Новые правила оценки безопасности государственных учреждений и объектов критически важной инфраструктуры.

Федеральная служба технического экспортного контроля (ФСТЭК) России объявила о создании новых правил для оценки безопасности государственных учреждений и объектов критически важной инфраструктуры. Согласно новым правилам, организации, владеющие объектами критически важной инфраструктуры, должны будут предоставлять информацию о безопасности своих объектов по запросу ФСТЭК или в соответствии со своим внутренним регламентом. Об этом сообщило издание "Коммерсант".

Согласно информации, полученной от журналистов, знакомых с методикой оценки безопасности информации государственных органов и объектов критически важной инфраструктуры в России, такую оценку необходимо проводить не реже одного раза в шесть месяцев. Компании должны собирать данные о состоянии своих объектов критически важной инфраструктуры (КИИ) и отправлять их регулятору не позднее 30 дней после установленного срока, который каждая компания определяет самостоятельно в соответствии со своими внутренними правилами или по запросу в ФСТЭК.

Незапланированная проверка проводится в случае обнаружения инцидента информационной безопасности или серьезных изменений в сетевой инфраструктуре организации. Однако в документе не указаны конкретные даты, начиная с которых организации должны отправлять отчеты в ФСТЭК.

Представители отрасли отметили, что благодаря этому документу организации, имеющие объекты критической инфраструктуры, смогут самостоятельно оценивать уровень своей безопасности.

Заместитель технического директора компании Innostage Данияр Исхаков заявил, что новая методика ФСТЭК позволит российским организациям сосредоточиться на минимально необходимом уровне защиты, поскольку требования в документе просты и понятны, что должно стимулировать отечественные компании действительно соблюдать их, а не делать это формально.

Бизнес-консультант российской компании по информационной безопасности Positive Technologies Алексей Лукацкий подчеркнул, что в данном случае ФСТЭК следует мировой практике оценки зрелости организации в области кибербезопасности.