»
Влияние на соответствие требованиям ФСТЭК и 152-ФЗ
Требования регуляторов, таких как ФСТЭК, часто привязаны к актуальности используемых средств защиты. Например, для аттестованных средств защиты информации (СЗИ) прекращение поддержки со стороны производителя может автоматически означать потерю статуса аттестованного продукта. Это ставит организацию перед выбором: либо продолжать использовать неаттестованное СЗИ, нарушая требования, либо идти на дорогостоящую замену.
152-ФЗ обязывает операторов персональных данных принимать меры, включая использование средств защиты информации. Если средство защиты устарело и не получает обновлений, оно может не обеспечивать необходимый уровень безопасности, требуемый законом. Таким образом, запланированное устаревание напрямую влияет на правовой статус организации в части обработки ПДн.
Стратегии снижения рисков для бизнеса
Как организация может защитить себя от рисков, связанных с запланированным устареванием средств защиты?
- Диверсификация поставщиков. Не замыкаться на одном вендоре для критически важных систем.
- Долгосрочные соглашения о поддержке. Включать в договоры пункты о минимальном сроке поддержки и условиях миграции.
- Создание собственных компетенций. Развитие внутренних экспертиз для снижения зависимости от вендора.
- Мониторинг жизненного цикла продуктов. Отслеживание объявлений производителей о прекращении поддержки.
Важно не просто реагировать на устаревание, а прогнозировать его и включать в стратегию информационной безопасности.
Вывод
Запланированное устаревание в сфере кибербезопасности — это не миф, а реальность, с которой приходится сталкиваться. Игнорирование этого факта может привести не только к финансовым потерям, но и к серьёзным правовым последствиям. Осознанный подход к выбору и эксплуатации СЗИ, включая анализ политики производителя по жизненному циклу, становится неотъемлемой частью управления рисками в современной ИТ-инфраструктуре.