Защищенность от актуальных угроз должна быть обеспечена как минимум у 80% организаций отрасли и у 80% объектов КИИ в регионах, говорится в проекте постановления правительства
Федеральная служба по техническому и экспортному контролю (ФСТЭК) каждые полгода будет проводить оценку уровня защищенности объектов критической информационной инфраструктуры (КИИ), для чего разработает и согласует с Федеральной службой безопасности специальную методику. Об этом говорится в проекте постановления правительства, разработанном службой и опубликованном на портале проектов нормативных правовых актов. Первой на документ обратила внимание газета «Ведомости».
Проверка будет трехуровневой: сначала ФСТЭК будет оценивать уровень защищенности объектов КИИ в каждой из компаний, подпадающих под действие документа, затем — состояние отрасли в целом, и, наконец, определять уровень защищенности объектов на региональном уровне. Согласно документу, защищенность от актуальных угроз должна быть обеспечена как минимум у 80% организаций отрасли и у 80% объектов КИИ в регионах.
В поле зрения ФСТЭК окажутся федеральные и региональные органы исполнительной власти, госфонды, госкорпорации и госкомпании, стратегические и системообразующие организации. Механизм проверки следующий: компании направляют необходимые сведения в адрес ФСТЭК, та их анализирует и присваивает предприятиям оценку уровня защищенности информационных систем. О результатах проверки — достижении или недостижении целевых показателей — служба будет уведомлять Совет безопасности.
Таким образом, постановление дополняет президентский указ № 250 о мерах по обеспечению информационной безопасности, закрепивший персональную ответственность руководителей предприятий. Подготовка определенной методологии для измерения уровня защищенности означает появление прозрачной системы измеримых KPI, объясняет председатель совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров.
«Раньше требования, по сути, были формальными, а проверки ФСТЭК зачастую сводились к проверке наличия бумажек. Теперь же вводятся четкие количественные показатели как для самих организаций, так и для отраслей и регионов в целом», — цитируют его слова «Ведомости».
При этом для самих компаний с точки зрения соблюдения требований по безопасности существенно ничего не изменится, добавляет бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. Просто внимание к ним становится пристальнее, продолжает эксперт: «И если уровень или показатель защищенности будет не очень высокий и в динамике он не будет изменяться в лучшую сторону, то возможны различные меры воздействия».