Минцифры заплатит за безопасность из кошелька "Экономики данных"
Об этом сказано в проекте постановления правительства РФ "О проведении эксперимента по повышению уровня защищенности государственных информационных систем (ГИС) федеральных органов исполнительной власти (ФОИВ) и подведомственных им учреждений", который Минцифры России разместило для общественного обсуждения на официальном портале нормативно-правовых актов.
Ранее эксперимент по повышению уровня защищенности ГИС госорганов проводился с 2022 г. и завершился 31 декабря 2024 г. В нем принимало участие 22 ФОИВ и 100 ГИС. Представитель пресс-службы Минцифры сообщил корреспонденту ComNews, что благодаря этому эксперименту участники согласовали необходимые меры для повышения безопасности ГИС. Нынешним документом предлагается продлить эксперимент до 31 декабря 2027 г.
В предстоящем эксперименте может принять участие как само Министерство цифрового развития, связи и массовых коммуникаций РФ, так и федеральные органы исполнительной власти и их подведомственные организации. Государственные внебюджетные фонды и иные организации могут быть также привлечены к участию в эксперименте по согласованию с ними и в зависимости от решения президиума правительственной комиссии по цифровому развитию.
В пояснительной записке к проекту постановления сказано, что Минцифры России при участии ФСБ России и ФСТЭК России в 2022-2024 гг. обеспечило выполнение работ по повышению уровня защищенности 100 ГИС 22 федеральных органов исполнительной власти (Минцифры России, Минпромторга России, Минвостокразвития России, МЧС России, Минпросвещения России, Минтранса России, Минэкономразвития России, Росгвардии, Ростехнадзора, Рослесхоза, Росморречфлота, Росжелдора, Роснедр, Россельхознадзора, Росстандарта, Росимущества, Росгидромета, Росмолодежи, Росрезерва, ФССП России, ФСИН России, ФМБА) и двух подведомственных учреждений федеральных органов исполнительной власти (ФГАНУ "Федеральный институт цифровой трансформации в сфере образования" и ФГБУ "СИЦ Минтранса России").
В пояснительной записке уточняется, что принятие проекта постановления позволит продолжить положительную практику обеспечения проактивной защиты информации, повышения уровня защищенности ГИС для снижения рисков компрометации данных, управленческих, финансовых и репутационных рисков. "В рамках мероприятия планируется ежегодно осуществлять независимую оценку защищенности не менее 43 ключевых значимых государственных ресурсов (публичных федеральных сервисов и ГИС, содержащих значительные объемы персональных данных)", - сказано в пояснительной записке.
Представители пресс-служб Минпромторга, Минэкономразвития, Росгвардии, Ростехнадзора, Рослесхоза, Росморречфлота оставили запрос корреспондента ComNews без комментария, а в пресс-службе Минпросвещения сообщили, что пресс-служба министерства не уполномочена комментировать проекты нормативных актов других органов исполнительной власти.
Эксперт направления безопасности промышленных предприятий ООО "Инфосекьюрити Сервис" (Infosecurity, входит в ГК Softline) Александр Метальников считает, что любые мероприятия, которые направлены на повышение уровня информационной безопасности, всегда можно трактовать только в положительном ключе.
Александр Метальников отметил, что данный эксперимент нацелен именно на так называемую реальную защищенность информационных систем, поэтому чем больше информационных систем попадет под эксперимент, тем лучше. "Другой вопрос, что все государственные информационные системы в любом случае под действие эксперимента не попадут, и операторам этих систем так или иначе придется самостоятельно заниматься обеспечением их безопасности. Выводы и рекомендации по итогам эксперимента, которые периодически доводятся до федеральных и региональных органов власти, госкорпораций и иных организаций, как раз и могут помочь правильно подойти к вопросам обеспечения безопасности", - добавил эксперт.
Эксперт по информационной безопасности ООО "Новые облачные технологии" ("МойОфис") Дмитрий Костин считает, что практику по повышению защищенности ГИС ФОИВ необходимо перевести на постоянную основу: "Фактически государство начинает проводить аудит информационной безопасности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений".
Руководитель ИБ-комитета АРПП "Отечественный софт" Роман Карпов считает, что продление эксперимента до 2027 г. обусловлено необходимостью глубокой защиты государственных информационных систем и устранения выявленных уязвимостей. "За прошедший период удалось провести аудит 100 ГИС в 22 ФОИВ, выявить риски и сформировать перечень мер по их устранению. Значительная работа проделана в области импортозамещения средств защиты информации и перехода на сертифицированные отечественные решения. Усилены требования к архитектуре ГИС, управлению доступом и мониторингу событий безопасности. Внедряются принципы Zero Trust Security и механизмы защиты межсервисного взаимодействия. Продление сроков позволит масштабировать эти решения на новые ГИС, провести дополнительные испытания и повысить устойчивость к киберугрозам. В результате госинфраструктура получит более высокий уровень защиты, снижая риски компрометации данных и финансовых потерь".
