Минцифры ввело параметр информационной безопасности в рейтинг цифровой трансформации госорганов. Теперь федеральные и региональные ведомства должны ежемесячно предоставлять информацию о мерах защиты своих ИТ-систем, включая тестирование белыми хакерами Bug Bounty. Об этом пишет «Коммерсант».
Программа пока не закреплена законодательно из-за разногласий со спецслужбами, но в Минцифры надеются, что её включение в отчёт может помочь усилить внимание к ИБ. В то же время далеко не все чиновники считают такую работу необходимой, а эксперты подчёркивают, что только отчётами проблему киберзащиты госсектора не решить.
Федеральные и региональные органы исполнительной власти начнут отчитываться о киберзащищённости своих ИТ-систем. В Минцифры уточнили, что показатель «Информационная безопасность» вошёл в рейтинг цифровой трансформации в июле и будет рассчитываться на ежемесячной основе. Среди параметров — создание структурного подразделения по обеспечению ИБ, импортозамещение в сфере кибербезопасности, мероприятия по оценке уровня защищённости систем, в том числе Bug Bounty, и другое.
В 2022 году Минцифры предлагало ввести понятие Bug Bounty в российское законодательство, обеспечив легальный статус белых хакеров. Однако инициатива вызвала вопросы у силовых структур, в частности из-за риска неправомерного доступа к значимым данным, поэтому работа над законопроектом приостановлена. В результате министерство само «стимулирует госсектор осваивать механизм тестирования, в частности через ИБ-отчётность», пишет издание.
Согласно данным опроса, проведённого «Коммерсантом», ряд региональных органов власти уже готовят отчёты по ИБ, а некоторые узнали о требованиях от журналистов. В ряде регионов не видят необходимости в подготовке подобной документации, поскольку информация уже есть в Минцифры.
По оценкам опрошенных изданием экспертов в области ИБ, отход от «бумажной ИБ» к риск-ориентированному подходу позволит увеличить усилия по анализу защищённости ИТ-систем силами профессионалов. Однако помимо поиска уязвимостей, необходимо выстроить процессы, которые позволят устранять обнаруженные дыры в периметре ИТ-систем. Также эксперты сомневаются, что ежемесячные отчёты способны всерьез улучшить ситуацию с ИБ.
