Все разделы
Главная / Статьи / Информбезопасность: из бумажной в реальную
Информбезопасность: из бумажной в реальную
Регулирование / Статьи
информбезопасность
16.9.2022

Информбезопасность: из бумажной в реальную

Кто ответит за усиление киберзащиты в российских организациях

С начала 2022 года внимание государства к информационной безопасности (ИБ) многократно возросло. Согласно указу президента, в организациях вводится новая должность – ответственный за ИБ в ранге заместителя генерального директора. Рассказываем, как он будет проводить курс на практическую киберзащиту систем и почему отсидеться в стороне от этого процесса не удастся никому.

БЬЮТ НЕ ПО ПАСПОРТУ

За последнее десятилетие сформировался целый класс «бумажных безопасников», которые никогда не отражали атаки и не сталкивались с хакерами, зато отлично научились заполнять нормативные документы.

При этом требования регуляторов очень важны, но хакеры их не читают и «бьют не по паспорту, а по лицу» – ищут уязвимости не в аттестатах соответствия и медалях «За лучший проект в области ИБ», а в конкретных системах, подчеркнул бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий на вебинаре «Указ 250: кто и как теперь отвечает за кибербезопасность».

По его словам, президентский указ №250 «О дополнительных мерах по обеспечению информационной безопасности РФ» требует, чтобы защита отечественных компаний стала реальной и практической. В целом, обратил внимание эксперт,

основная идея последних законодательных актов в сфере ИБ – накрыть «зонтиком» большинство организаций РФ, влияющих на национальную экономику и обороноспособность

В указе №250 выделяются ключевые положения:

  • Кибербезопасность должна стать практической.
  • Руководитель организации несет персональную ответственность за ИБ в рамках административного или уголовного законодательства.
  • Запрещено применение средств защиты из недружественных стран.

По сути, речь идет о том, чтобы использовать только отечественные решения.

Под действие документа попадают около 500 тыс. организаций – госструктуры, стратегические компании, выпускающие продукцию для оборонного комплекса, а также КИИ: предприятия здравоохранения, энергетики, финансовой, транспортной сфер и другие.

Так, 13 сентября стало известно, что правительство РФ планирует отнести все ключевые типы информационных систем к объектам КИИ.

Под действие указа №250 попадают практически все критически важные для экономики и национальной безопасности предприятия и расширение их списка затруднительно, пояснил RSpectr Алексей Лукацкий.

Алексей Лукацкий, Positive Technologies:

– Слова премьер-министра касаются, как мне кажется, расширения действия указа президента №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ», который требует перехода на отечественное ПО только значимых объектов КИИ. О таком расширении [списка] уже говорилось, и сейчас оно в процессе реализации.

Важно отметить, что под определение КИИ одновременно подходят такие гиганты, как РЖД или «Газпром», и организации с общей численностью персонала в пару десятков человек.

ТОВАРИЩ ЗАМЕСТИТЕЛЬ

Итак, ответственный за ИБ в ранге заместителя руководителя организации должен появиться в организациях независимо от их размера. Его полномочия и обязанности возложены на заместителя руководителя и расписаны в опубликованном в июле постановлении правительства РФ №1272.

«Классический» кибербезопасник был докой в нормативной базе, в средствах защиты и способах их реализации и, возможно, понимал, как действуют хакеры, отметил Алексей Лукацкий. В новых условиях

«безопасник» должен разбираться в том, как IT и цифровизация помогают достигать бизнес-цели компании или цели госуправления, стоящие перед органами власти

Вводя в структуру организации новую должность, руководители могут выбирать:

  • Поднять статус действующего начальника отдела информбезопасности до уровня своего заместителя;
  • Назначить на должность ответственного за ИБ сотрудника без соответствующего образования.

В постановлении №1272 говорится, что замруководителя по кибербезу может стать человек, имеющий высшее профильное образование на уровне специалитета или магистратуры. Если такового не имеется, можно пройти профессиональную переподготовку. По данному направлению в РФ готовят специалистов более 200 учебных центров.

Согласно приказу Министерства науки и высшего образования РФ, длительность подобных курсов должна составлять не менее 360 часов. На практике большинство из них длится 500 часов и более. Алексей Лукацкий обратил внимание, что

курс профпереподготовки по направлению ИБ стоит совсем недешево: от 300 тыс. до почти 600 тыс. рублей

Алексей Лукацкий, Positive Technologies:

– Сейчас идет обсуждение предложения о том, что заместители руководителя организации будут обязаны пройти не профпереподготовку, а курсы повышения квалификации длительностью 40 часов. Тем не менее, требования к их подчиненным, непосредственно отвечающим за ИБ, о специализированном образовании или курсе переподготовки в 500 часов сохранятся.

Возможные изменения в этом вопросе произойдут уже этой осенью, добавил он.

ПО-ЛЮБОМУ ДОЛЖЕН

Документы, подписанные президентом и главой правительства, прямо говорят о том, что организации имеют возможность возложить функцию кибербезопасности на уже существующее IT-подразделение. Но в документах о нем должны быть прописаны обязанности и полномочия, которые предусмотрены типовым положением об ИБ, утвержденным постановлением №1272.

При этом отдельные направления информзащиты можно передать на аутсорсинг, но

хотя бы по формальным признакам ИБ-отдел, который отвечает за установление новых правил, в структуре организации должен присутствовать – этого требуют документы

При этом внешняя организация, которая будет выполнять часть ИБ-функций, должна:

  • быть лицензиатом Федеральной службы по техническому и экспортному контролю (ФСТЭК России);
  • иметь аккредитацию ФСБ России в качестве центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Новые правила в сфере ИБ подсвечивают и акцентируют внимание на отдельных моментах, которые и ранее присутствовали в отечественных нормативных актах, подчеркнул Алексей Лукацкий.

Подходы эволюционного развития отрасли информационной безопасности, которые заложены в указе №250, прослеживаются и в других документах. В июле принят закон №266-ФЗ, который установил новые требования к обработке персональных данных и предписывает незамедлительно сообщать об утечках в Роскомнадзор и ГосСОПКА. Для этого в организации должны быть выстроены процессы мониторинга, реагирования и уведомления регуляторов, напомнил эксперт. Возможно, что сфере информбезопасности до конца 2022 года появятся и другие нормативные документы, полагает он.

Автор: Тимур Халудоров

Поделиться:
Изображение: RSpectr, Adobe Stock
Изображение: RSpectr, Adobe Stock
Поделиться:
Все теги
события
криптовалюта
торговля
Кибербуллинг
экспертная колонка
сделка
спутниковая связь
технологии
фейки
операторы
операторы данных
майнинг
соцсети
киберпреступность
судебная практика
почта
стандарты связи
люди
шеринг
информбезопасность
финансы
ИИ
инвестиции
импортозамещение
санкции
регуляторика
кадры
мобилизация
Китай
сеть
оборудование
сервисы
медиа
хакеры
интернет
данные
гаджеты
госуслуги
ПО
буллинг
за рубежом
экономика
услуги связи
мобильные приложения
контент
аналитика данных
интернет вещей
статистика
Минцифры
блокчейн
роскомнадзор
дипфейки
vj
цифровизация
персональные данные
образование
инфраструктура
IT
микроэлектроника
гейминг
экспорт
телеком
радиоконтроль
мессенджеры
Показать все
Еще по теме
 
Все новости по теме

Еще по теме

«Оцифрованный» юрист
Регулирование / Статьи

«Оцифрованный» юрист

Что нужно знать юристу, решившему работать в ИТ-компании

Вендоры ИТ хотят войти в «одно окно»
Регулирование / Статьи

Вендоры ИТ хотят войти в «одно окно»

Зачем ИТ-отрасли нужен единый межведомственный орган по регулированию

Доктор, обработайте мне данные
Регулирование / Статьи

Доктор, обработайте мне данные

Как организовать защиту персональных сведений в медицинской организации

Обновление господдержки
Регулирование / Статьи

Обновление господдержки

Какие меры по развитию отечественного ПО помогли компаниям и что предстоит сделать

Порядок в персданных
Регулирование / Статьи

Порядок в персданных

Роскомнадзор разъяснил практику применения обновленного закона «О персональных данных»

<strong>Отвяжись, подписка!</strong>
Регулирование / Статьи

Отвяжись, подписка!

В Госдуму внесли законопроект о защите прав пользователей онлайн-подписок

Укрощение алгоритмов
Регулирование / Статьи

Укрощение алгоритмов

Законодатели и бизнес обсудили законопроект о регулировании рекомендательных технологий

Южный вектор
Регулирование / Статьи

Южный вектор

Вопросы информационной безопасности обсудили в Сочи

Персданные по-соседски
Регулирование / Статьи

Персданные по-соседски

Сходства и отличия законодательных подходов к защите личной информации в России, Беларуси и Казахстане

Гейминг: от опасного к полезному
Регулирование / Статьи

Гейминг: от опасного к полезному

Возможен ли контроль игрового контента с пользой для детей

<strong>Одно сплошное КИИ</strong>
Регулирование / Статьи

Одно сплошное КИИ

Требования отнесения объектов к критической информационной инфраструктуре будут пересмотрены

Софт по спецсчету
Регулирование / Статьи

Софт по спецсчету

Рынок раскритиковал инициативу Минцифры по расчету за использование зарубежного ПО

По праву пользователя
Регулирование / Статьи

По праву пользователя

Место и роль персональных данных в цифровом пространстве

Информбезопасность не по-детски
Регулирование / Статьи

Информбезопасность не по-детски

Защита несовершеннолетних в цифровой среде выходит на государственный уровень

Упражнения с персданными
Регулирование / Статьи

Упражнения с персданными

Как защищать личную информацию несовершеннолетних в школах и детсадах