ФСТЭК ввела целевой показатель защищённости: 80% объектов без актуальных угроз
Амина Хасамбековна
ФСТЭК России опубликовала набор показателей оценки защищённости ИТ-инфраструктуры — для органов власти, ГИС, КИИ и системообразующих компаний. Целевой ориентир зафиксирован в проекте указа: не менее 80% объектов должны быть защищены от актуальных угроз. Это уже не методичка — это измеримый KPI с государственным статусом.
Что именно опубликовала ФСТЭК и зачем
Документ размещён на портале проектов нормативных актов как дополнение к указу президента №250. Порядок расчёта показателей оформлен отдельно — в виде проекта правительственного постановления, тоже открытого для публичного обсуждения.
Функции по расчёту и мониторингу планируется возложить на правительство — с обязательным согласованием со ФСТЭК и ФСБ. То есть это не ведомственная инициатива одного регулятора, а совместная конструкция на уровне исполнительной власти.
На кого распространяется: федеральные и региональные органы власти, государственные информационные системы, объекты КИИ, государственные фонды и корпорации, а также «другие стратегические и системообразующие компании». Последняя категория — самая размытая, и именно она вызовет больше всего вопросов при правоприменении.
Цифра 80% — что за ней стоит
В проекте указа прописан целевой показатель: доля объектов, защищённых от актуальных угроз в информационной сфере, должна составлять не менее 80% — для каждой отрасли и каждого уровня власти.
Это конкретная цифра, и это важно. До сих пор большинство требований по ИБ в России формулировались как «должен выполнять» или «должен обеспечивать». Теперь появляется измеримый порог — и значит, появляется возможность проверить его выполнение и зафиксировать отклонение.
Ключевой вопрос, который пока открыт: как именно определяется «актуальная угроза» в конкретной инфраструктуре и кто это подтверждает. Если методика расчёта будет достаточно жёсткой — 80% превратятся в реальную планку. Если останется пространство для интерпретации — в очередную строчку в отчёте.
Почему это важно для CIO за пределами госсектора
Формально документ адресован госструктурам и КИИ. Но «системообразующие компании» — это уже частный сектор. Перечень системообразующих организаций российской экономики насчитывает сотни компаний из самых разных отраслей: ретейл, логистика, промышленность, финансы.
Если ваша компания входит в этот периметр или работает подрядчиком для госструктур — показатели ФСТЭК рано или поздно появятся в требованиях к вам. Не как рекомендация, а как условие.
• Проверить, входит ли компания в перечень системообразующих организаций
• Отследить финальную версию постановления после публичного обсуждения
• Оценить, как текущая методика оценки угроз соотносится с тем, что предложит ФСТЭК
• Убедиться, что внутренняя отчётность по ИБ позволит посчитать этот показатель — когда потребуют
Что будет дальше
Оба документа пока в статусе проектов. Публичное обсуждение — стандартная процедура перед подписанием. Исторически такие проекты в сфере ИБ проходят этот этап без принципиальных изменений: поправки носят технический характер, концепция остаётся.
Так что вопрос не «примут ли», а «когда и в каком виде». Методика расчёта — вот где сейчас стоит сосредоточить внимание. Именно она определит, насколько показатель 80% будет реальным измерением или формальным отчётом.
—
Telegram-канал автора: t.me/ciologia