Во ФСТЭК пояснили «Коммерсанту», что методика предназначена для госорганов и организаций с госучастием, а также объектов критической информационной инфраструктуры (КИИ — банки, операторы связи, организации топливно-энергетического комплекса). На начальном этапе она будет носить рекомендательный характер, а обязательность внедрения оценят после апробации.
Ведомство предлагает выделить четыре уровня защищенности: низкий, базовый, базовый повышенный и высокий. Результат оценки будет складываться из трех основных показателей: организация и управление защитой информации, внедрение мер защиты, поддержка ее уровня (например, мониторинг и реагирование компании на инцидент, управление уязвимостями). Также будет учитываться обучение персонала и его осведомленность в вопросах кибербезопасности.
Новая методика ФСТЭК похожа на оценку «цифровой зрелости» организаций, которую аппарат вице-премьера Дмитрия Чернышенко применил к федеральным органам исполнительной власти в рамках цифровой трансформации, объяснил собеседник издания в правительстве. По его словам, методика необходима властям, поскольку «сейчас собрать картину кибербезопасности в КИИ очень сложно».
Субъекты КИИ в целом положительно оценили инициативу ФСТЭК.
Ранее сообщалось, что хакеры, требующие выкуп за расшифровку и отказ от публикации украденных данных, стали требовать со своих жертв в России гораздо меньше средств, чем раньше.
