Оценка зрелости: ФСТЭК опубликовала проект методики подсчета уровня зрелости ИБ
ФСТЭК опубликовала проект методики оценки уровня зрелости технической защищенности информационных систем и обеспечения безопасности значимых объектов критической информационной инфраструктуры (ЗО КИИ). Документ предлагает количественную оценку по 21 направлению — от организации управления защитой до применения ИИ. Эксперты отмечают, что внешнюю оценку смогут проводить только лицензиаты ФСТЭК, а дефицит таких кадров может привести к росту цен и очередям на аудит.
Федеральная служба по техническому и экспортному контролю России опубликовала проект новой методики. Она касается оценки уровня зрелости технической защищенности информации в информационных системах, а также обеспечения безопасности значимых объектов критической информационной инфраструктуры (ЗО КИИ). Документ опубликован на сайте ведомства.
Новая методика вкладывается в логику развития приказа №117 от ФСТЭК. Как писал SecPost, согласно приказу, каждые 6 месяцев организации будут должны проводить оценку состояния защиты и сравнение с нормированными показателями, а каждые 2 года — оценивать показатель уровня зрелости мероприятий по ИБ. Новая методика касается оценки вышеупомянутого уровня показателя зрелости (ПЗИ).
Согласно методике, высчитывать зрелость систем могут как сами организации, так и сторонние специалисты. При этом внешняя оценка показателя уровня зрелости будет считаться более объективной. Как отмечает бизнес-партнер по кибербезопасности Cloud.ru Юлия Липатникова, для таких работ будут необходимы штатные эксперты по стандартам ФСТЭК — у специалиста должен быть профильный диплом и стаж от 3 лет (для инженера) до 5–7 лет (для руководителя) у лицензиата ФСТЭК.
«Таких кадров на рынке немного, — отмечает Липатникова. — Возникнет дефицит времени экспертов, ждать придется не сертификата в окне, а начала работ — аудиторы будут расписаны на месяцы вперед».
Липатникова считает, что уже сейчас становится актуальным запуск внутренней оценки. По мнению эксперта, это поможет выявить зоны роста и снизить стоимость внешнего аудита
Специалист по связям с государственными органами «СерчИнформ» Дмитрий Вощуков в то же время отмечает, что лицензиатов в целом должно хватить. Согласно реестру ФСТЭК, лицензии есть у более чем 3,3 тысяч организаций.
«Недостатка в компаниях, которые могли бы провести внешнюю оценку, нет. Однако цены на их услуги могут вырасти из-за увеличения спроса в случае принятия новой методологии», — обращает внимание эксперт.
Методикой предлагается количественная оценка зрелости по 21 направлению в ЗО КИИ — от организации и управления защитой до защиты ИИ. Каждое направление отдельно оценивается по восьми категориям, каждая со своим «весом». Также в методике приводится формула расчета зрелости. По словам директора по ИБ в интеграторе «Рубикон» Артема Половинко, сейчас в нормативных документах нет исчерпывающей конкретики касательно ИИ. Есть несколько ГОСТов, но детальной проработки не хватает.
«Сейчас, как мне кажется, очередной переходный период, когда каждый будет делать свою методику такой оценки, используя основные идеи — контроль обучающих выборок, тестирование ввода и ответов моделей. Очень правильно было отмечено, что ИИ фактически это набор математических функций, чистая статистика», — говорит эксперт.
Вощуков из «СерчИнформ» отмечает, что специальных требований по оценке ИБ при применении ИИ пока нет. Но оцениваемые процессы и результаты известны, по крайней мере, для части отраслей. В «СерчИнформ» полагают, что в этом направлении будет оцениваться соответствие применения ИИ требованиям ИБ, актуальным для сфер, в которых используются эти решения.
«Для субъектов критической информационной инфраструктуры уже принят предварительный национальный стандарт (ПНСТ) 1046-2026 «Искусственный интеллект в критической информационной инфраструктуре. Общие положения». Для организаций, выполняющих 117-й приказ ФСТЭК, в методическом документе Службы от 12 апреля также предусмотрены предписания в части защиты информации при применении ИИ», — напоминает Вощуков.
Липатникова из Cloud.ru, в частности, указывает, что компаниям будет необходимо доказать, что их ИИ-системы не создают скрытых каналов утечки. Также нужно будет подтвердить, что поведение ИИ детерминировано (или контролируемо) в рамках модели угроз и что при этом используются механизмы контроля целостности самой модели ИИ.
«Документ своевременный и чрезвычайно полезный. Он прощается с «бумажной» безопасностью прошлого десятилетия, — резюмирует Липатникова. — Происходит переход от статической аттестации к непрерывному контролю. Внедрение ПЗи вынуждает компании строить СУИБ не «для проверки», а для реального управления рисками, измеряя их количественно».
Половинко из «Рубикона» также отмечает значимость методики. По его мнению, любые документы, которые приводят к осознанию того, что ИБ — это процесс, а не «результат в виде бумажки», очень важны. Директор отмечает, что методика вкладывается в логику последних регуляторных разработок ФСТЭК. «Последние годы активно продвигается и формируется именно такой подход, что необходим контроль, выстраивание процессов как в целом в ИТ, так и в ИБ в частности», — отмечает Половинко.
Эксперт считает, что у операторов информационных систем разного уровня ранее было ошибочное представление, что необходимо выполнять минимальные требования ИБ, главное — «получить аттестат, положить на полку рядом с сертифицированными средствами защиты». Регуляторика была «страшилкой в виде штрафов». Но с 2022 года видна радикальная перемена:
«Нынешняя геополитическая обстановка очень способствует повышению уровня реальной защищенности с точки зрения ИТ во всех отраслях экономики, — отмечает эксперт. — Сейчас уже и регулятор в документах говорит о том, что есть стадия эксплуатации, где жизненно важно построить сам процесс защиты информации, выявления уязвимостей, реагирования на инциденты информационной безопасности».
