ФСТЭК разработала единую методику оценки уровня защищённости российских компаний. Такой анализ в скором времени может стать обязательным.
По методичке будет проводится оценка уровня информационной безопасности. Пока такой анализ планируется внедрить в рекомендательном порядке, но есть все предпосылки, что государственные органы и компании, а также банки, операторы связи и другие объекты КИИ обязуют оценивать защищённость своих систем по методике ФСТЭК.
Оценку предлагается проводить с использованием 3 критериев: уровень защиты данных, скорость реагирования на инциденты и осведомлённость сотрудников. В зависимости от успешности анализа, компании могут присвоить уровень защищённости. Всего их 4: высокий, повышенный, базовый и низкий.
Такую инициативу положительно оценили в компаниях, относящихся к субъектам КИИ. Оценка уровня защищённости по одинаковым для всех параметрам позволит компаниям единообразно подходить к вопросам кибербезопасности, станет опорой для заказчиков и разработчиков, а также укажет на проблемные места.
Прозрачная методика категорирования и оценки уровня защищенности, а также четкие рекомендации по устранению выявленных в ходе проверок недочетов позволят субъектам КИИ единообразно и адекватно подходить к организации кибербезопасности.
— Алексей Плешков, замначальника департамента защиты информации Газпромбанка
ИБ-специалисты отмечают, что данная инициатива не сможет повысить уровень защищённости российских компаний, но позволит более системно подходить к этому вопросу, планировать закупки и обосновывать свои решения.
В любом случае, внедрение единой системы анализа кибербезопаности является важным шагом для российских компаний. Уровень кибербезопасности часто уходит на второй план, подтверждением чему является недавнее исследование ИБ-компании Positive Technologies. Компания проверила 27 проектов на наличие уязвимостей, которые сейчас активно используются злоумышленниками.
В 100% исследуемых компаний были обнаружены трендовые уязвимости, для которых уже выпущены обновления и патчи. Всего количество уязвимостей составило около 600, почти половина из которых относится к трендовым, то есть самыми опасными и актуальными на сегодняшний день.
Если такой уровень показывают пилотные проекты, то это говорит о серьёзных проблемах в подходе к кибербезопасности. Устранение и защиту от уязвимостей ИБ-специалисты считают одной из основных задач.