Обязанность по мониторингу достижения целевых значений показателей, характеризующих уровень защиты объектов информационной инфраструктуры организаций, планируется закрепить за Федеральной службой по техническому и экспортному контролю (ФСТЭК).
Так, ведомство планирует ввести формальный KPI по кибербезопасности организаций. Старший преподаватель кафедры КБ-14 "Цифровые технологии обработки данных" РТУ МИРЭА Игорь Котилевец говорит, что такой подход можно понять: без измеримых показателей невозможно контролировать исполнение требований и наказывать за халатность. При этом сама идея выразить кибербезопасность в процентах вызывает серьезные вопросы с профессиональной точки зрения.
"Защищенность системы - это динамический процесс, зависящий от тысяч факторов: от квалификации злоумышленников до того, закрыл ли сотрудник вчера критический патч. Угрозы меняются каждый день, а процент фиксирует статичную "картинку" на момент отчета. Кроме того, сама методология подсчета остается болевой точкой. Что именно включать в инфраструктуру? Как взвешивать критичность систем? Если защитить простой файловый сервер, но оставить без защиты базу данных с персональными данными, формальные проценты могут вырасти, а реальный риск - нет", - объясняет эксперт.
Такой подход может привести к массовому переходу к формальному выполнению требований. Организации начнут оптимизировать не реальную безопасность, а именно проценты. По словам эксперта, самый простой путь - атаковать "легкие" участки: поставить базовый антивирус на малозначимые системы, автоматизировать отчетность, закупить сертификаты "соответствия", которые не проверяют глубину защиты. В итоге инфраструктура может выглядеть безопасной в отчетах, но быть пронизанной уязвимостями, которые не попали в формальный учет.
Руководитель направления международных продаж компании "Код Безопасности" Федор Дбар рассказал, что сегодня при оценке соответствия актуальным требованиям безопасности можно порой получить довольно субъективную оценку. Поэтому именно детализация требований безопасности даст существенный прирост в понимании того, насколько хорошо защищены те или иные системы.
"Надо отметить, что за рубежом в некоторых крупных ИБ-стандартах уже внедрена оценка, которая в том числе в процентах показывает, в какой мере инфраструктура соответствует нормам защищенности. Поэтому внедрение похожей схемы со стороны российских регуляторов - это логичный шаг", - указывает Дбар.
Он добавляет, что принципиально работу команд это никак не изменит. У них появится необходимость держать в голове новые требования, рассчитывать, будут те или иные действия соответствовать нормам регулятора и в какой степени, но это только один из пунктов работы, который ее кардинально не усложнит.
При этом, по данным ФСТЭК, к началу 2026 года лишь 36% проверенных значимых объектов критической инфраструктуры достигли минимального уровня киберзащиты. Многолетняя привычка воспринимать аттестаты как юридическую страховку создает почву для подгонки цифр под целевые 80%, говорит научный сотрудник факультета безопасности ИТ Университета ИТМО Николай Еритенко.
"Тем не менее правильно выстроенные метрики могут повысить реальную устойчивость сервисов, если измерять не гипотетическую недоступность для атак, а способность сохранять работу ключевых процессов. Цифры помогают руководителям и техническим специалистам говорить на одном языке, обосновывать траты и отвечать за результат. Решающий фактор - будет ли контроль ФСТЭК основан на инструментальном сканировании, тестах на проникновение и оценке рисков, а не только на проверке отчетов", - заключает эксперт.