Владимир Бенгин, директор департамента обеспечения кибербезопасности Минцифры России, ответил на вопросы в рамках регуляторного трека на прошедшем в Магнитогорске форуме «Цифровая устойчивость и информационная безопасность в России».
Об аккредитованных центрах
Минцифры как регулятор вносит в разрабатываемые документы требования допустить к участию только определенных игроков, аккредитованных ГосСОПКА. Например, такие требования есть в проекте по независимому анализу защищенности ГИС. В рамках Указа №250 на системном уровне продолжим развивать эту тему и привлекать аккредитованные центры.
А как участник рынка ИБ Минцифры ждет разрабатываемые коллегами из НКЦКИ документы о порядке аккредитации центров ГосСОПКА.
Недопустимые события
В соответствии с Постановлением правительства РФ от 15.07.2022 №1272 к Указу президента России от 01.05.2022 №250 разработаны типовые документы о заместителе руководителя органа (организаций), ответственном за обеспечение ИБ в ведомстве, в которых прописаны недопустимые события, неприемлемые последствия – много названий, терминологическая база пока не устоялась, это вопрос времени для регулятора. В проекте указа по ГосСЗИ есть «недопустимые события».
Хотелось бы, чтобы у каждой организации появилось понимание того, что есть некие минимальные требования и гигиенические истории, которые она обязана соблюдать. Появилось понимание важности защиты внешнего периметра, защиты от фишинга и от DDoS-атак. И параллельно появилось понимание, что надо делать на постоянной основе, чтобы не допустить непредвиденных событий внутри организации.
Как показала практика, гораздо проще объяснить руководителю, который не связан с ИБ или ИТ, что такое событие остановит доменную печь или иные бизнес процессы, а не что такое уязвимость или эксплоит.
В прошлом году Минцифры собрал порядка 12 крупнейших игроков ИБ (производителей, консалтинг, вендоров и интеграторов), которые вместе создали методологию, методики и типовые формы как определить недопустимые события. Сейчас идет их пилотная апробация.
О рекомендациях Минцифры
В этом году со стороны Минцифры будет много документов, которые будут носить рекомендательный тон. Отмечу, что сильно повысилась отзывчивость отраслей. Не имея жестких требований, отчитаться о проделанной работе, свыше 70% органов госвласти и организаций отвечают по сути и в срок, установленный в письме, о том, что основательно проработали ранее направленные рекомендации. Возможно, мы будет масштабировать опыт и появится больше писем с рекомендациями. Это касается писем с рекомендациями и приписками о возможности обратной связи при необходимости.
Образовательный трек
Нехватка кадров – сложный вопрос, который поднимается десять лет подряд. Минцифры прекрасно понимает проблему «Где же кадры?».
В данном направлении большая работа ведется по линии других регуляторов, например, ФСТЭК. Ведется систематизация обучения. Мы думаем, как простимулировать создание рынка образования ИБ, чтобы это была не только функция регулятора, но и ответственность отрасли. Мы должны формулировать спрос, потребность и предложения.
В упомянутом ранее Постановлении правительства РФ от 15.07.2022 №1272 много говорится про обучение. Мы будем развивать историю, но не в сторону ФГОС, а в стороны курсов по ИБ, которые потеряли с уходом иностранных компаний. Мы должны создать отечественные курсы, прописав большое количество требования на уровне ПП №1272, и будем формировать спрос на обучение, крупнейшие игроки рынка ИБ займутся обучением и таким образом, появится больше профильных и практических ИБ курсов.
Сертификация специалистов
Еще один вопрос – сертификация. Часто спрашивают, требуется ли нам такая же сертификация, какую проводили иностранные компании. Недавно представители HR-организаций жаловались мне, что на уровне приема на работу не понятно, на что смотреть: где учился и где работал, нам нужна строка о сертификации.
Поэтому нужна строка об отечественных сертификатах, соответственно необходимо определение требований к отечественным сертификатам.
Об унификации системы уведомлений регуляторов о КИ
Главное, что нужно понимать: произошел компьютерный инцидент, НКЦКИ должен узнать о нем.
Мне, как коллегам, постоянно жалуются, что все регуляторы требуют одну и ту же информацию о КИ. Часто приходится писать в НКЦКИ, РКН, ФСТЭК, при необходимости в Банк России, для региональных компаний – региональному оперштабу, полпредству... Каждый раз, когда разбираем КИ, понимаем, что чем больше ведомств получили уведомление, тем оперативнее и прозрачнее происходит расследование киберинцидента. По сути, нет проблем поставить в копию все заинтересованные ведомства по списку.
Надо системно выстраивать архитектуру ГосСОПКА. И если субъекту кажется, что он пишет всем одно и то же, то каждое ведомство берет из его уведомления что-то свое.
Минцифры поддерживает унификацию уведомлений, координацию и объединение их в едином кабинете субъекта. Готовы участвовать в цифровизации такой системы.