Федеральная служба по техническому и экспортному контролю представила документ, призванный стандартизировать порядок работы с объектами критической информационной инфраструктуры. Обсуждение проекта уже началось, и если документ утвердят, он вступит в силу осенью 2025 года.
В проекте определены перечни объектов, на которые распространяются требования по кибербезопасности, а также даны критерии, по которым ИТ-системам будет присваиваться категория значимости. Сферы, охваченные инициативой, включают здравоохранение, научные учреждения, транспортные и промышленные структуры, а также телеком и финансовый сектор.
Проект предполагает более чёткое разграничение функций и рисков, что может кардинально изменить подход к защите ИТ-среды на уровне государственных и коммерческих предприятий. В пояснениях от регулятора подчёркивается, что речь идёт об информационных системах, автоматизированных комплексах и сетях управления технологическими процессами, чья неработоспособность или утечка данных может привести к серьёзным последствиям.
Виталий Попов, представляющий «Софтлайн Решения» и курирующий инфраструктурные проекты, в разговоре с журналистами «Российской газеты» указал, что новая инициатива помогает устранить противоречия в трактовке требований. По его словам, ранее компании сталкивались с тем, что надзорные структуры по-разному оценивали одни и те же риски. Теперь с появлением единого подхода организациям будет проще ориентироваться. Попов подчёркивает, что особенно это важно для компаний с ограниченными ресурсами, у которых нет возможности нанимать специалистов в сфере защиты данных или обращаться за консультациями.
Сходную точку зрения высказал Валерий Конявский, руководящий кафедрой информационной безопасности в МФТИ. Он также возглавляет научную деятельность в ОКБ САПР. По его словам, новая система устраняет манипуляции с понижением значимости объектов, которые раньше предпринимались для снижения затрат. В результате такие меры ослабляли оборону в цифровом контуре. Сейчас же будет проще выявлять зоны риска и выстраивать защиту с учётом реальной критичности.
При этом в профессиональной среде не обходится без замечаний. Представители Softline выразили обеспокоенность тем, что излишняя формализация подходов приведёт к неправильной классификации ИТ-ресурсов. Если документ будет применяться без поправок на особенности конкретных объектов, возможны ошибки: второстепенные элементы могут быть защищены сверх меры, а стратегически значимые — остаться без нужного внимания.
Оригинал публикации на сайте CISOCLUB: "ФСТЭК запускает реформу защиты КИИ с новыми правилами и рисками для бизнеса".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.