В июле Минцифры ввело параметр ИБ в рейтинг цифровой трансформации госорганов. Это означает, что федеральные и региональные ведомства должны каждый месяц предоставлять информацию о мерах защиты своих систем, включая тестирование «этичными хакерами» в рамках Bug Bounty.
Издание «Коммерсант» уточнило, что программа ещё не закреплена законодательно из-за вопросов со стороны спецслужб, но в Минцифры надеются, что её включение в отчёт может помочь усилить внимание к кибербезопасности. При этом не все чиновники считают такую работу необходимой, а отраслевые эксперты уверены: только отчётами проблему защиты госсектора не решить.
Показатель «Информационная безопасность» будет рассчитываться на регулярной основе. Среди параметров — создание структурного подразделения по обеспечению ИБ, импортозамещение в сфере кибербеза и мероприятия по оценке уровня защищённости систем (в том числе Bug Bounty).
В прошлом году Минцифры предлагало ввести понятие Bug Bounty в российское законодательство, обеспечив легальный статус «этичных хакеров», но у силовых структур возникли опасения касательно рисков, связанных с неправомерным доступом к значимым данным. Поэтому сейчас работа над инициативой приостановлена.
Согласно опросу, проведённого «Коммерсантом», некоторые региональные органы власти уже готовят ИБ-отчёты. Вместе с тем в ряде регионов не видят необходимости в подготовке подобной документации, поскольку «информация уже есть в Минцифры».
Эксперты же пояснили изданию, что отход от «бумажной ИБ» к риск-ориентированному подходу позволит увеличить усилия по анализу защищённости систем профессионалами. Однако помимо поиска уязвимостей важно будет выстроить процессы, которые позволят устранять обнаруженные уязвимости в периметре систем.