Минцифры создаст реестр недопустимых нарушений кибербезопасности

Минцифры планирует создать реестр недопустимых событий в области кибербезопасности, который будет открыт для всех организаций. Об этом «Ъ» сообщили три источника в отрасли и подтвердили в министерстве.

В первую очередь речь идет о госорганах, госучреждениях и объектах КИИ — именно на них распространяется действие указа президента от 1 мая о дополнительных мерах по обеспечению информационной безопасности. Согласно указу, на заместителей глав организаций ложится персональная ответственность за обнаружение и ликвидацию последствий атак.

Как пояснил собеседник издания, список будет включать опасные для IT-компаний сценарии, которые «нельзя допускать ни при каких условиях». К выявлению потенциальных угроз Минцифры намерено привлечь аудиторов и руководителей оцениваемых организаций.

В министерстве рассказали, что в рамках указа президента ряд организаций и органов должны были провести анализ защищенности и представить отчет в правительство. Проделанная работа показала, что неприемлемые события нужно систематизировать. В Минцифры уточнили, что реестр будет готов до конца года.

После того как перечень заработает, компании должны будут определить для себя наиболее характерные сценарии и доложить о них правительству, добавил источник, близкий к разработке инициативы. Затем организации проведут мониторинг, который должен подтвердить, что нарушений кибербезопасности нет.

Сейчас проблема в том, что компании направляют в Минцифры абстрактные формулировки о рисках безопасности, за которыми не стоит понимание проблемы, рассказывает независимый эксперт по кибербезопасности Алексей Лукацкий:

«Здесь же есть возможность показать наглядно, от чего каждая компания должна защититься. Но важен не просто список, а верификация каждого события, его демонстрация».

Например, реальная остановка профессионалами оборудования предприятия, после которой глава компании будет понимать, что это возможно, какой убыток он понесет и что ему нужно сделать, чтобы этого не произошло, поясняет эксперт: «Тогда реестр станет точкой отсчета при оценке уязвимости компаний из всех сфер».

Важным аспектом выглядит поддержание актуальности данных в реестре, говорит специалист Group-IB по информационной безопасности Сергей Золотухин:

«Без регулярного обновления реестр рискует превратиться в своеобразное кладбище недопустимых событий, которые уже давно не происходят».

Куда больший интерес представляет собой реальный опыт борьбы с последствиями уже реализованных рисков и механизмов их предотвращения, считает партнер фирмы «Рустам Курмаев и партнеры» Дмитрий Горбунов: «Обмен таким опытом выглядит более актуальным, это может быть следующим шагом».

По мнению создателя «Эшер II» Филиппа Кулина, данная инициатива похожа на «обязанность публиковать инциденты»:

«Честно говоря, просто в какой-то момент времени все перестанут обращать на реестр внимание, а сам он станет инструментом шантажа (кого угодно кем угодно). Ну так, на первый взгляд».

К тому же, непонятно, кто этот реестр будет наполнять. «Это ведь отдельная история», – подчёркивает эксперт.