В создаваемый реестр планируют внести опасные для ИТ-инфраструктуры организаций сценарии, которые «не могут быть допущены ни при каких условиях», уточнил один из собеседников «Ъ». Такие угрозы, по словам знакомого с ситуацией источника, должны обнаруживать привлеченные госструктурой аудиторы вместе с главами проверяемых организаций. По замыслу Минцифры РФ, реестром смогут воспользоваться все заинтересованные организации и учреждения.
В Минцифры РФ подчеркнули, что в соответствии с президентским указом (от 01.05.2022 г. о «Дополнительных мерах по обеспечению информационной безопасности» – прим. ред.) определенному перечню организаций и госорганов требовалось выполнить анализ защищенности своих сетей и направить отчёт в профильные госструктуры. Представитель министерства заявил, что предоставленные отчеты продемонстрировали, что требуется систематизировать и категорировать списки неприемлемых событий.
В ведомстве уверены, что реестр недопустимых событий в сфере ИБ будет сформирован до конца текущего года. На первом этапе будет установлен перечень таких событий, после чего госорганизации и предприятия смогут самостоятельно для себя определить, какие события являются для них характерными. Им потребуется направить соответствующий доклад в правительство и выполнить мониторинг отсутствия наступления таких событий. «Возможно, по итогам анализа ряда организаций Минцифры обратило внимание на ряд сценариев, которым не уделяется должное внимание. Сейчас ведомство хочет акцентировать внимание подразделений информационной безопасности. Для организаций характерно смещать усилия в область защиты ключевых сервисов и активов, в меньшей степени уделяя внимание репутационным потерям. Вместе с тем для государства ряд сценариев, например, взлом сайта госорганизации является серьезной имиджевой потерей, вызывающей существенный общественный резонанс. В целом появление подобного реестра положительно скажется на понимании ожиданий от заместителей по ИБ и соответствующих подразделений, которые должны появиться в соответствии с майским президентским указом», — прокомментировал инициативу Минцифры генеральный директор NGR Softlab Дмитрий Пудов.
«Это вполне ожидаемое и правильное решение. Появление подобного регистра стоит рассматривать как логичное продолжение и развитие исполнения требований Указа Президента РФ N250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Планируемая публичность реестра позволит создать прозрачную базу для обмена знаниями и технологиями между участниками рынка. Однако помимо самого реестра, стоит отдельно выделить отраслевые группы, так как для каждой отрасли недопустимые события могут быть кардинально разными. Возможно, имеет смысл также предусмотреть в реестре практический опыт, рекомендации и реальные примеры противодействия подобным угрозам, что повысит прозрачность и ценность ресурса. Кроме того, немаловажным моментом станет вопрос обновляемости данных в реестре, поскольку в современном мире информация об угрозах и рисках очень быстро устаревает», — заявил Александр Дворянский, директор по специальным проектам Angara Security.
«Изменения сейчас происходят очень динамично – растет число событий, атак, уязвимостей, меняются подходы к защите и решения. Поэтому сейчас руководители отделов и служб информационной безопасности вынуждены работать сразу по многим задачам — контроль комплаенса, поддержание текущего состояния ИБ, проработка замены решений и изменений в архитектуре, пилоты и пр. Выделить во всем этом многообразии действительно приоритетное – непросто, тем более при ограниченных бюджетах на ИБ. Реестр опасных сценариев поможет ИБ-подразделениям сконцентрироваться на недопущении конкретных событий. Думаю, это правильная инициатива. Особенно это будет полезно госструктурам и субъектам КИИ. Если к реестру со временем добавятся еще и практические рекомендации (сборники практик) по недопущению этих событий – будет особенно полезно», — подчеркнул Максим Головлев, технический директор iTPROTECT.