8 недостатков по версии ФСТЭК и что с этим делать

    На Инфофоруме 2026 было выступление представителя регулятора ФСТЭК. Мне хотелось бы остановиться на одном важном аспекте. Предполагая продолжение осуществления контроля за организациями, имеющими системы с непопулярным лейблом ЗО КИИ, имеет смысл пытаться направить регулятора поиск первопричин данных распространённых недостатков. Здесь я перечислю опубликованные коллегой по ИБ цеху скриншоты из презентации Елены Борисовны Торбенко из ФСТЭК и дам свои короткие комментарии, что целесообразно делать в первую очередь регулятору, так как снизу оно работать будет плохо.

1.

Целесообразно запросить договоры с подрядными организациями, проверить их на наличие необходимых положений, после чего официально дать указание внести в действующие договоры изменения в виде дополнительных соглашений.

2.

Запросить должностные инструкции ИТ персонала по направлениям, связанным с обновлением систем, устранением уязвимостей и проверить наличие прямых пунктов по эти обязанности.

3.

Можно ввести ежеквартальную форму по количествам обнаруженных уязвимостей высокого и критичного уровней, количествам устраненных за квартал уязвимостей. В виде приложений к ней запрашивать отчеты о сканировании КИИ контура и подтверждающие факты об устранении каждой уязвимости.

4. 

По идее иностранное ПО, я не имею в вижу всякую мелочь типа архиваторов и утилит, должно вытесняться импортозамещением, которое уже имеет жесткие временные ориентиры (2027 год на софта и 2029 год для железа).

5.

Напрашивается утверждение обязательного документа, регламентирующим минимальное количество персонала в ИБ на полном рабочем дне (не совместителях). Можно указать какие именно направления должны быть закрыты каждом выделенным работником.

6. 

Здесь всё аналогично. Будет достаточно персонала, появятся более лучшие результаты.

7.

Можно смотреть мои скромные рекомендации для проблемы №2. Нужно установить регулярный и работающий процесс устранения уязвимостей. А это в большей мере ИТ, а не ИБ, так как регулярно сканировать и направлять в ИТ отчеты это лишь малая часть от полного цикла процесса.

8.

Это можно реализовать в рамках непрерывности деятельности с привлечением рисков и ИТ. Можно также утвердить отдельный нормативный документ по правильным методам резервного копирования, запросить должностные инструкции ИТ персонала, осуществляющего этот процесс, проверить наличие строчек про обязательные восстановления и ввести отдельную форму по тестовым восстановлениям систем с приложением фактуры, например подписанных актов.