ФСТЭК закручивает гайки, государство переходит на цифровые KPI по киберзащите инфраструктуры

Для общественного обсуждения опубликован проект указа президента РФ с предложением изменить указ №250 от 1 мая 2022 года о дополнительных мерах по обеспечению защиты информационной инфраструктуры. Документ вводит целевые показатели защищённости для государственных информационных систем, иных информационных систем и значимых объектов критической информационной инфраструктуры. Для отраслей под законом №187-ФЗ и объектов в ведении региональных органов власти предлагается ориентир не менее 80%.

Проект пока не означает вступления изменений в силу. Документ находится на стадии обсуждения, а его положения могут быть скорректированы по итогам рассмотрения. Логика проекта значима для рынка, поскольку он переводит регулирование из режима общих требований к защите в более измеримую модель. Организациям предстоит не просто «принимать меры», а достигать заданных числовых показателей.

Интересно, что государство впервые ставит перед инфраструктурой жёсткую цифровую планку, и теперь защищённость придётся считать в процентах, а не описывать словами в отчётах.

В проекте предлагается дополнить пункт 1 указа №250 новым подпунктом. Он обязывает органы и организации принимать меры по достижению целевых значений показателей, характеризующих уровень защищённости принадлежащих им государственных информационных систем, иных информационных систем и значимых объектов критической информационной инфраструктуры. Все подобные системы в тексте объединяются в категорию объектов информационной инфраструктуры.

Проектом также предлагается добавить новый пункт 11. В нём перечислены показатели уровня защищённости объектов информационной инфраструктуры и их целевые значения. Структура будущих требований выглядит так:

• защищённость объектов в конкретном органе или организации от актуальных угроз;
• не менее 80% защищённых объектов в отрасли по закону №187-ФЗ;
• не менее 80% защищённых объектов в ведении органов исполнительной власти субъектов РФ;
• единый подход к категории объектов информационной инфраструктуры;
• актуальная модель угроз как обязательный компонент оценки.

Отдельно проект предлагает дополнить пункт 3 указа №250 нормой о порядке расчёта количественных значений. Правительство определит этот порядок по согласованию с ФСБ России и ФСТЭК России. Именно будущая методика станет самым важным практическим элементом проекта. От неё будет зависеть подход к измерению защищённости, набор учитываемых параметров и способы подтверждения достижения целевых значений.

Для госорганов, регионов и операторов значимых объектов проект означает возможный переход к более формализованной оценке состояния защиты. Простого набора документов и разрозненных мер может оказаться недостаточно. Организациям потребуется набор зрелых процессов:

• полная инвентаризация информационных систем;
• актуальная и регулярно обновляемая модель угроз;
• понятные данные о реальном состоянии защиты;
• работающие процессы мониторинга безопасности;
• настроенные сценарии реагирования и восстановления.

Для отраслей критической инфраструктуры свежий ориентир в 80% станет серьёзной управленческой задачей. Закон №187-ФЗ уже требует категорирования объектов и выполнения мер защиты, а проект указа надстраивает над всем этим количественную цель. Теперь значимо не только защитить отдельные системы, но и продемонстрировать достижение установленного уровня по группе объектов в отрасли или сфере деятельности.

Планка в 80% означает невозможность спрятаться за один-два хорошо защищённых флагмана при заброшенной остальной инфраструктуре.

Регионы проект также затронет довольно болезненно. У субъектов РФ заметно различается уровень зрелости инфраструктуры, бюджетов, подрядчиков и кадровой обеспеченности. Различия между регионами при подготовке к новым показателям могут проявиться сразу по нескольким направлениям:

• зрелость централизованной инвентаризации систем;
• наличие единой модели управления информационной безопасностью;
• бюджеты на модернизацию защитных решений;
• качество и количество специалистов по ИБ;
• состояние подрядной экосистемы и контрактов.

Там, где уже работают централизованная инвентаризация и единая модель управления ИБ, подготовка к новым показателям пройдёт проще. Там, где системы исторически развивались разрозненно, сначала придётся наводить порядок с учётом объектов и ответственностью за их защиту.

Отдельный практический вопрос связан с прозрачностью методики расчёта показателей. От её формулировок зависит реальная нагрузка на бизнес и государственные структуры. При понятной и применимой к жизни методике рынок получит рабочий инструмент управления рисками. При перегруженной и формальной методике организации рискуют получить новый пласт отчётности без реального усиления защиты.

Внедрение количественных показателей повлияет и на разговор регулятора с рынком. Сейчас оценки в области информационной безопасности часто строятся на качественных формулировках, экспертных мнениях и проверках по чек-листам. Переход к процентным значениям сделает диалог более конкретным, а заодно потребует от организаций более точной работы с данными о собственных системах.

Редакция CISOCLUB уверена, что публикация проекта указа отражает желание государства уйти от общих формулировок к измеримым требованиям по защите информационной инфраструктуры. Подобный шаг может навести порядок в управлении рисками, но многое в итоге будет зависеть от методики расчёта показателей.

При понятных и применимых к реальным системам критериях рынок получит рабочий инструмент, при формальном и перегруженном расчёте организации столкнутся с новой отчётностью вместо усиления защиты. Бизнесу и государственным структурам стоит уже сейчас оценивать собственные процессы инвентаризации, моделирования угроз и реагирования, потому что подготовка к новым правилам потребует времени и осмысленной работы с инфраструктурой.