Уже к концу 2022 года Минцифры представит на суд общественности реестр событий, которые нельзя допускать в сфере кибернетической безопасности. Конечно же, в первую очередь этот реестр касается государственных структур. Что подразумевается под недопустимыми событиями? Минцифры относит к таким событиям взлом официальных страниц государственных организаций, открытие доступа к сведениям о лицах государственных учреждений, или даже рассылка подобной информации.

Этот реестр станет обязательным для исполнения для глав компаний, которые несут ответственность за выявление и устранение последствий кибератак.

Что включат в реестр?

Сценарии кибератак, которые опасны для ИТ-инфраструктуры, и не должны произойти ни при каких обстоятельствах. Конечно же, для того, чтобы выявить весь список подобных угроз, требуется полноценный, полномасштабный аудит с привлечением высококлассных специалистов, которые будут действовать совместно с руководителями тех организаций, которые подвергнутся аудиту и оценке.

После того, как будет создан перечень угроз, компании сами для себя определят, какие из предложенных угроз являются особо опасными, актуальными именно для них. От руководителей потребуется передать соответствующий доклад в Правительство. И следующий шаг – анализ на каждом предприятии ИТ-инфраструктуры на предмет наличия всех этих угроз, и методов их пресечения.

Президент России Владимир Путин издал указ, в котором целому ряду предприятий и государственных структур предписывается проведение анализа защищенности объектов, и предоставление самой полной отчетности по результатам исследования. Этот отчет все руководители предприятий должны представить в Правительство. Большинство предприятий уже сделало это, и по результатам специалисты отмечают, что есть острая необходимость в систематизации и категоризации списка событий, которые следует отнести к категории неприемлемых.

Для кого этот регламент будет предназначен в первую очередь? В первую очередь этот список должен стать важным документом для руководителей государственных органов законодательной и исполнительной власти. Также это относится ко всем государственным учреждениям, а также к объектам, которые относятся категории критической информационной инфраструктуры. Согласно новому постановлению, на каждого руководителя государственного учреждения теперь возложена персональная ответственность за своевременное обнаружение кибернетических атак, и ликвидацию их последствий. Соответствующее постановление Президента России было опубликовано еще 1 мая 2022 года.