ФСТЭК запускает «светофор кибербезопасности»: 90% объектов КИИ в красной зоне

Федеральная служба по техническому и экспортному контролю (ФСТЭК) начнет вести рейтинг объектов критической информационной инфраструктуры (КИИ) по уровню информационной безопасности. В этот рейтинг будут включаться компании с низким уровнем защиты, которые допустили взломы или утечки данных. Об этом сообщил заместитель директора ФСТЭК Виталий Лютиков на SOC-Forum 2024.

Лютиков подчеркнул, что служба планирует автоматизировать этот процесс и предоставить руководителям возможность видеть свою текущую оценку в реальном времени. На данный момент рейтинг будет носить рекомендательный характер, то есть санкции за включение в него не предусмотрены.

По словам Лютикова, рейтинг будет составляться на основе коэффициента, который присваивается компаниям по результатам государственного контроля или данных о компьютерных инцидентах. ФСТЭК проанализировала около 100 органов государственной власти и объектов КИИ по данной методике, и оказалось, что минимальный уровень защищенности обеспечен лишь в 10% случаев. Во всех остальных случаях организации находятся за гранью минимально защищенного состояния, добавил он.

Лютиков добавил, что в случае отсутствия минимального уровня защищенности «говорить о противодействии нарушителям с более высокими возможностями, таким как спецслужбы или скоординированные группировки, бессмысленно». При этом он не уточнил, что включает в себя данный «минимальный уровень».

ФСТЭК уже направила более 170 рекомендаций органам государственной власти и субъектам КИИ по повышению защищенности их инфраструктуры. Эти рекомендации включают устранение уязвимостей, регистрацию событий информационной безопасности, резервное копирование данных, блокировку зарубежных поисковых ботов и нейтрализацию угроз.

Служба также планирует сделать расчет этого показателя обязательным для оценки состояния защиты каждого оператора данных и в будущем ввести его в показатели эффективности руководителей, ответственных за информационную безопасность.

Эксперты рынка отмечают, что в настоящее время защищенность компаний проверяется путем оценки уязвимости, во время которой определяется количество уязвимостей и приоритетность их устранения в системе. Обычно этот процесс контролируется внутренним департаментом информационной безопасности компании, но такая практика внедрена далеко не во всех организациях.

Минимальные требования к безопасности компаний включают наличие квалифицированных сотрудников, обеспечение контура безопасности, соблюдение сроков реагирования на инциденты, соблюдение регламентов, наличие сертифицированного программного и аппаратного обеспечения. Однако, по мнению специалистов, часто обеспечение безопасности остается только на бумаге.

Эксперты считают, что рекомендательный характер рейтинга направлен на формирование правильного подхода к киберзащите объектов КИИ. Они полагают, что государство дает еще одну возможность организациям самостоятельно повысить уровень безопасности без внешнего давления. Тем не менее, в случае перехода к обязательному исполнению рекомендаций это может включать аудиты, улучшение систем защиты, обучение персонала и другие меры.

Кроме того, даже при отсутствии киберинцидентов ФСТЭК или ФСБ могут применять санкции к организациям за несоблюдение требований безопасности объектов КИИ. Контролирующие органы имеют право ограничивать доступ к информационным ресурсам или приостанавливать деятельность объекта, а также выдавать предписания по улучшению защиты. Несоблюдение этих предписаний может привести к дальнейшим мерам ответственности.