23 мая 2025 года в НИИ Региональных проблем информатизации совместно с кафедрой «Информационные технологии и информационная безопасность» был организован научный семинар на тему: «Обеспечение безопасности объектов критической информационной инфраструктуры в условиях современных вызовов и совершенствования институциональной базы».

С докладом выступил к.э.н., доцент кафедры «Информационные технологии и информационная безопасность» Меджидов Заур Уруджалиевич.

Докладчик отметил, что в соответствии с законодательством РФ под объектами критической информационной инфраструктуры понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. Такие объекты могут функционировать в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии и др.

Докладчик отметил, что по данным Национального координационного центра по компьютерным инцидентам при ФСБ России (НКЦКИ), общее количество событий ИБ, связанных с российскими информационными ресурсами, за 2023 год выросло на 64 %  (с 912 тыс. до 1,5 млн) по отношению к аналогичному показателю 2022 года. В 2023 г. на объекты КИИ было совершено около 65,7 тыс. кибератак. В 2024 г. — около 130 тыс. кибератак. Самые атакуемые отрасли – это промышленность (31% от общего числа всех атак), ИТ и телекоммуникации (20%), финансовый сектор (17 %).

Докладчиком были обозначены основные мероприятия по совершенствованию защиты значимых объектов КИИ:

1. Федеральной службой технического экспортного контроля (ФСТЭК) в мае 2024 г. разработана Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации. Компании, объекты которой относятся к КИИ, должны будут по запросу ФСТЭК или пока по собственному регламенту представлять ведомству данные о защищенности своих объектов: результаты внутреннего контроля, опросов профильных сотрудников и т. д. Согласно тексту документа, оценка должна проводиться не реже чем раз в полгода. Организации будут собирать данные о состоянии своих объектов и направлять их регулятору не позднее 30 дней с определенного срока (его установит каждая компания во внутреннем регламенте) или запроса ФСТЭК. Внеочередная проверка пройдет в случае киберинцидента или значимых изменений в IT-инфраструктуре компании. Документ не устанавливает точной даты, с которой компаниям будет нужно представлять отчеты.
2. Комитет Госдумы по информационной политике и IT готовит законопроект, который вносит изменения в статью 16 Федерального закона №149-ФЗ «Об информации, информационных технологиях и о защите информации». В соответствии с законопроектом стандартизуется тестирование информационных систем в госсекторе и критической информационной инфраструктуре. Документ направлен на легализацию работы «белых хакеров», а Правительство РФ с ФСБ получат право самостоятельно определять порядок и время проверки IT-систем. Все мероприятия должны будут согласовываться федеральным органом власти в области безопасности.
3. Подготовлена концепция разработки безопасного программного обеспечения на единой цифровой платформе Российской Федерации «ГосТех», а также вступил в силу приказ ФСТЭК России № 240, который определяет порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации на соответствие требованиям стандарта ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

В обсуждении доклада приняли участие доктор экономических наук, Савзиханова Сабина Эминовна, доктор технических наук, Кобзаренко Дмитрий Николаевич, кандидат экономических наук, доцент Раджабов Карахан Якубович, кандидат экономических наук, Эминова Нигара Эминовна, ст.преподаватель Магомедова Динара Сахратуллаевна и др.

Выступавшими отмечена актуальность рассматриваемого вопроса. Комплексная защита объектов критической информационной инфраструктуры, является насущной практической задачей, как в рамках самой организации, так и в рамках всего государства.