запроса ФСТЭК. Внеочередная проверка пройдет в случае киберинцидента или значимых изменений в IT-инфраструктуре компании. Документ не устанавливает точной даты, с которой компаниям будет нужно представлять отчеты.

ФСТЭК приводит источники данных, из которых должны состоять отчеты компаний. Это результаты внутреннего контроля за обеспечением безопасности, госконтроля другими органами власти, результаты внешней оценки, документация на средства защиты, используемые компаниями, а также «результаты опроса сотрудников» о том, какие задачи они выполняют с теми или иными IT-системами и как те защищены. ФСТЭК не ответила “Ъ”.

К субъектам КИИ относятся госорганы, организации в области связи, энергетики, банковской сферы и других значимых отраслей экономики. Объекты КИИ — инфраструктура, которую контролирует тот или иной объект (предприятие, линии связи и т. д.). На КИИ распространяются требования указа президента от 30 марта 2022 года №166 (об импортозамещении IT-решений) и указа президента от 1 мая 2022 года №250 (об обеспечении безопасности инфраструктуры РФ).

Участники рынка рассчитывают, что документ поможет проводить и самостоятельную оценку текущего состояния защищенности. «Однако о ее точности можно будет сказать только спустя время работы в соответствии с методикой»,— подчеркивает вице-президент Ассоциации банков России Алексей Войлуков. В МТС говорят, что готовы следовать требованиям методики. В «Вымпелкоме» считают, что результаты оценки могут указать на явные проблемы, требующие немедленного устранения: «Это будет полезно для специалистов по безопасности, работающих с объектами КИИ».

По мнению замтехдиректора Innostage Данияра Исхакова, благодаря методике ФСТЭК компании смогут сфокусироваться на минимально необходимом уровне защиты: «Требования просты и понятны, что должно положительно сказаться на желании выполнять их реально, а не формально».

ФСТЭК следует общей мировой практике оценки зрелости компаний, в данном случае по кибербезопасности, объясняет бизнес-консультант Positive Technologies Алексей Лукацкий: «При этом не стоит ждать, что данный показатель напрямую будет зависеть и влиять на практический уровень кибербезопасности в организациях». Эксперт отмечает, что «даже если пока методика будет носить рекомендательный характер, то со временем может стать обязательной для всех субъектов КИИ».

Максут Шадаев, глава Минцифры, о востребованности ИБ-специалистов, 17 ноября 2023, ТАСС:

«Сотрудники по информационной безопасности должны быть во всех организациях».

Консультант департамента консалтинга и аудита «Информзащиты» Сергей Васильченко уточняет, что для установки обязательных требований будут необходимы дополнительные нормативные акты. Но даже сейчас, полагает он, «просто отписаться у компаний не получится, отчеты ожидаются не просто раз в полгода, а по запросу, и критерии оценки вполне конкретные».

Гендиректор облачного провайдера Nubes Василий Степаненко добавляет, что оценка по новой методике может дать ФСТЭК возможность формировать собственный план выездных проверок выполнения мер безопасности на объектах КИИ. Подобные мероприятия уже проводит ФСБ, подчеркивает он, проверяя деятельность по обнаружению, предупреждению и ликвидации кибератак и реагированию на них.

Татьяна Исакова, Юлия Пославская

Зарегистрируйтесь или войдите, чтобы дочитать статью

Это бесплатно и вы сможете читать все закрытые статьи «Ъ»

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...