Государство запустит систему оценки цифровой защищенности критической инфраструктуры
Новости рынка, редакционные обзоры, экспертные материалы и выпуски изданий. Выберите формат, который удобен вам.
ФСТЭК готовит новую методику оценки уровня защищенности объектов критической информационной инфраструктуры. Контроль за достижением установленных показателей планируется проводить раз в полгода, а результаты мониторинга направлять в Совет безопасности, который возглавляет президент. Проект соответствующего правительственного постановления, разработанный ФСТЭК, должен стать дополнением к президентскому указу № 250, посвященному мерам обеспечения ИБ.
Новая система оценки затронет широкий круг организаций: государственные органы, госфонды, госкорпорации, стратегические предприятия, а также системообразующие компании. Предлагается использовать трехуровневую модель отчетности. На первом уровне будет анализироваться текущее состояние защищенности конкретной организации. Второй уровень предполагает оценку ситуации в масштабах отрасли, а третий — на уровне региона.
Указ президента № 250 уже закрепил персональную ответственность руководителей за обеспечение ИБ на объектах КИИ. Однако сам документ фактически ограничивался требованием к компаниям создавать профильные подразделения и принимать защитные меры, не предлагая четкого механизма оценки эффективности этой работы, отмечают эксперты. Разработка ФСТЭК единой методики должна изменить эту ситуацию.
Государство фактически формирует прозрачную систему KPI в сфере информационной безопасности, причем эти показатели будут иметь официальный статус, полагают эксперты. Ранее требования во многом носили формальный характер, а проверки регулятора часто сводились к анализу документации и наличия необходимых регламентов. Теперь же речь идет о внедрении количественных индикаторов, которые позволят оценивать реальный уровень защищенности как отдельных организаций, так и отраслей или регионов в целом.
Показатели защищенности представляют собой метрики эффективности ИБ, отражающие способность компании противостоять киберугрозам.
Одним из ключевых нововведений станет не только сбор информации о состоянии защищенности, но и обязанность ФСТЭК проводить анализ полученных данных. Регулятор сможет присваивать организациям конкретные оценки уровня защищенности, а результаты достижения целевых показателей будут отражаться в ежегодных публичных докладах.
Требования к безопасности для бизнеса принципиально не изменятся, однако контроль со стороны государства заметно усилится. Если показатели защищенности окажутся низкими и не будут демонстрировать положительной динамики, компании могут столкнуться с различными мерами воздействия со стороны регуляторов.
Источник: Ведомости
