Европейские компании приступили к стресс-тестам систем информационной безопасности в соответствии с директивой Европейского парламента о безопасности компьютерных сетей и информационных сетей (NIS Directive), вступившей в действие в августе 2016 года. Тестирование заключается том, что сторонние эксперты моделируют атаки на сетевую инфраструктуру компаний.
Согласно директиве, регулярный аудит ИБ-защиты обязаны проводить средние и крупные компании, чья деятельность «жизненно важна для экономики и общества» Европейского союза. Это поставщики энергии и воды, медицинские учреждения, банковские и финансовые институты, транспортные предприятия, телекоммуникационные корпорации.
Эксперты уверены, что применение NIS Directive вызовет бум на европейском рынке ИБ-услуг. Кроме того, российские специалисты ожидают, что опыт ЕС вскоре начнут внедрять в России, что так же благоприятно повлияет на развитие отечественной ИБ-отрасли.
Пока российская практика отличается от европейской: если в Европе компании обязаны принимать особенные меры информационной безопасности в зависимости от сферы деятельности, то в России – в зависимости от типа данных.
Кроме того, NIS Directive предписывает сообщать об угрозах и сбоях в защите соответствующим органам власти. Отчеты должны включать масштаб инцидента, тип, продолжительность, географию распространения, последствия для системы и меры, принятые компанией для отражения атаки и устранение уязвимостей ИБ-защиты.
Согласно документу, в каждой стране ЕС появятся ИБ-комитеты в правительствах и группы реагирования на инциденты, объединенные в общеевропейскую сеть. Страны также обязаны представить национальные стратегии информационно безопасности, которые должны включать перечень объектов, нуждающихся в защите в первую очередь, меры по усилению ИБ-защиты, методы оценки рисков, дорожную карту сотрудничества частного и государственного сектора, план внедрения инноваций в ИБ-секторе.