ФСТЭК ввела целевой показатель защищённости: 80% объектов без актуальных угроз

Амина Хасамбековна
Право статья

ФСТЭК России опубликовала набор показателей оценки защищённости ИТ-инфраструктуры — для органов власти, ГИС, КИИ и системообразующих компаний. Целевой ориентир зафиксирован в проекте указа: не менее 80% объектов должны быть защищены от актуальных угроз. Это уже не методичка — это измеримый KPI с государственным статусом.

Что именно опубликовала ФСТЭК и зачем

Документ размещён на портале проектов нормативных актов как дополнение к указу президента №250. Порядок расчёта показателей оформлен отдельно — в виде проекта правительственного постановления, тоже открытого для публичного обсуждения.

Функции по расчёту и мониторингу планируется возложить на правительство — с обязательным согласованием со ФСТЭК и ФСБ. То есть это не ведомственная инициатива одного регулятора, а совместная конструкция на уровне исполнительной власти.

На кого распространяется: федеральные и региональные органы власти, государственные информационные системы, объекты КИИ, государственные фонды и корпорации, а также «другие стратегические и системообразующие компании». Последняя категория — самая размытая, и именно она вызовет больше всего вопросов при правоприменении.

Цифра 80% — что за ней стоит

В проекте указа прописан целевой показатель: доля объектов, защищённых от актуальных угроз в информационной сфере, должна составлять не менее 80% — для каждой отрасли и каждого уровня власти.

Это конкретная цифра, и это важно. До сих пор большинство требований по ИБ в России формулировались как «должен выполнять» или «должен обеспечивать». Теперь появляется измеримый порог — и значит, появляется возможность проверить его выполнение и зафиксировать отклонение.

Ключевой вопрос, который пока открыт: как именно определяется «актуальная угроза» в конкретной инфраструктуре и кто это подтверждает. Если методика расчёта будет достаточно жёсткой — 80% превратятся в реальную планку. Если останется пространство для интерпретации — в очередную строчку в отчёте.

Почему это важно для CIO за пределами госсектора

Формально документ адресован госструктурам и КИИ. Но «системообразующие компании» — это уже частный сектор. Перечень системообразующих организаций российской экономики насчитывает сотни компаний из самых разных отраслей: ретейл, логистика, промышленность, финансы.

Если ваша компания входит в этот периметр или работает подрядчиком для госструктур — показатели ФСТЭК рано или поздно появятся в требованиях к вам. Не как рекомендация, а как условие.

• Проверить, входит ли компания в перечень системообразующих организаций

• Отследить финальную версию постановления после публичного обсуждения

• Оценить, как текущая методика оценки угроз соотносится с тем, что предложит ФСТЭК

• Убедиться, что внутренняя отчётность по ИБ позволит посчитать этот показатель — когда потребуют

Что будет дальше

Оба документа пока в статусе проектов. Публичное обсуждение — стандартная процедура перед подписанием. Исторически такие проекты в сфере ИБ проходят этот этап без принципиальных изменений: поправки носят технический характер, концепция остаётся.

Так что вопрос не «примут ли», а «когда и в каком виде». Методика расчёта — вот где сейчас стоит сосредоточить внимание. Именно она определит, насколько показатель 80% будет реальным измерением или формальным отчётом.

Telegram-канал автора: t.me/ciologia

Источник:
Нет комментариев. Ваш будет первым!
Загрузка...