К типовому техническому заданию на выполнение работ по оценке уровня защищённости информационной инфраструктуры, опубликованному на сайте Минцифры, приложен типовой отчет по оценкам защищенности, согласно которому организации должны составить реестр так называемых «недопустимых событий». При этом полного перечня данных угроз нет, и это вызывает вопросы у участников рынка.
К категории недопустимых событий Минцифры относит утечки персональных данных, другой информации конфиденциального характера, мошеннические действия в банковских системах и т. п. Однако полного перечня недопустимых событий не имеется, также отсутствует полноценное определение данного термина, подчеркивает заместитель генерального директора ОАО «Азимут» Илья Волобуев.
«Особо хотелось отметить, что при этом ФСТЭК России ранее разработал банк данных угроз для безопасности информации, который всегда был ориентиром для всех исполнителей, всех соответствующих компаний, – говорит он. – И сейчас мы стоим перед развилкой – на что ориентироваться и что есть что. Чем организации необходимо руководствоваться при составлении реестра недопустимых событий на данный момент для нас является загадкой. Можно ли угрозы ФСТЭК приравнять к недопустимым событиям? Если нет, то где организации могут черпать эту информацию, непонятно».