Минцифры заплатит за безопасность из кошелька "Экономики данных"
Об этом сказано в проекте постановления правительства РФ "О проведении эксперимента по повышению уровня защищенности государственных информационных систем (ГИС) федеральных органов исполнительной власти (ФОИВ) и подведомственных им учреждений", который Минцифры России разместило для общественного обсуждения на официальном портале нормативно-правовых актов.
Ранее эксперимент по повышению уровня защищенности ГИС госорганов проводился с 2022 г. и завершился 31 декабря 2024 г. В нем принимало участие 22 ФОИВ и 100 ГИС. Представитель пресс-службы Минцифры сообщил корреспонденту ComNews, что благодаря этому эксперименту участники согласовали необходимые меры для повышения безопасности ГИС. Нынешним документом предлагается продлить эксперимент до 31 декабря 2027 г.
В предстоящем эксперименте может принять участие как само Министерство цифрового развития, связи и массовых коммуникаций РФ, так и федеральные органы исполнительной власти и их подведомственные организации. Государственные внебюджетные фонды и иные организации могут быть также привлечены к участию в эксперименте по согласованию с ними и в зависимости от решения президиума правительственной комиссии по цифровому развитию.
В пояснительной записке к проекту постановления сказано, что Минцифры России при участии ФСБ России и ФСТЭК России в 2022-2024 гг. обеспечило выполнение работ по повышению уровня защищенности 100 ГИС 22 федеральных органов исполнительной власти (Минцифры России, Минпромторга России, Минвостокразвития России, МЧС России, Минпросвещения России, Минтранса России, Минэкономразвития России, Росгвардии, Ростехнадзора, Рослесхоза, Росморречфлота, Росжелдора, Роснедр, Россельхознадзора, Росстандарта, Росимущества, Росгидромета, Росмолодежи, Росрезерва, ФССП России, ФСИН России, ФМБА) и двух подведомственных учреждений федеральных органов исполнительной власти (ФГАНУ "Федеральный институт цифровой трансформации в сфере образования" и ФГБУ "СИЦ Минтранса России").
В пояснительной записке уточняется, что принятие проекта постановления позволит продолжить положительную практику обеспечения проактивной защиты информации, повышения уровня защищенности ГИС для снижения рисков компрометации данных, управленческих, финансовых и репутационных рисков. "В рамках мероприятия планируется ежегодно осуществлять независимую оценку защищенности не менее 43 ключевых значимых государственных ресурсов (публичных федеральных сервисов и ГИС, содержащих значительные объемы персональных данных)", - сказано в пояснительной записке.
Представители пресс-служб Минэкономразвития, Росгвардии, Ростехнадзора, Росморречфлота оставили запрос корреспондента ComNews без комментария, а в пресс-службе Минпросвещения сообщили, что пресс-служба министерства не уполномочена комментировать проекты нормативных актов других органов исполнительной власти.
Ответы от министерств
Представитель пресс-службы Минпромторга рассказал о том, что министерство на регулярной основе проводит мероприятия по повышению уровня защищенности информационных систем и сервисов, направленных на блокирование (нейтрализацию) угроз безопасности информации, обеспечение конфиденциальности, целостности и доступности обрабатываемой информации. "В рамках эксперимента по повышению уровня защищенности государственной информационной системы промышленности (ГИСП) были получены независимые оценки текущего уровня защищенности. На основе анализа защищенности внутреннего и внешнего периметра системы, архитектурно-документарного анализа проработаны решения, направленные на нейтрализацию выявленных уязвимостей (недостатков), проведены работы по повышению уровня защищенности персональных данных", - отметил представитель пресс-службы Минпромторга.
Заместитель руководителя Рослесхоза Вячеслав Спиренков сообщил корреспонденту ComNews, что при создании Федеральной государственной информационной системы лесного комплекса (ФГИС ЛК) работа была направлена на создание комплексной системы защиты, которая соответствует современным отечественным стандартам в области информационной безопасности. Он подчеркнул, что в рамках работы по повышению уровня защищенности ФГИС ЛК министерство сосредоточилось на следующих ключевых направлениях информационной безопасности:
- Управление доступом и аутентификация. Разработаны и внедрены механизмы аутентификации на базе ЕСИА, а также управления доступом на основе ролей, что позволило минимизировать риски несанкционированного доступа к персональным данным пользователей ФГИС ЛК.
- Аудит, мониторинг и анализ угроз: внедрены системы управления событиями безопасности, а также выявления уязвимостей, которые позволяют оперативно выявлять и реагировать на потенциальные инциденты безопасности.
Владимир Спиренков считает, что нет предела в процессе организации защиты информации. Он отметил, что Рослесхоз тесно взаимодействуют по вопросам информационной безопасности с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), специалистами ФСТЭК и ФСБ России, чтобы проактивно настраивать средства защиты информации под новые угрозы. Владимир Спиренков добавил, что Рослесхоз будет принимать участие в эксперименте с учетом новых сроков.
Представитель пресс-службы МЧС России рассказал о том, что в МЧС России отсутствуют государственные информационные системы: "Вместе с тем министерство в 2024 г. приняло участие в эксперименте по повышению уровня защищенности информационных систем МЧС России, в том числе используемых для взаимодействия с гражданами. Уязвимости устранены, а рекомендации приняты к реализации. Эти мероприятия позволили значительно укрепить систему защиты информации информационных систем МЧС России. В дальнейшем необходимо продолжить планомерную работу по повышению уровня их защищенности в условиях постоянно изменяющихся внешних факторов".
Экспертный взгляд
Эксперт направления безопасности промышленных предприятий ООО "Инфосекьюрити Сервис" (Infosecurity, входит в ГК Softline) Александр Метальников считает, что любые мероприятия, которые направлены на повышение уровня информационной безопасности, всегда можно трактовать только в положительном ключе.
Александр Метальников отметил, что данный эксперимент нацелен именно на так называемую реальную защищенность информационных систем, поэтому чем больше информационных систем попадет под эксперимент, тем лучше. "Другой вопрос, что все государственные информационные системы в любом случае под действие эксперимента не попадут, и операторам этих систем так или иначе придется самостоятельно заниматься обеспечением их безопасности. Выводы и рекомендации по итогам эксперимента, которые периодически доводятся до федеральных и региональных органов власти, госкорпораций и иных организаций, как раз и могут помочь правильно подойти к вопросам обеспечения безопасности", - добавил эксперт.
Эксперт по информационной безопасности ООО "Новые облачные технологии" ("МойОфис") Дмитрий Костин считает, что практику по повышению защищенности ГИС ФОИВ необходимо перевести на постоянную основу: "Фактически государство начинает проводить аудит информационной безопасности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений".
Руководитель ИБ-комитета АРПП "Отечественный софт", директор по стратегии и развитию технологий АО "Аксиом" (Axiom JDK) Роман Карпов считает, что продление эксперимента до 2027 г. обусловлено необходимостью глубокой защиты государственных информационных систем и устранения выявленных уязвимостей. "За прошедший период удалось провести аудит 100 ГИС в 22 ФОИВ, выявить риски и сформировать перечень мер по их устранению. Значительная работа проделана в области импортозамещения средств защиты информации и перехода на сертифицированные отечественные решения. Усилены требования к архитектуре ГИС, управлению доступом и мониторингу событий безопасности. Внедряются принципы Zero Trust Security и механизмы защиты межсервисного взаимодействия. Продление сроков позволит масштабировать эти решения на новые ГИС, провести дополнительные испытания и повысить устойчивость к киберугрозам. В результате госинфраструктура получит более высокий уровень защиты, снижая риски компрометации данных и финансовых потерь".
