Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации совместно с Федеральной службой по техническому и экспортному контролю разработали новые рекомендации, направленные на обеспечение устойчивости и безопасности критической информационной инфраструктуры в сфере связи.
Эти рекомендации касаются всех организаций, которые являются субъектами критической информационной инфраструктуры. В соответствии с рекомендациями, компании, входящие в перечень субъектов критической информационной инфраструктуры, должны сформировать специальную рабочую группу. Задача этой группы — определить наиболее важные системы, от которых зависит функционирование бизнеса. Эти системы связаны с внутренними цифровыми процессами и управлением информационными потоками.
Александр Жуков, представитель Министерства цифрового развития, сообщил, что организации, обрабатывающие данные, имеющие гриф государственной тайны, должны взаимодействовать с соответствующими органами власти. Кроме того, к ним предъявляются дополнительные требования по составлению отчётов, отражающих состояние защищённости используемых систем.
Для каждой критичной системы необходимо провести предварительную оценку возможного ущерба. Речь идёт о масштабах потерь, связанных с неработоспособностью системы: сколько пользователей будет затронуто, как это повлияет на деловую активность организации и какие последствия это может иметь для государственных органов.
Специалисты подчёркивают, что компании должны использовать современные технологии информационной безопасности, отслеживать актуальные угрозы и регулярно проверять свои IT-инструменты. Это поможет быстро выявлять уязвимости и устранять их до того, как они приведут к серьёзным проблемам.
В разъяснениях к документу говорится, что любая организация, работающая в сфере связи, автоматически считается субъектом критической информационной инфраструктуры в этой области. Это положение закреплено в Федеральном законе № 187-ФЗ.
Для того чтобы юридическое лицо или индивидуальный предприниматель были включены в список субъектов критической информационной инфраструктуры, необходимо наличие лицензии на оказание услуг связи. Это требование установлено постановлением Правительства от 30 декабря 2020 года № 2385. Также учитывается наличие в собственности или аренде инфраструктурных объектов, включая точки обмена трафиком и центры обработки данных.