Минцифры до конца года запустит реестр недопустимых нарушений кибербезопасности

Минцифры планирует создать реестр недопустимых событий в области кибербезопасности, который будет открыт для всех организаций, пишет «Коммерсантъ» со ссылкой на три источника в отрасли. Информацию подтвердили в министерстве.

Реестр будет охватывать государственные органы и учреждения, а также  объекты критической информационной инфраструктуры (КИИ). На них распространяется действие первомайского указа президента о дополнительных мерах по обеспечению информационной безопасности. По указу персональная ответственность за обнаружение кибератак и ликвидацию их последствий возложена на заместителей глав организаций. 

В список должны быть внесены опасные для IT-инфраструктуры компаний сценарии, которые «нельзя допускать ни при каких условиях», рассказал собеседник газеты. Такие угрозы, по его словам, должны выявить привлеченные ведомством аудиторы совместно с руководителями оцениваемых организаций. В Минцифры рассказали, что по указу президента ряду организаций и органов было необходимо провести анализ защищенности, а представленные отчеты «показали необходимость в систематизации и категоризации перечня неприемлемых событий».

В министерстве уточнили, что реестр планируется создать до конца года. По словам собеседника, близкого к разработке инициативы, сначала будет определен перечень, потом компании определят для себя, какие события могут быть характерны для них, и доложат об этом в правительство, затем они же проведут мониторинг отсутствия таких событий. 

Независимый эксперт по кибербезопасности Алексей Лукацкий рассказал, что сейчас компании направляют в Минцифры абстрактные формулировки о рисках безопасности, за которыми не стоит понимание проблемы. По его словам, в случае с реестром появится возможность «показать наглядно, от чего каждая компания должна защититься». Эксперт уверяет, что важен не просто список, а «верификация каждого события, его демонстрация».

По его словам, ответственные руководители компаний должны понимать, к примеру, что возможна остановка оборудования, какой убыток понесет предприятие и что ему нужно сделать, чтобы этого не произошло. «Тогда реестр станет точкой отсчета при оценке уязвимости компаний из всех сфер», — сказал Лукацкий. Руководитель отдела продвижения продуктов «Кода безопасности» Павел Коростелев отметил, что для каждой сферы экономики недопустимые события свои. Госорганизация не может позволить себе взлом официальной страницы или рассылку несанкционированных данных от своего имени, онлайн-магазин — остановку сервиса продаж, объяснил эксперт. Реестр поможет собрать базу рисков, чтобы ее «воспринимали однозначно», добавил Коростелев.

Важным аспектом выглядит поддержание актуальности данных в реестре, сказал специалист Group-IB по информационной безопасности Сергей Золотухин. По его словам, без регулярного обновления реестр «рискует превратиться в своеобразное кладбище недопустимых событий, которые уже давно не происходят». Партнер фирмы «Рустам Курмаев и партнеры» Дмитрий Горбунов отметил, что больший интерес представляет собой реальный опыт борьбы с последствиями уже реализованных рисков и механизмов их предотвращения. «Обмен таким опытом выглядит более актуальным, это может быть следующим шагом», — считает он.