Информбезопасность: из бумажной в реальную

Кто ответит за усиление киберзащиты в российских организациях

С начала 2022 года внимание государства к информационной безопасности (ИБ) многократно возросло. Согласно указу президента, в организациях вводится новая должность – ответственный за ИБ в ранге заместителя генерального директора. Рассказываем, как он будет проводить курс на практическую киберзащиту систем и почему отсидеться в стороне от этого процесса не удастся никому.

БЬЮТ НЕ ПО ПАСПОРТУ

За последнее десятилетие сформировался целый класс «бумажных безопасников», которые никогда не отражали атаки и не сталкивались с хакерами, зато отлично научились заполнять нормативные документы.

При этом требования регуляторов очень важны, но хакеры их не читают и «бьют не по паспорту, а по лицу» – ищут уязвимости не в аттестатах соответствия и медалях «За лучший проект в области ИБ», а в конкретных системах, подчеркнул бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий на вебинаре «Указ 250: кто и как теперь отвечает за кибербезопасность».

По его словам, президентский указ №250 «О дополнительных мерах по обеспечению информационной безопасности РФ» требует, чтобы защита отечественных компаний стала реальной и практической. В целом, обратил внимание эксперт,

основная идея последних законодательных актов в сфере ИБ – накрыть «зонтиком» большинство организаций РФ, влияющих на национальную экономику и обороноспособность

В указе №250 выделяются ключевые положения:

• Кибербезопасность должна стать практической.
• Руководитель организации несет персональную ответственность за ИБ в рамках административного или уголовного законодательства.
• Запрещено применение средств защиты из недружественных стран.

По сути, речь идет о том, чтобы использовать только отечественные решения.

Под действие документа попадают около 500 тыс. организаций – госструктуры, стратегические компании, выпускающие продукцию для оборонного комплекса, а также КИИ: предприятия здравоохранения, энергетики, финансовой, транспортной сфер и другие.

Так, 13 сентября стало известно, что правительство РФ планирует отнести все ключевые типы информационных систем к объектам КИИ.

Под действие указа №250 попадают практически все критически важные для экономики и национальной безопасности предприятия и расширение их списка затруднительно, пояснил RSpectr Алексей Лукацкий.

Алексей Лукацкий, Positive Technologies:

– Слова премьер-министра касаются, как мне кажется, расширения действия указа президента №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ», который требует перехода на отечественное ПО только значимых объектов КИИ. О таком расширении [списка] уже говорилось, и сейчас оно в процессе реализации.

Важно отметить, что под определение КИИ одновременно подходят такие гиганты, как РЖД или «Газпром», и организации с общей численностью персонала в пару десятков человек.

ТОВАРИЩ ЗАМЕСТИТЕЛЬ

Итак, ответственный за ИБ в ранге заместителя руководителя организации должен появиться в организациях независимо от их размера. Его полномочия и обязанности возложены на заместителя руководителя и расписаны в опубликованном в июле постановлении правительства РФ №1272.

«Классический» кибербезопасник был докой в нормативной базе, в средствах защиты и способах их реализации и, возможно, понимал, как действуют хакеры, отметил Алексей Лукацкий. В новых условиях

«безопасник» должен разбираться в том, как IT и цифровизация помогают достигать бизнес-цели компании или цели госуправления, стоящие перед органами власти

Вводя в структуру организации новую должность, руководители могут выбирать:

• Поднять статус действующего начальника отдела информбезопасности до уровня своего заместителя;
• Назначить на должность ответственного за ИБ сотрудника без соответствующего образования.

В постановлении №1272 говорится, что замруководителя по кибербезу может стать человек, имеющий высшее профильное образование на уровне специалитета или магистратуры. Если такового не имеется, можно пройти профессиональную переподготовку. По данному направлению в РФ готовят специалистов более 200 учебных центров.

Согласно приказу Министерства науки и высшего образования РФ, длительность подобных курсов должна составлять не менее 360 часов. На практике большинство из них длится 500 часов и более. Алексей Лукацкий обратил внимание, что

курс профпереподготовки по направлению ИБ стоит совсем недешево: от 300 тыс. до почти 600 тыс. рублей

Алексей Лукацкий, Positive Technologies:

– Сейчас идет обсуждение предложения о том, что заместители руководителя организации будут обязаны пройти не профпереподготовку, а курсы повышения квалификации длительностью 40 часов. Тем не менее, требования к их подчиненным, непосредственно отвечающим за ИБ, о специализированном образовании или курсе переподготовки в 500 часов сохранятся.

Возможные изменения в этом вопросе произойдут уже этой осенью, добавил он.

ПО-ЛЮБОМУ ДОЛЖЕН

Документы, подписанные президентом и главой правительства, прямо говорят о том, что организации имеют возможность возложить функцию кибербезопасности на уже существующее IT-подразделение. Но в документах о нем должны быть прописаны обязанности и полномочия, которые предусмотрены типовым положением об ИБ, утвержденным постановлением №1272.

При этом отдельные направления информзащиты можно передать на аутсорсинг, но

хотя бы по формальным признакам ИБ-отдел, который отвечает за установление новых правил, в структуре организации должен присутствовать – этого требуют документы

При этом внешняя организация, которая будет выполнять часть ИБ-функций, должна:

• быть лицензиатом Федеральной службы по техническому и экспортному контролю (ФСТЭК России);
• иметь аккредитацию ФСБ России в качестве центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Новые правила в сфере ИБ подсвечивают и акцентируют внимание на отдельных моментах, которые и ранее присутствовали в отечественных нормативных актах, подчеркнул Алексей Лукацкий.

Подходы эволюционного развития отрасли информационной безопасности, которые заложены в указе №250, прослеживаются и в других документах. В июле принят закон №266-ФЗ, который установил новые требования к обработке персональных данных и предписывает незамедлительно сообщать об утечках в Роскомнадзор и ГосСОПКА. Для этого в организации должны быть выстроены процессы мониторинга, реагирования и уведомления регуляторов, напомнил эксперт. Возможно, что сфере информбезопасности до конца 2022 года появятся и другие нормативные документы, полагает он.

Автор: Тимур Халудоров