Федеральная служба по техническому и экспортному контролю (ФСТЭК) будет вести рейтинг объектов критической информационной инфраструктуры (КИИ) для отражения их уровня информационной безопасности (ИБ). В него будут попадать все компании с самым низким уровнем защиты, допустившие взломы и утечки.

Инструмент планируется сделать автоматическим, чтобы степень защиты могла отображаться в режиме реального времени. При этом пока рейтинг будет носить рекомендательный характер, уточнил заместитель директора ФСТЭК Виталий Лютиков. Реестр составят исходя из коэффициента, присвоенного компании по результатам государственного контроля или на основе данных по компьютерным инцидентам.

По словам Лютикова, ранее служба направляла объектам КИИ более 170 рекомендаций по повышению уровня киберзащиты. Речь шла об устранении уязвимостей, регистрации ИБ-событий, резервном копировании данных, блокировке зарубежных поисковых ботов и нейтрализации угроз безопасности информации.

Технический директор Weblock (входит в ГК «Гарда») Лука Сафонов рассказал, что в настоящее время состояние защищенности компаний проверяется с помощью оценки уязвимости (Vulnerability Assessment). Как правило, этот уровень контролирует внутренний ИБ-департамент компании, но это мало где внедрено, отметил он.

Директор департамента расследований T.Hunter Игорь Бедеров считает, что рекомендательный характер рейтинга может сформировать правильный подход к киберзащищенности объектов КИИ. В случае перехода к обязательному исполнению рекомендованных требований они могут включать в себя аудиты безопасности, рекомендации по улучшению систем защиты информации, обучение персонала и другие меры, предположил он.