Заместитель директора ФСТЭК России Виталий Лютиков заявил о проблеме подготовки и переподготовки специалистов по информационной безопасности на ключевой дискуссии «Защита от компьютерных атак как неотъемлемая часть обеспечения безопасности процессов управления и бизнес-процессов». Мероприятие прошло 7 декабря в рамках SOC-Форума в Москве.
Спикер отметил, что с точки зрения законодательства, целеполагание, направленное на совершенствование информационной безопасности организаций, сформировано. Но поскольку подобное решение принимает руководитель, предельно важно, чтобы необходимость в мерах по защите безопасности грамотно сформулировали и донесли до него специалисты.
«Решение о повышении уровня информационной безопасности, как правило, принимает руководитель организации. Но многое зависит от того, как до него донесет информацию ответственный сотрудник. И неправильное преподнесение проблемы является одной из ключевых проблем. В России сегодня практически нет курсов переподготовки специалистов или повышения их квалификации, с помощью которых сотрудники могли бы справляться с этой задачей», – отметил Виталий Сергеевич и уточнил, что исключение составят, разве что, ИТ-сфера.
При этом он отметил, что зачастую в компаниях неравномерно распределяются ресурсы и используются возможности цифровых технологий.
«Недавно в одной госорганизации мы наблюдали, как активно внедряются новейшие технологии – AR и пр. При этом на рабочих местах стоят старые операционные системы – уязвимые, с вредоносным программным обеспечением», – уточнил представитель ФСТЭК России.
Виталий Лютиков подчеркнул, что безопасник также должен уметь реализовывать свои компетенции в соответствии с бизнес-моделью организации и объективно оценивать эффективность своей работы.
«Когда к генеральному директору приходит айтишник и говорит о прибыли, которые может принести тот или иной проект, это понятно. Но специалист по безопасности не может оценить прибыль от внедрения его технологий. Но надо понимать, что отсутствие убытков – это тоже прибыль. Я не считаю, что рост количества атак – это показатель неэффективности, скорее, наоборот: значит, их просто лучше выявляют. Проблема – как их выявляют и обнаруживают», – пояснил эксперт.
Обсуждая тему регулирования рынка, Виталий Сергеевич отметил, что с точки зрения нормативно-правовой базы и государственных институций, инфраструктура сформирована и не требует кардинальных изменений. Однако он обозначил проблему того, что стратегические решения, принимаемые по тем или иным вопросам на верхнем уровне, зачастую требуют технической проработки. Возможно, для решения этой задачи и необходим дополнительный регулирующий орган.
Продолжая тему начатого и имеющегося, спикер призвал отрасль внимательнее отнестись к технологиям, которые имеются в инвентаре, и не спешить в дальнейшем развитии.
«Зачастую мы, не исчерпав ещё существующие ресурсы, начинаем сверхновое. Я предлагаю говорить о повышении качества и эффективности существующего. А когда мы достигнем предела своих возможностей, тогда и будем выходить на новый уровень», – подчеркнул представитель ФСТЭК.
Комментируя защиту облачных ГИС, Виталий Лютиков обратил внимание на необходимость внесения изменений в нормативно-правовую базу.
«ГИС выродилась из информационной системы 1990-х гг. в некое прикладное ПО сервиса. И сейчас его называют ГИС, существующее на структуре того же ЦОД. Мы законодательно предъявили государству требования, а инфраструктуре требования не предъявлены. Но когда мы строим гособлако, которое управляется не нами, в этом и заключается самый большой вызов. Это и стало побуждающим действием к тому, чтобы поменять норму 149 закона о защите государственной информации. Также это потребует изменений и в 17 приказ ФСТЭК России», – заключил Лютиков.
Ключевая дискуссия «Защита от компьютерных атак как неотъемлемая часть обеспечения безопасности процессов управления и бизнес-процессов» открыла деловую программу SOC-Форума. Модератором выступил Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком».
