Председатель правительства РФ Михаил Мишустин подписал постановление о проведении эксперимента по повышению защиты государственных информационных систем (ГИС), во время которого также планируется оценить их актуальный уровень безопасности. Документ опубликован на официальном портале правовой информации.
Эксперимент продлится 9 месяцев
Эксперимент пройдет с 1 апреля текущего года по 31 декабря 2027 года. Одной из его целей является «получение независимой оценки текущего уровня защищенности государственных информационных систем». Кроме того, тестирование направлено на сбор информации о системах защиты информации и оценку возможности возникновения ситуаций, недопустимых для правильной работы ГИС.
Кроме того, правительство также нацелено выявить недостатки и уязвимости госинформсистем, оценить возможность использования этих уязвимостей недоброжелателями и устранить выявленные проблемы.
Минцифры за все ответит
Отвечать за проведение тестирования будет Минцифры. Участвовать в эксперименте смогут федеральные органы исполнительной власти и подведомственные им учреждения.
Инициатива по проведению эксперимента по защите ГИС является своевременной мерой, учитывая растущее количество киберугроз, считает член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин.
«Независимая оценка уровня безопасности позволит выявить уязвимости, которые могут использовать злоумышленники, и своевременно их устранить. Такой комплексный подход к тестированию государственных систем важен не только для защиты данных граждан и организаций, но и для обеспечения бесперебойной работы критически важных сервисов», — отметил он.
Особенности эксперимента
Особенность эксперимента в том, что он включает не только выявление проблем, но и анализ возможностей их эксплуатации недоброжелателями, подчеркнул Немкин. «Это говорит о том, что тестирование может включать элементы пентеста и моделирования реальных атак. Помощь пентестеров здесь будет очень кстати – как я не раз говорил, их работа должна стать сегодня такой же необходимой и систематической, как например, независимый внешний аудит финансовой отчетности или сторонние юридические проверки бизнеса. Особенно это важно, когда речь идет о защите огромных массивов персональных данных граждан и доступа к ключевым государственным системам и сервисам. Правда пока что правовое поле России работает не на пентестеров, а против них. Задача, которую мы ставим перед собой, работая над легализацией их деятельности на законодательном уровне – не только упростить правовое положение специалистов, но и сформировать регуляторную рамку, направленную на устойчивое развитие направления», — отметил он.
Напомним, что в октябре Госдума приняла на пленарном заседании в первом чтении законопроект, направленный на легализацию в РФ деятельности так называемых белых хакеров. Документ внесен в Госдуму в декабре 2023 года группой парламентариев, среди которых первый зампредседателя думского комитета по информполитике Антон Ткачев («Новые люди») и член комитета Антон Немкин («Единая Россия»).
При этом важно, чтобы запланированное тестирование ГИС проводилось с соблюдением строгих методологических стандартов, а результаты были использованы не только для устранения конкретных уязвимостей, но и для улучшения общей архитектуры кибербезопасности систем, добавил Немкин.
Кроме того, необходимо создать механизмы стимулирования и регуляторные требования, которые обяжут все критически важные структуры участвовать в этом процессе. «В долгосрочной перспективе такой подход позволит повысить уровень доверия к государственным цифровым сервисам и укрепить их защиту перед современными киберугрозами», — заключил Немкин.
