Минцифры России до конца года планирует создать реестр недопустимых нарушений кибербезопасности, доступный для всех организаций. Об этом «Коммерсанту» сообщили три источника в отрасли и подтвердили в министерстве.
По данным издания, в первую очередь речь идет о госорганах, госучреждениях и объектах критической информационной инфраструктуры, так как на них распространяется действие указа президента России Владимира Путина о дополнительных мерах обеспечения информационной безопасности страны. Согласно документу, на заместителей глав организаций ложится персональная ответственность за обнаружение и ликвидацию последствий атак.
Собеседник газеты сообщил, что в список в первую очередь должны внести опасные для ИT-инфраструктуры компаний сценарии, которые «нельзя допускать ни при каких условиях». Такие угрозы должны выявлять аудиторы вместе с руководителями оцениваемых организаций.
В Минцифры пояснили, что в рамках указа ряд организаций и органов должны были провести анализ защищенности и представить отчет в правительство России. Эти отчеты подтвердили необходимость в систематизации и категоризации перечня неприемлемых нарушений кибербезопасности, подчеркнули в ведомстве.
После того как будет составлен реестр, компании определят, что из перечисленного может быть для них характерно, и доложат правительству, отметил источник, близкий к разработке инициативы. По его словам, затем будет проведен мониторинг отсутствия возникновения таких нарушений кибербезопасности.
Путин 1 мая подписал указ о дополнительных мерах информационной безопасности, который касается федеральных и региональных органов исполнительной власти, государственных компаний и фондов, стратегических и системообразующих предприятий, а также «юридических лиц, являющихся субъектами критической информационной инфраструктуры».
Их руководителей обязали создать подразделения, которые будут выполнять функцию обнаружения и ликвидации последствий атак или возложить ее на существующие отделы.
Госструктуры должны также предоставлять ФСБ беспрепятственный доступ к собственным или используемым ими ресурсам для мониторинга и выполнять все указания.
Помимо этого указ запрещает госорганам использовать средства защиты информации, произведенные в «недружественных» странах. Этот запрет вступит в силу с 1 января 2025 года.
В конце марта российский лидер подписал указ, запрещающий госструктурам использовать иностранное программное обеспечение (ПО) на объектах критической информационной инфраструктуры. К 1 января 2025 года они должны перейти на софт отечественной разработки.
Виктория Тютина