Минцифры хочет собрать данные о защищенности значимых компаний

“КоммерсантЪ”  ознакомился с письмом Минцифры от 7 июня, разосланным 58 ключевым государственным корпорациям. Из документа следует, что до 1 июля они должны провести оценку уровня защищенности своих информационных систем от киберугроз. Для оценки компании могут привлечь любые профильные организации, сертифицированные ФСТЭК и ФСБ.

Мероприятия проводятся в рамках указа президента Владимира Путина от 1 мая, но в самом указе не было отмечено, кто именно должен пройти проверку. В список Минцифры вошли, например, «Почта России», «Газпром-медиа холдинг» (ГПМ), «Росатом», СИБУР, Сбербанк и другие.

На сайте Минцифры размещено типовое техническое задание для выполнения работ.

Результаты направят в правительство, следует из письма Минцифры. «Информация будет учитываться при разработке мер обеспечения безопасности информационных ресурсов РФ»,— уточнили в министерстве. Там не пояснили, будут ли организации проводить проверку за собственный счет или ее оплатит государство. Собеседник в одной из компаний говорит, что этот вопрос еще не решен.

Из технического задания следует, что необходимо выявить стратегические риски, то есть недопустимые события для каждого предприятия, уязвимости в системе, которые «могут быть использованы внешними и внутренними нарушителями», а также недостатки применяемых средств защиты. К категории недопустимых событий Минцифры относит утечки персональных данных и другой информации конфиденциального характера, мошеннические действия в банковских системах и т. д.

Организации должны провести анализ рисков и последующие киберучения, включая тестирование на проникновение, проверку работы средств защиты и сканирование уязвимостей, объясняет директор центра мониторинга и противодействия кибератакам IZ:SOC «Информзащиты» Иван Мелехин.

Для решения задачи одной небольшой компании, по его словам, может потребоваться 40–50 дней в зависимости от количества задействованных сотрудников, при этом специалисты должны обладать высокой квалификацией. Также придется использовать специализированное ПО, например сканеры уязвимостей, однако не все отечественные продукты удовлетворяют заявленным требованиям, отмечает господин Мелехин: «Процесс усложнит уход иностранных поставщиков, продукты которых могли выполнить эти задачи». С начала марта российский рынок покинули профильные ESET, Avast, Fortinet, NortonLifeLock Inc., Forcepoint (Websense) и другие.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!