Для субъектов КИИ разработали новый порядок отчетности по защите данных. Федеральная служба технического экспортного контроля (ФСТЭК) разработала правила оценки защищенности госорганов и критически значимой инфраструктуры РФ (КИИ), сообщает «Коммерсант».
Каждые полгода
В новых правилах установлено, что оценка защищенности должна проводиться не реже чем раз в полгода. Так, организации будут должны собирать данные о состоянии корпоративных объектов и направлять их в службу не позднее 30 дней с определенного самой компанией срока.
При этом допускается проведение внеочередных проверок в случае допущения киберинцидента или существенных изменений в ИТ-ландшафте компании. Пока что правила не устанавливают точной даты, с которой компаниям будет нужно представлять отчеты.
Инструмент кибервойны
Кибератаки на инфраструктуру КИИ давно стали инструментом ведения кибервойн. По словам члена комитета Госдумы по информационной политике, информационным технологиям и связи Антона Немкина, «попытки внешнего вмешательства в отрасли энергетики, промышленности, банковской сферы, а также в государственный сектор превратились в повседневные. Как правило, цель такого воздействия – кража особо чувствительных данных, включая информацию, относящуюся к государственной тайне, а также вывод производственных цепочек из строя. Только в 2023 году на объектах КИИ было отражено порядка 65 тыс. кибератак. Поэтому новый порядок предоставления отчётности – еще одна возможность обеспечения должного уровня защиты».
Новые требования охватывают несколько аспектов информзащиты. «Компании будут обязаны предоставлять как результаты внутреннего контроля, так и отчеты внешних аудиторов. Например, вендора в сфере информзащиты или другого государственного регулятора. Все это позволит сформировать комплексную оценку состояния ИТ-инфраструктуры организации», – прогнозирует парламентарий.
В тестовом режиме
Новые требования не обременительны для субъектов КИИ, считает депутат: «Для самих компаний это еще одна возможность провести независимую оценку степени защищенности. Кроме того, новые требования позволят эффективно распределить ресурсы самого регулятора. Если представленный отчет будет содержать подтверждение следованию всем нормативным требованиям и высокие показатели в части информзащиты, то от внеплановых проверок организации, вероятно, будут освобождены. ФСТЭК сосредоточится на более «уязвимых» организациях».
Немкин подчеркнул, что пока нет информации о том, будут ли новые нормы носить обязательный характер. «Первое время регулятор будет работать с некоторыми компаниями в тестовом режиме. Однако соблюдать рекомендации в любом случае стоит. Обеспечение защищенности КИИ – один из основных приоритетов госполитики в сфере информационной безопасности. Подобные требования совершенно точно могут стать обязательными», – не исключил парламентарий.
