Loading...

Ecole polytechnique/FLickr

Экспертная группа по кибербезопасности НТИ EnergyNet подготовила аналитический отчет, в котором сообщает, что большинство IT-компаний России хотело бы оптимизировать и дополнить регулирование в сфере информационной безопасности. В частности, речь идет о законах о персональных данных и безопасности критической информационной инфраструктуры. Копия отчета есть в распоряжении редакции InScience.News.

Основой для отчета стал анонимный опрос специалистов и компаний сферы информационной безопасности, проведенный в марте 2021 года. С его помощью экспертная группа по кибербезопасности НТИ EnergyNet получила независимое экспертное мнение о текущем состоянии нормативной правовой и методической базы РФ в области информационной безопасности.

«Около 35% организаций и 42% специалистов принимают участие в законодательной работе (участие в подготовке законодательных инициатив, экспертизы, отзывы на проекты НПА). При этом 60% респондентов отрицательно оценивают качество разрабатываемых общих нормативно-правовых документов, по 67% — качество разрабатываемых отраслевых нормативных правовых документов и качество терминологической базы. Большинство опрошенных — 82% респондентов — негативно высказались о разрабатываемых общих и отраслевых проектах нормативных правовых документов», — отмечается в документе.

Опрошенные считают, что законодательство и методические базы по ИБ должны быть обновлены. Порядка 55% респондентов отметили, что неоднозначность и противоречия в документах должны быть устранены, как и возможность широкой и вольной трактовки. Кроме того, 20% выступает за то, чтобы подзаконные акты выпускались одновременно с соответствующими нормативными правовыми актами, а 10% поддерживают практику предварительной апробации нормативных правовых и методических документов перед их утверждением. Эти тренды поддерживаются всеми группами респондентов.

«Судя по аудитории опроса, речь идет о нормативных правовых актах, связанных с безопасностью личных данных россиян и безопасностью критической информационной инфраструктуры. В частности, это ФЗ-187 "О безопасности критической информационной инфраструктуры" и ФЗ-152 “О персональных данных”», — отметил соавтор отчета, руководитель центра компетенций «Кибербезопасность» рынка EnergyNet Национальной технологической инициативы Алексей Петухов.

«Изменения предполагают как создание новых документов, так и доработку и объединение существующих. Например, с точки зрения закона о безопасности КИИ [ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации” — примечание InScience.News] — существует акт категорирования для предприятий ТЭК, который фактически содержит описание моделей угроз, и есть методика моделирования угроз безопасности информации. Эти документы дублируют друг друга. В рамках оптимизации можно создать единый документ», — предположил Петухов.

«Результаты исследования свидетельствуют о наличии необходимости гармонизации общих и отраслевых нормативных правовых и методических документов. Качественный понятийный аппарат является залогом эффективного взаимодействия специалистов при обеспечении кибербезопасности энергетики», — прокомментировал независимый эксперт Центра компетенций «Кибербезопасность» Андрей Боровский.

Центр компетенций «Кибербезопасность» был сформирован на базе НТИ EnergyNet. Среди его задач — решение нормативных и методологических вопросов обеспечения кибербезопасности. Также Центр компетенций собирает идеи участников рынка и подготавливает предложения для оптимизации текущего законодательства РФ, связанного с информационной и кибербезопасностью.

«Это первый из наших блиц-опросов и исследований, посвященных вопросам информационной безопасности. Надеюсь, он поможет сформировать прикладные шаги регуляторов и активной части сообщества в развитие нормативной базы», — рассказал Алексей Петухов.


Подписывайтесь на InScience.News в социальных сетях: ВКонтакте, Telegram, Одноклассники.