Сенатор Шейкин: Законодательству нужен гибкий подход к кибербезопасности

Парламентская газета

Российскому законодательству необходим гибкий, ориентированный на риски подход к кибербезопасности, считает первый зампредседателя Комитета Совета Федерации по конституционному законодательству и госстроительству Артем Шейкин, принявший участие в панельной дискуссии, посвященной инвестициям в киберустойчивость, на Восточном экономическом форуме.

Сенатор Шейкин: Законодательству нужен гибкий подход к кибербезопасности
© Парламентская газета

По мнению сенатора, обеспечение информационной безопасности стало не просто вопросом технологического лидерства, а фундаментальной основой экономической стабильности и суверенитета государства.

Современный киберландшафт, по его словам, отличает сильная динамичность, при которой число хитроумных атак растет, а технологические изменения зачастую происходят быстрее изменения законодательной базы. В такой ситуации важное значение имеет способность информационных систем быстро восстанавливаться после кибератак, указал Шейкин, слова которого приводят в пресс-службе Совфеда

«Сегодня существует множество отраслевых и общих нормативных актов, а также требований различных регуляторов, которые создают сложный и подчас противоречивый лабиринт. Предприятия вынуждены тратить колоссальные ресурсы не на повышение информационной защищенности, а на обеспечение соответствия требованиям», — констатировал он.

Подобная ситуация во многом вызвана преобладанием подхода, при котором упор делается на строгом соблюдении предписанных правил и норм. В отличие от него риск-ориентированный подход предполагает снижение управляемых рисков до определенного, приемлемого уровня. «Он адаптируется под конкретную организацию, ее критичные активы и угрозы», — уточнил Шейкин

Законодательное закрепление риск-ориентированного подхода, по его словам, основано на нескольких главных принципах. В первую очередь это категорирование объектов, при котором отнесение к той или иной категории риска учитывает тяжесть возможных негативных последствий. Во-вторых, интенсивность контроля: его периодичность и глубина проверок напрямую зависят от присвоенной категории риска, а объекты низкого риска могут не подвергаться плановым проверкам вовсе. В-третьих, это принцип динамичности, предполагающий регулярный пересмотр категории риска на основе новых данных, добавил сенатор.

Следует совмещать подходы, учитывать риски и встраивать информационную безопасность в бизнес-процессы, заключил он.