Компании, объекты которой относятся к критической информационной инфраструктуре, должны будут представлять ведомству данные о защищенности своих объектов
Как сообщает «Коммерсантъ», в разработанном ФСТЭК документе указано, что оценка защищенности госорганов и объектов КИИ должна проводиться не реже чем раз в полгода. Организации будут собирать данные о состоянии своих объектов и направлять их регулятору не позднее 30 дней с определенного срока или по запросу.
Внеочередная проверка пройдет в случае киберинцидента или значимых изменений в IT-инфраструктуре компании. Отчеты компаний должны состоять из результатов внутреннего контроля за обеспечением безопасности, контроля другими органами власти, результатов внешней оценки и документации на средства защиты, используемые компаниями.
Кроме того, отчеты должны включать «результаты опроса сотрудников» о том, какие задачи они выполняют с теми или иными IT-системами — и каким образом они защищены. Участники рынка рассчитывают, что документ поможет проводить самостоятельную оценку текущего состояния защищенности, но об ее точности можно будет сказать только спустя некоторое время работы в соответствии с методикой.
Здесь мы рассказываем о самых дорогостоящих кибератаках:
Freepik