В России кибербезопасность организаций будут оценивать в процентах  Оригинал

Государство вводит показатели для измерения защиты цифровых систем. Обновленный проект постановления ФСТЭК предполагает, что не менее 80% информационной инфраструктуры должно быть защищено от киберугроз. Эксперты рассказали, что подобные метрики позволят отделам понятнее обосновывать траты на кибербезопасность.

Обязанность по мониторингу достижения целевых значений показателей, характеризующих уровень защиты объектов информационной инфраструктуры организаций, планируется закрепить за Федеральной службой по техническому и экспортному контролю (ФСТЭК).

Так, ведомство планирует ввести формальный KPI по кибербезопасности организаций. Старший преподаватель кафедры КБ-14 "Цифровые технологии обработки данных" РТУ МИРЭА Игорь Котилевец говорит, что такой подход можно понять: без измеримых показателей невозможно контролировать исполнение требований и наказывать за халатность. При этом сама идея выразить кибербезопасность в процентах вызывает серьезные вопросы с профессиональной точки зрения.

"Защищенность системы - это динамический процесс, зависящий от тысяч факторов: от квалификации злоумышленников до того, закрыл ли сотрудник вчера критический патч. Угрозы меняются каждый день, а процент фиксирует статичную "картинку" на момент отчета. Кроме того, сама методология подсчета остается болевой точкой. Что именно включать в инфраструктуру? Как взвешивать критичность систем? Если защитить простой файловый сервер, но оставить без защиты базу данн...