О том, каким должен быть заместитель руководителя организации, ответственный за обеспечение информационной безопасности, пояснил директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин, выступая на XIV межотраслевом форуме директоров по информационной безопасности CISO-FORUM 2023.
По его словам, этот человек должен быть штатным сотрудником, а не CISO, который временно привлекается в компанию для решения каких-то вопросов. Вся суть Указа президента России от 01.05.2022 №250 в том, чтобы заместитель по ИБ должен быть в штате и находится в кругу топ-менеджеров организации и в числе других вопросов курирует вопросы кибербеза. Есть удачные примеры совмещения обязанностей, когда на финансиста возложены вопросы информационной безопасности, и он удачно решает эти вопросы. Есть примеры поднятого до уровня высшего менеджмента CISO.
В холдинговой структуре должен быть человек на уровне заместителя председателя, который отвечает за всю корпорацию. «Если инцидент уровня страны, то на уровне руководства важно спросить, что произошло и как так вышло», — подчеркнул Владимир Бенгин.
По словам представителя Минцифры, крупные госкомпании с огромными холдинговыми структурами и филиальной сетью в соответствии с 250-м Указом назначают сотрудника на уровне совета директоров, который отвечает за ИБ всей корпорации, и требуют назначения ответственных в каждом структурном подразделении.
При исполнении положений Постановления правительства от 15.07.2022 №1272 в части требований к уровню профильного образования заместителя руководителя организации, ответственного за обеспечение информационной безопасности, «все зависит от ваших юристов», отметил Бенгин. Постановление правительства — типовой документ. Государственные и близкие к ним компании соблюдают постановление «буква в букву».
«Чем дальше от государства, тем фривольнее относятся к термину типовой», — добавил чиновник. — «…Но есть некий баланс, [в постановлении] мы не заставили получать только высшее образование [по ИБ]».
При этом Бенгин заметил, что не может порекомендовать коллегам из министерства курсы переподготовки по ИБ, «чтобы это было действительно интересно». Он полагает, что большой спрос на такие программы «разгонит отрасль» — появятся новые игроки на рынке обучения, старые сильно расширят курсы и выйдут с новыми предложениями.
Говоря об ответственности организаций за неисполнение положений 250-го Указа и ПП №1272 в части требований к образованию ответственного за ИБ заместителя генерального директора, Владимир Бенгин заявил, что прямой ответственности за неисполнение Указа и постановления нет. Но надзорными органами ведутся проверки компаний, в ходе которых выявляются нарушения по другим вопросам. Выдаются предписания на устранение нарушений. При этом если инцидент произошел, смотрят на причины и идут по цепочке, в т. ч. рассматривают 250-й Указ. «С этой точки зрения ответственность есть», — заключил представитель цифрового министерства.