Федеральная служба по техническому и экспортному контролю (ФСТЭК) анонсировала начало масштабной реформы в области защиты критической информационной инфраструктуры (КИИ), что предполагает разработку и внедрение новых нормативных актов, регулирующих кибербезопасность. В рамках этой инициативы ФСТЭК представила проект документа, направленного на стандартизацию процедур работы с объектами КИИ, который уже инициировал процесс общественного обсуждения. Ожидается, что в случае утверждения, данный нормативный акт вступит в силу осенью 2025 года.
Проект документа определяет перечень объектов, подлежащих требованиям по кибербезопасности, а также критерии категоризации значимости ИТ-систем. Инициатива охватывает широкий спектр отраслей, включая здравоохранение, научные исследования, транспорт, промышленность, телекоммуникации и финансовый сектор. Особое внимание уделяется информационным системам, автоматизированным комплексам и сетям управления технологическими процессами (АСУ ТП), отказ или компрометация которых может иметь катастрофические последствия.
Реформа предполагает более чёткое распределение функциональных обязанностей и рисков, что может привести к существенным изменениям в подходах к защите ИТ-инфраструктуры как на государственном, так и на корпоративном уровне. В пояснительной записке к проекту подчеркивается, что целью является обеспечение адекватного уровня защиты информационных систем, критически важных для функционирования различных отраслей экономики и социальной сферы.
Виталий Попов, представитель компании «Софтлайн Решения», занимающийся инфраструктурными проектами, в интервью изданию «Российская газета» отметил, что новая инициатива способствует устранению противоречий в интерпретации требований кибербезопасности. Ранее компании сталкивались с проблемой разночтения требований со стороны надзорных органов, что затрудняло реализацию мер по защите данных. Внедрение единого подхода позволит организациям более эффективно ориентироваться в нормативных требованиях, что особенно важно для компаний с ограниченными ресурсами.
Аналогичную точку зрения высказал Валерий Конявский, руководитель кафедры информационной безопасности Московского физико-технического института и глава научной деятельности в ОКБ САПР, который отметил, что новая система устраняет практику занижения значимости объектов КИИ, что ранее использовалось для минимизации затрат на защиту. Это приводило к ослаблению кибербезопасности в цифровом контуре. Теперь предполагается более точная идентификация уязвимостей и разработка мер защиты с учетом реальной критичности объектов.
Однако, в профессиональной среде существуют опасения, связанные с возможной формализацией подходов, которая может привести к некорректной классификации ИТ-ресурсов. Представители Softline выразили обеспокоенность тем, что без учета специфики конкретных объектов возможна ошибочная классификация, при которой второстепенные элементы могут быть избыточно защищены, в то время как стратегически важные объекты могут остаться без должного внимания.