Информбезопасность: из бумажной в реальную
Регулирование / Статьи
информбезопасность
16.9.2022

Информбезопасность: из бумажной в реальную

Кто ответит за усиление киберзащиты в российских организациях

С начала 2022 года внимание государства к информационной безопасности (ИБ) многократно возросло. Согласно указу президента, в организациях вводится новая должность – ответственный за ИБ в ранге заместителя генерального директора. Рассказываем, как он будет проводить курс на практическую киберзащиту систем и почему отсидеться в стороне от этого процесса не удастся никому.

БЬЮТ НЕ ПО ПАСПОРТУ

За последнее десятилетие сформировался целый класс «бумажных безопасников», которые никогда не отражали атаки и не сталкивались с хакерами, зато отлично научились заполнять нормативные документы.

При этом требования регуляторов очень важны, но хакеры их не читают и «бьют не по паспорту, а по лицу» – ищут уязвимости не в аттестатах соответствия и медалях «За лучший проект в области ИБ», а в конкретных системах, подчеркнул бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий на вебинаре «Указ 250: кто и как теперь отвечает за кибербезопасность».

По его словам, президентский указ №250 «О дополнительных мерах по обеспечению информационной безопасности РФ» требует, чтобы защита отечественных компаний стала реальной и практической. В целом, обратил внимание эксперт,

основная идея последних законодательных актов в сфере ИБ – накрыть «зонтиком» большинство организаций РФ, влияющих на национальную экономику и обороноспособность

В указе №250 выделяются ключевые положения:

  • Кибербезопасность должна стать практической.
  • Руководитель организации несет персональную ответственность за ИБ в рамках административного или уголовного законодательства.
  • Запрещено применение средств защиты из недружественных стран.

По сути, речь идет о том, чтобы использовать только отечественные решения.

Под действие документа попадают около 500 тыс. организаций – госструктуры, стратегические компании, выпускающие продукцию для оборонного комплекса, а также КИИ: предприятия здравоохранения, энергетики, финансовой, транспортной сфер и другие.

Так, 13 сентября стало известно, что правительство РФ планирует отнести все ключевые типы информационных систем к объектам КИИ.

Под действие указа №250 попадают практически все критически важные для экономики и национальной безопасности предприятия и расширение их списка затруднительно, пояснил RSpectr Алексей Лукацкий.

Алексей Лукацкий, Positive Technologies:

– Слова премьер-министра касаются, как мне кажется, расширения действия указа президента №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ», который требует перехода на отечественное ПО только значимых объектов КИИ. О таком расширении [списка] уже говорилось, и сейчас оно в процессе реализации.

Важно отметить, что под определение КИИ одновременно подходят такие гиганты, как РЖД или «Газпром», и организации с общей численностью персонала в пару десятков человек.

ТОВАРИЩ ЗАМЕСТИТЕЛЬ

Итак, ответственный за ИБ в ранге заместителя руководителя организации должен появиться в организациях независимо от их размера. Его полномочия и обязанности возложены на заместителя руководителя и расписаны в опубликованном в июле постановлении правительства РФ №1272.

«Классический» кибербезопасник был докой в нормативной базе, в средствах защиты и способах их реализации и, возможно, понимал, как действуют хакеры, отметил Алексей Лукацкий. В новых условиях

«безопасник» должен разбираться в том, как IT и цифровизация помогают достигать бизнес-цели компании или цели госуправления, стоящие перед органами власти

Вводя в структуру организации новую должность, руководители могут выбирать:

  • Поднять статус действующего начальника отдела информбезопасности до уровня своего заместителя;
  • Назначить на должность ответственного за ИБ сотрудника без соответствующего образования.

В постановлении №1272 говорится, что замруководителя по кибербезу может стать человек, имеющий высшее профильное образование на уровне специалитета или магистратуры. Если такового не имеется, можно пройти профессиональную переподготовку. По данному направлению в РФ готовят специалистов более 200 учебных центров.

Согласно приказу Министерства науки и высшего образования РФ, длительность подобных курсов должна составлять не менее 360 часов. На практике большинство из них длится 500 часов и более. Алексей Лукацкий обратил внимание, что

курс профпереподготовки по направлению ИБ стоит совсем недешево: от 300 тыс. до почти 600 тыс. рублей

Алексей Лукацкий, Positive Technologies:

– Сейчас идет обсуждение предложения о том, что заместители руководителя организации будут обязаны пройти не профпереподготовку, а курсы повышения квалификации длительностью 40 часов. Тем не менее, требования к их подчиненным, непосредственно отвечающим за ИБ, о специализированном образовании или курсе переподготовки в 500 часов сохранятся.

Возможные изменения в этом вопросе произойдут уже этой осенью, добавил он.

ПО-ЛЮБОМУ ДОЛЖЕН

Документы, подписанные президентом и главой правительства, прямо говорят о том, что организации имеют возможность возложить функцию кибербезопасности на уже существующее IT-подразделение. Но в документах о нем должны быть прописаны обязанности и полномочия, которые предусмотрены типовым положением об ИБ, утвержденным постановлением №1272.

При этом отдельные направления информзащиты можно передать на аутсорсинг, но

хотя бы по формальным признакам ИБ-отдел, который отвечает за установление новых правил, в структуре организации должен присутствовать – этого требуют документы

При этом внешняя организация, которая будет выполнять часть ИБ-функций, должна:

  • быть лицензиатом Федеральной службы по техническому и экспортному контролю (ФСТЭК России);
  • иметь аккредитацию ФСБ России в качестве центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Новые правила в сфере ИБ подсвечивают и акцентируют внимание на отдельных моментах, которые и ранее присутствовали в отечественных нормативных актах, подчеркнул Алексей Лукацкий.

Подходы эволюционного развития отрасли информационной безопасности, которые заложены в указе №250, прослеживаются и в других документах. В июле принят закон №266-ФЗ, который установил новые требования к обработке персональных данных и предписывает незамедлительно сообщать об утечках в Роскомнадзор и ГосСОПКА. Для этого в организации должны быть выстроены процессы мониторинга, реагирования и уведомления регуляторов, напомнил эксперт. Возможно, что сфере информбезопасности до конца 2022 года появятся и другие нормативные документы, полагает он.

Автор: Тимур Халудоров

Изображение: RSpectr, Adobe Stock

Еще по теме

Чего хотят экосистемы в сфере обработки данных

Что кроется в деталях обновленного закона «О персональных данных»

Минцифры рассылает во все военкоматы правительственные телеграммы о порядке действий в отношении IT-специалистов

Реален ли баланс между требованиями по обработке персональных данных и интересами бизнеса

Как оператору связи соблюдать требования по установке технических средств противодействия угрозам

Как внедрение стандартов ИИ и Big Data помогут защите персональных данных

Когда утвердят операторов рекламных данных и в каком виде передавать информацию в госреестр

Какое наказание нужно противопоставить преступлениям с персональными данными

Законопроект о принудительном лицензировании контента попал под критику

Почему назрел вопрос регулирования персональных генетических данных

Эксперимент по мониторингу здоровья поможет расширить рынок устройств для наблюдения за пациентами

Общество требует внедрять прозрачные механизмы проверки возраста пользователей платформ

Как Центробанк собирается бороться с хищениями средств с банковских карт

Как регуляторы разных стран добиваются прозрачности алгоритмов интернет-площадок

Отрасль и регулятор предлагают меры по противодействию хищениям средств со счетов граждан