Федеральная служба технического экспортного контроля (ФСТЭК) разработала правила оценки защищенности государственных органов власти и объектов критически значимой инфраструктуры РФ (КИИ). Проверка должна проводиться с периодичностью не реже одного раза в полгода.

Организации будут собирать данные о состоянии своих объектов и направлять их регулятору не позднее 30 дней с определенного срока (его установит каждая компания во внутреннем регламенте) или запроса ФСТЭК. Внеочередная проверка пройдет в случае инцидента ИБ или значимых изменений в ИТ-инфраструктуре организации.

Отчеты компаний должны включать:

• результаты внутреннего контроля за обеспечением безопасности;

• результаты внешней оценки;

• документацию на средства защиты, используемые компаниями;

• результаты опроса сотрудников о том, какие задачи они выполняют с теми или иными ИТ-системами и как те защищены.

В МТС готовы следовать требованиям методики. В «Билайне» считают, что результаты оценки могут указать на проблемы, требующие немедленного устранения. В Ассоциации банков России рассчитывают, что документ также поможет проводить и самостоятельную проверку текущего состояния защищенности ИТ-периметра.

Бизнес-консультант Positive Technologies Алексей Лукацкий отметил: «Даже если пока методика будет носить рекомендательный характер, то со временем может стать обязательной для всех субъектов КИИ».