«Нельзя пугать, не требуя». Без объективных показателей и критериев оценки мы не видим реальной картины в сфере ИБ

«Нельзя пугать, не требуя». Без объективных показателей и критериев оценки мы не видим реальной картины в сфере ИБ

Как отмечено в статье Курило А. П., проблемы сферы информационной безопасности носят системный характер, и, как мне кажется, осветить все их аспекты в одной статье представляется весьма проблематичным.

Вместе с тем Андреем Петровичем чётко выделены основополагающие. Это прежде всего объективная оценка экономических, технологических и организационных аспектов рассматриваемой тематики.

В первой редакции «Доктрины информационной безопасности» превалировал технократический подход к оценке и обеспечению информационной безопасности (далее – ИБ). Причём ИБ рассматривалась как сфера деятельности вне экономических реалий. В новой «Доктрине», принятой в 2016 году, сделан серьёзный шаг по трансформации ИБ из сферы деятельности в индустрию информационной безопасности (производство, сбыт товаров и услуг, потребительская аудитория, экономика).

Включение в общероссийские классификаторы видов экономической деятельности и продукции по видам экономической деятельности кодов [1], имеющих прямое отношение к информационной безопасности, расширяет возможности экономической оценки рынка информационной безопасности, оценки экономических последствий регулирующих воздействий, касающихся ИБ, возможно, и международной сопоставимости.

Указанное, а также масса других отраслевых статистических материалов могли бы быть использованы для развития экономических механизмов регулирования и защиты внутреннего рынка информационной безопасности, но, как правильно отмечено в статье Курило А. П., в отличие от ИТ-компаний, к ИБ-компаниям возможности тарифных и налоговых инструментов для создания преференций отечественным компаниям до настоящего времени не применялись.

Пока в числе основных инструментов регулирования деятельности субъектов сферы информационной безопасности используется лицензирование. Согласен с Андреем Петровичем, лицензии получают все, кто хочет и удовлетворяет установленным требованиям. Лицензирование носит заявительный характер. А участвует ли лицензиат в работах по обеспечению информационной безопасности? Проводится ли оценка профессионализма лицензиатов по наличию постоянного опыта выполнения работ по ИБ? Достаточны ли полномочия регуляторов в проведении таких оценок?

По данным портала ГАС «Управление», лицензиатов ФСТЭК на деятельность по технической защите информации в конце 2019 года было 2592 компании, число проверок (ограничено государством) в 2019 – 39. Сколько лет потребуется регулятору, чтобы проверить все компании, и все ли они проживут этот срок?

Вопрос лицензирования – важный вопрос для защиты национальных интересов и интересов потребителей в информационной сфере, однако, помимо лицензиатов,важен вклад самих потребителей, для которых нет требований к наличию соответствующих должностей и профессионально подготовленных кадров в области ИБ.

Для профессиональных игроков рынка не стали новостью выводы ФГБУ «ВНИИ труда» по результатам опроса о потребности в кадрах в области ИБ, что по количеству работников, занятых ИБ, лидируют непрофильные должности, так как вопросы обеспечения ИБ часто возлагаются на бухгалтеров, юристов, педагогов, специалистов безопасности (охраны) и т. д.

Текущий недостаток кадров, испытываемый профессиональным сообществом, и изложенный выше «скрытый» дефицит требуют существенного увеличения кадрового обеспечения отрасли. Это обсуждается уже не один год и Правительством России, и ИБ-общественностью, однако, даже если предположить, что в следующем году число принимаемых на ИБ-специальности будет доведено до необходимой потребности (оценочно по 20 тыс. человек ежегодно, в 2018 г. принято 8,5 тыс. человек), результат мы получим не раньше, чем через пять лет.

В этой связи следует принимать во внимание необходимость гибких комплексно увязанных решений во всех сферах, влияющих на отечественный рынок. И прежде всего в экономической.

«Цифровая повестка» и связанные с этим ожидания создают иллюзию исключительного экономического роста в ИТ-отрасли. Однако по данным, ежегодно публикуемым Минэкономразвития, годовые объёмы ИТ-рынка в период 2012-2018 гг. в сопоставимых от уровня предыдущего года ценах только уменьшались и не превысили 800 млрд руб. Доля ИБ-рынка в объёмах ИТ-рынка составляла около 10-15 %. В то же время, по данным портала Госзакупок, в 2018 году объём заключённых на портале контрактов достиг 25 трлн руб. (только 44 и 223 федеральные законы).

И здесь сложно не согласиться с Андреем Петровичем, что ИТ- и ИБ-рынки –  небольшие по объёмам, оставаясь расходной частью в бюджетах потребителей, главным образом призваны способствовать росту других отраслевых сегментов экономики за счёт повышения их эффективности и защищённости.

По поводу регуляторной деятельности в ИБ-сфере. Думаю, что, с одной стороны, обсуждение «высокой зарегулированности рынка» и, с другой, призыв к интенсификации научнообоснованных подходов к обеспечению ИБ должны быть соотнесены с текущими политическими, общественными и технологическими реалиями. Нельзя одновременно пугать общество «ИТ-бедами», а от регуляторов требовать понижения требований.

Мне представляется, что в последние годы со стороны регуляторов осуществляется планомерное и взвешенное развитие форм и методов противодействия противоправным действиям. Да, не всё решено, есть недостатки, но отрицать явный наметившийся прогресс сложно.

В частности, отмечу, что регуляторные изменения в сфере ИБ (требования к защите ГИС и персональных данных, КИИ, банковских систем), принятые в последние годы, не только поддержали ИБ-рынок, но даже способствовали росту его объёмов.

За последнее десятилетие существенно выросла доля закупаемых отечественных средств защиты и покрывающих большую часть требований регуляторов, хотя продолжает сохраняться зависимость от импортных: аппаратной базы с высокой производительностью и программных средств, реализующих перспективный функционал.

И последнее, в чём я абсолютно солидарен с Андреем Петровичем, так это необходимость принятия семейства объективных показателей и критериев оценки в сфере ИБ, что обеспечило бы условия для обсуждения и принятия решений путём аргументации, а не голословных утверждений.

[1] Приказ Росстата от 17.02.2016 № 40-ст.