Минцифры РФ вводит параметр информационной безопасности в рейтинг цифровой трансформации
Изображение: David Rangel (unsplash)
Министерство цифрового развития РФ включило параметр «информационная безопасность» в рейтинг цифровой трансформации госорганов. В рамках этой инициативы федеральные и региональные госструктуры обязаны ежемесячно предоставлять отчеты о мерах по обеспечению безопасности своей ИТ-инфраструктуры, в том числе и тестирование белыми хакерами Bug Bounty, сообщает «Коммерсантъ».
Журналисты «Коммерсанта» подчеркивают, что не все высокопоставленные чиновники видят необходимость в подготовке таких отчетов по информационной безопасности, а эксперты отрасли считают, что только предоставление отчетности не решит проблему кибербезопасности государственного сектора России.
В Минцифры РФ установили, что июля 2023 года показатель информационной безопасности учитывается в рейтинге цифровой трансформации. Критериями оценки станут: формирование профильного структурного подразделения по кибербезопасности в учреждении, реализация необходимых мер по обеспечению информационной безопасности, проведение тестирования IT-инфраструктуры на уязвимости (в т. ч. Bug Bounty.
В 2022 году Министерство цифрового развития РФ уже предлагало внести понятие Bug Bounty в действующее законодательство РФ, что позволило бы обеспечить легальный статус белым хакерам. Однако эта инициатива не нашла поддержки у силовых структур, опасавшихся неправомерного доступа к значимым данным со стороны специалистов по ИБ. На фоне этого, министерство стало самостоятельно стимулировать госсектор к тестированию и формированию отчетности по информационной безопасности.
Александр Синелобов, глава министерства цифрового развития Нижегородской области, заявил, что его регион уже готовит такие отчеты. В то же время источник из правительства Башкортостана сообщил «Коммерсанту», что в их регионе не видят необходимости в такой отчетности, так как «все IT уже централизованы в Министерстве цифрового развития РФ».
Александр Дворянский, директор департамента информационной безопасности и специальных решений Sitronics Group, заявил: «Инициатива вполне ожидаемая и оправданная. Развитие цифровизации само по себе подразумевает увеличение требований к безопасности, так как все больше сервисов, услуг и процессов переходят в «цифру», что дает злоумышленникам дополнительные возможности для вмешательства и влияния на экономические и социальные процессы. Но это требование появилось не сегодня и не вчера. Закрепление нормы, введение ее в KPI – можно сказать, легитимизация негласного требования регулятора, чтобы избежать формалистского подхода к исполнению требования.
С другой стороны, это может потребовать от региональных органов власти дополнительных расходов на средства защиты. У субъектов разные бюджеты и возможности».
Андрей Мишуков, генеральный директор iTPROTECT: «Инициатива Минцифры — однозначно полезна, как для повышения уровня кибербезопасности госорганов, так и для рынка кибербезопасности России в целом. Госорганы смогут увеличить финансирование на мероприятия по информационной безопасности и создать дополнительные рабочие места, а это, в свою очередь, увеличит рынок таких услуг, как тестирование на проникновение (pentest) и позволит на основе полученных результатов совершенствовать уровень информационной безопасности госорганов».
