В России оценят уровень кибербезопасности ключевых инфраструктурных объектов

ИЛЛЮСТРАЦИЯ: сгенерирована ИИ.

Мониторинг достижения показателей планируют проводить как минимум раз в полгода, а его результаты служба будут направлять в Совет безопасности.

Отмечается, что соответствующий проект постановления правительства должен дополнить указ президента о мерах по обеспечению информационной безопасности.

«Предложенные в проекте показатели будут применяться для определения уровня безопасности информационных систем, принадлежащих госорганам, госфондам, госкорпорациям, стратегическим предприятиям и системообразующим организациям, — говорится в материале. — Защищённость вышеперечисленных организаций будет определяться трехуровневой системой отчетности: первый – уровень текущего состояния защищенности самой компании; второй – уровень защищенности объектов в отрасли; третий – уровень защищенности объектов на уровне региона».

Указ № 250 определил персональную ответственность руководителей за информационную безопасность на объектах, рассказал председатель совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров. Президентский указ обязывал компании принимать меры и создавать службы безопасности, но не давал точной формулы для оценки успеха, добавляет бизнес-партнер Cloud.ru по кибербезопасности Юлия Липатникова. Создание методики уровня защищенности от ФСТЭК – это появление прозрачной системы измеримых KPI с государственным статусом, говорит Бедеров.

«Раньше требования, по сути, были формальными, а проверки ФСТЭК зачастую сводились к проверке наличия бумажек. Теперь же вводятся четкие количественные показатели как для самих организаций, так и для отраслей и регионов в целом», – подчеркивает он.

Вводимые показатели защищенности – это метрики, которые показывают, насколько результативна безопасность в той или иной компании, поясняет бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. Первоначально ФСТЭК ввела эти метрики для оценки защищенности государственных информационных систем и объектов критической инфраструктуры в форме методического документа.

Позже регулятор внес схожую конструкцию в 117-й приказ ФСТЭК, распространив оценку на все системы, разработанные государством или взаимодействующие с ГИС, напоминает эксперт.

По данным компании RED Security SOC, в I квартале количество кибератак на объекты критической информационной инфраструктуры в России выросло на 8–10 процентных пунктов, превысив 70% всех инцидентов.