Федеральная служба по техническому и экспортному контролю (ФСТЭК) займется разработкой антирейтинга информационной защищенности объектов КИИ. В него будут включены организации с низким уровнем защиты, допустившие как взломы, так и утечки данных.
Оценка в реальном времени
ФСТЭК России будет вести рейтинг объектов критической информационной инфраструктуры (КИИ) по уровню обеспечения информационной безопасности. В него будут включены организации, допустившие взломы и утечки данных, рассказал заместитель директора службы Виталий Лютиков на SOC-Forum 2024.
«Мы это хотим автоматизировать и полагаем, что каждый руководитель должен видеть свою текущую оценку в реальном времени», – цитируют «Ведомости» Лютикова. Пока что рейтинг будет носить рекомендательный характер, санкций за включение в него не предусмотрено, добавил представитель ФСТЭК.
Показатель минимальной защищённости
Рейтинг будет рассчитываться на основе коэффициента, присвоенного организациям по итогам проведения государственного мониторинга или на основе данных по компьютерным инцидентам, пояснил Лютиков. Одна из целей ФСТЭК – добиться обеспечения «минимального уровня защищенности» объектов КИИ.
Расчет показателя минимальной защищённости может стать обязательным для оценки состояния защиты каждого оператора данных. Кроме того, это требование могут включить в показатель эффективности деятельности руководителя организации.
«Если мы его [уровень защищенности] не обеспечиваем, то разговаривать о противодействии нарушителю с более высокими возможностями, например спецслужбам или скоординированным группировкам, вообще нет смысла», – подчеркнул заместитель директора ФСТЭК.
Возможные требования
Требований к минимальной защищенности организаций может быть несколько.
По словам члена комитета Госдумы по информационной политике, информационным технологиям и связи Антона Немкина, «к ним можно отнести соблюдение базовых ИБ-стандартов: например, шифрование обрабатываемой информации, регулярное резервное копирование данных всех систем, соблюдение сроков реагирования на инциденты, наличие прописанных регламентов по устранению последствий кибератак или их предотвращению. Сюда же, конечно, нужно отнести и оптимальную численность ИБ-сотрудников, их квалификацию, а также регулярные мероприятия по повышению навыков персонала».
Как такового стандарта «минимальной защищенности» сейчас нет, подчеркнул Немкин: «Сейчас организации в обеспечении ИБ-политики исходят из требований законодательства, а также из собственных ресурсов. Когда конкретные нормы в сфере информационной безопасности не предусмотрены нормативно, вероятность того, что организация откажется от их реализации, очень велика – это одна из ключевых проблем сферы. Например, даже объекты критической информационной инфраструктуры могут пренебречь правилом регулярного обновления софта».
Инструмент «мягкой силы»
Ранее во ФСТЭК сообщали, что подавляющее большинство – 89% – объектов критической информационной инфраструктуры не имеют минимального уровня защиты. При этом наибольшая доля высококритичных атак с начала этого года – почти 70% – пришлась на объекты КИИ.
Создание антирейтинга ФСТЭК – еще один стимул отрасли для инвестирования в информационную безопасность. По мнению Немкина, рекомендательный рейтинг – это своего рода инструмент «мягкой силы». У государства нет намерения создавать для объектов КИИ жесткие нормативные рамки, а также инициировать проведение регулярных аудитов. Отрасль должна саморегулироваться и осознавать важность информационной безопасности без постоянных напоминаний со стороны государства.
