Минцифры продлило сроки эксперимента по повышению защищенности ГИС ФОИВ
Министерство цифрового развития, связи и массовых коммуникаций РФ предложило продлить срок эксперимента по повышению уровня защищенности (ГИС ФОИВ) до конца 2025 г. Соответствующий проект постановления опубликован для обсуждения 8 ноября. Обсуждение продлится до 22 ноября. На данный момент срок окончания эксперимента - 31 декабря 2024 г.
Как говорится в пояснительной записке к постановлению, "паспортом федерального проекта в 2024 г. предусмотрено достижение связанного с мероприятием показателя "Количество государственных информационных систем, на которых проведен контроль за обеспечением уровня защищенности информации, предусмотренный требованиями о защите информации, от общего количества государственных информационных систем" - 60 штук".
В 2022 г. эксперимент был апробирован на 20 ГИС Минцифры России. В 2023 г. в эксперименте приняли участие шесть федеральных органов исполнительной власти (Минпромторг, Минвостокразвития, ФСИН, Росрезерв, Росмолодежь, ФМБА) - всего 17 ГИС.
В 2024 г. в эксперименте принимают участие 18 федеральных органов исполнительной власти (МЧС России, Минпросвещения, Минтранс, Минэкономразвития, Росгвардия, Ростехнадзор, Рослесхоз, Росморречфлот, Росжелдор, Роснедра, Россельхознадзор, Росстандарт, Росимущество, Росгидромет, Росмолодежь, ФССП России, ФСИН России, ФМБА) и два подведомственных учреждения ФОИВ (ФГАНУ "ФИЦТО" Минпросвещения России и ФГБУ "СИЦ Минтранса России") - всего 63 ГИС.
Для достижения показателя мероприятия Минцифры в тексте проекта постановления предлагает продлить сроки проведения эксперимента до 31 декабря 2025 г.
"На данный момент уровень защищенности ГИС ФОИВ можно оценить как недостаточный. Многие системы сталкиваются с уязвимостями, который эксплуатируют киберпреступники. Основные причины этого понятны и очевидны. Это устаревшее программное обеспечение, недостаточное финансирование различных мероприятий по кибербезопасности, а также нехватка квалифицированных кадров. Продление эксперимента может быть связано с необходимостью доработок существующих систем. Известно, что когда обычная компания проводит разработку публичного сервиса, она также несколько раз проводит аудит безопасности и тестирование на проникновение. Это позволяет постепенно совершенствовать защитные механизмы", - рассказал директор департамента расследований T.Hunter, эксперт рынка НТИ SafeNet ("Сейфнет") Игорь Бедеров.
Ранее сроки эксперимента продлевались уже два раза. Целями эксперимента являются получение независимой оценки текущего уровня защищенности ГИС, сбор информации (инвентаризация) о системах защиты информации, размещенной в ГИС, выявление недостатков (уязвимости) средств защиты информации и программного обеспечения, применяемых в ГИС, и пр. В процессе проведения эксперимента Минцифры должно разработать и согласовать со ФСТЭК и ФСБ типовое техническое задание на выполнение работ по повышению уровня защищенности ГИС ФОИВ и подведомственных им учреждений.
По недавней оценке ФСТЭК, 89% проверенных объектов критической информационной инфраструктуры (КИИ) не соответствуют установленным требованиям к защищенности от кибернападений.
"Большой процент проверенных объектов КИИ не соответствует установленным требованиям, так как некоторые критерии, по которым проводится оценка, не являются обязательными для большинства организаций. Это меры по многофакторной аутентификации (2FA) и централизованному сбору событий безопасности (SIEM). По методике расчета, если хотя бы одна мера не выполняется, то уже будет статус низкого уровня защищенности. Ситуация может улучшиться, когда проведение оценки защищенности будет обязательным - пока это на добровольной основе или по запросу ФСТЭК России - и когда введут новые требования для ГИС", - объяснила заместитель руководителя департамента аудита и консалтинга АО "Инфозащита" (iTPROTECT) Алена Лукашева.