Новая методика оценки
Федеральная служба по техническому и экспортному контролю (ФСТЭК) разработает показатели и методику оценки уровня защищенности ИТ-систем объектов критической информационной инфраструктуры (КИИ), проверки по которой будут проводиться не реже одного раза в полгода, указано в разработанном ведомством проекте постановления Правительства, выяснили «Ведомости».
Документ дополнит указ Президента №250 о мерах по обеспечению информационной безопасности.
Отчитываться о результатах мониторинга ФСТЭК будет перед Советом безопасности России. Система отчетности будет трехуровневой — уровень текущего состояния защищенности самой компании, уровень защищенности объектов в отрасли, уровень защищенности объектов в регионе.
К объектам КИИ относятся госорганы и учреждения, а также юридические лица из наиболее значимых отраслей: здравоохранения, науки, транспорта, связи, финансов, атомной и топливной энергетики, промышленности (горнодобывающей, металлургической, химической, оборонной, ракетно-космической).
Повышение прозрачности
Вводимые изменения повысят статус задачи обеспечения информационной безопасности, считает бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. Решение было принято, «так как до сих пор не все компании осознают важность обеспечения своей ИБ, как и своего влияния на экономику страны и национальную безопасность», сказал эксперт.
Ключевой новацией является обязанность ФСТЭК не просто собирать данные, а проводить их анализ и присваивать организациям конкретные «оценки» уровня защищенности, а также публично отчитываться о достижении целевых показателей, отметил председатель совета по противодействию технологическим правонарушениям Координационного совета Негосударственной сферы безопасности России (КС НСБ) России Игорь Бедеров.
Это означает появление прозрачной системы измеримых KPI, считает Бедеров: «Раньше требования, по сути, были формальными, а проверки ФСТЭК зачастую сводились к проверке наличия бумажек. Теперь же вводятся четкие количественные показатели как для самих организаций, так и для отраслей и регионов в целом».
Что изменится для компаний
Указ Президента № 250 о мерах по обеспечению информационной безопасности не давал точной формулы для оценки успеха, но при этом определил персональную ответственность руководителей за ИБ на объектах, обратил внимание Бедеров.
Для самих компаний с точки зрения требований по безопасности это не меняет практически ничего, но усиливается внимание к ним, полагает Лукацкий.
Минимального уровня защиты от злоумышленников с минимальными возможностями, как выразились представители ФСТЭК, достигли только 36% организаций, писал СNews в начале 2026 г. В рамках государственного контроля более 700 значимых объектов КИИ Служба выявила более 1,2 тыс. нарушений. За 2024 г. ФСТЭК отчитывалась о выявленных более 800 нарушений.
Почти во всех случаях проверок фиксировалось полное несоответствие сведений о включаемом в реестр объекте и его фактическом состоянием. ФСТЭК указала также на отсутствие централизованного управления средствами защиты при их большом количестве и нехватке специалистов. Практикуемый многими организациями периодический, а не постоянный мониторинг защищенности оставляет окна для эксплуатации ИТ-уязвимостей. Критической практикой является также хранение резервных копий в одной среде с основными производственными ИТ-системами, что ставит под угрозу возможность восстановления после кибератаки.
Поделиться
