IT-компании России пожелали обновить регулирование в области кибербезопасности

Экспертная группа по кибербезопасности НТИ EnergyNet подготовила аналитический отчет, в котором сообщает, что большинство IT-компаний России хотело бы оптимизировать и дополнить регулирование в сфере информационной безопасности. В частности, речь идет о законах о персональных данных и безопасности критической информационной инфраструктуры. Копия отчета есть в распоряжении редакции InScience.News.Основой для отчета стал анонимный опрос специалистов и компаний сферы информационной безопасности. Он был проведет в марте 2021 года. С его помощью экспертная группа по кибербезопасности НТИ EnergyNet получила независимое экспертное мнение о текущем состоянии нормативной правовой и методической базы РФ в области информационной безопасности.«Около 35% организаций и 42% специалистов принимают участие в законодательной работе (участие в подготовке законодательных инициатив, экспертизы, отзывы на проекты НПА). При этом 60% респондентов отрицательно оценивают качество разрабатываемых общих нормативно-правовых документов, по 67% — качество разрабатываемых отраслевых нормативных правовых документов и качество терминологической базы. Большинство опрошенных — 82% респондентов — негативно высказались о разрабатываемых общих и отраслевых проектах нормативных правовых документов», — отмечается в документе.Опрошенные считают, что законодательство и методические базы по ИБ должны быть обновлены. Порядка 55% респондентов отметили, что неоднозначность и противоречия в документах должны быть устранены, как и возможность широкой и вольной трактовки. Кроме того, 20% выступает за то, чтобы подзаконные акты выпускались одновременно с соответствующими нормативными правовыми актами, а 10% поддерживают практику предварительной апробации нормативных правовых и методических документов перед их утверждением. Эти тренды поддерживаются всеми группами респондентов.«Судя по аудитории опроса, речь идет о нормативных правовых актах, связанных с безопасностью личных данных россиян и безопасностью критической информационной инфраструктуры. В частности, это ФЗ-187 "О безопасности критической информационной инфраструктуры" и ФЗ-152 “О персональных данных”», — отметил соавтор отчета, руководитель центра компетенций «Кибербезопасность» рынка EnergyNet Национальной технологической инициативы Алексей Петухов.«Изменения предполагают как создание новых документов, так и доработку и объединение существующих. Например, с точки зрения закона о безопасности КИИ [ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации” — примечание InScience.News] — существует акт категорирования для предприятий ТЭК, который фактически содержит описание моделей угроз, и есть методика моделирования угроз безопасности информации. Эти документы дублируют друг друга. В рамках оптимизации можно создать единый документ», — предположил Петухов.«Результаты исследования свидетельствуют о наличии необходимости гармонизации общих и отраслевых нормативных правовых и методических документов. Качественный понятийный аппарат является залогом эффективного взаимодействия специалистов при обеспечении кибербезопасности энергетики», — прокомментировал независимый эксперт Центр компетенций «Кибербезопасность» Андрей Боровский.Центр компетенций «Кибербезопасность» был сформирован на базе НТИ EnergyNet. Среди его задач —решение нормативных и методологических вопросов обеспечения кибербезопасности. Также Центр компетенций собирает идеи участников рынка и подготавливает предложения для оптимизации текущего законодательства РФ, связанного с информационной и кибербезопасностью.«Это первый из наших блиц-опросов и исследований, посвященных вопросам информационной безопасности. Надеюсь, он поможет сформировать прикладные шаги регуляторов и активной части сообщества в развитие нормативной базы», — рассказал Алексей Петухов.