Изменение структуры. Новые «акценты» законодательства в сфере ИБ

BIS Journal №4(47)2022

12 декабря, 2022

Изменение структуры. Новые «акценты» законодательства в сфере ИБ

Осложнение внешнеполитической обстановки, продолжение пандемии, перевод сотрудников на удалённый режим работы, активное внедрение новых технологий, финансовый кризис становятся предпосылками для роста компьютерной преступности.

Для снижения киберрисков и повышения значимости вопросов кибербезопасности в организациях со стороны Государства произошли изменения законодательства с расстановкой новых «акцентов», были разработаны Указ Президента РФ № 250 от 01.05.2022 и Постановление Правительства № 1272 от 15.07.2022.

 

Указ и Постановление распространяются на:

  • федеральные органы исполнительной власти;
  • высшие исполнительные органы государственной власти субъектов РФ;
  • государственные фонды;
  • государственные корпорации и государственные компании, созданные РФ на основании федеральных законов;
  • стратегические предприятия;
  • стратегические акционерные общества;
  • юридические лица, являющиеся субъектами критической инфраструктуры (далее — КИИ), т. е. подпадающие под действие Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

С учётом последнего пункта и определения субъектов КИИ из 187-ФЗ Указ, по сути, распространяется на большинство предприятий России (по некоторым экспертным оценкам — до 90% всех предприятий).

Согласно Указу, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации, к которым, в соответствии с п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», относятся и все кредитные организации, необходимо возложить на заместителя руководителя организации полномочия по обеспечению информационной безопасности, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты (далее — Заместитель руководителя).

Об этом также указано в п. 2 Приказа Министерства цифрового развития, связи и массовых коммуникаций РФ от 10 марта 2022 г. № 186 «Об утверждении методических рекомендаций по обеспечению необходимого уровня безопасности в сфере информационно-коммуникационных технологий государственных корпораций, компаний с государственным участием, а также их дочерних организаций и зависимых обществ». Данный приказ распространяется, конечно, на более ограниченное число компаний.

Кроме того, необходимо создать в каждой организации структурное подразделение, осуществляющее функции по обеспечению информационной безопасности организации, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить данные функции на существующее структурное подразделение. Для банков, как правило, это не является проблемой, так как уже давно в каждом из них функционирует такое подразделение, в организациях же, относящихся к другим отраслям, даже одного специалиста может не быть, не говоря уже о подразделении.

Подразделение должно быть подчинено заместителю руководителя организации, ответственному за обеспечение информационной безопасности в организации, либо иным лицам из состава руководства организации — при условии осуществления курирования со стороны руководителя организации (рис. 1).

Рисунок 1. Структура обеспечения информационной безопасности в организации

 

Изменение структуры обеспечения ИБ — необходимый и важный этап развития системы обеспечения информационной безопасности организации для повышения эффективности и управляемости, обеспечивающий защиту от киберугроз. В среднем подразделением информационной безопасности крупной организации администрируются и сопровождается несколько десятков систем обеспечения защиты информации, и их количество постоянно растёт (антивирусы, защита почты, доступ в интернет, DLP, SIEM, система анализа защищённости, антифрод-системы, УЦ, криптография, MDM и т. д.).

В общем случае (с учётом собственного опыта и рекомендаций СТО БР ИББС) в деятельности подразделения информационной безопасности можно выделить следующие ключевые направления:

  • «методология»;
  • «реализация и сопровождение»;
  • «контроль»;
  • «криптографическая защита».

Указ позволяет также в случае необходимости привлекать сторонние организации к осуществлению мероприятий по обеспечению информационной безопасности организации, при этом обязательно наличие у них лицензии на осуществление деятельности по технической защите конфиденциальной информации. Можно привлекать сторонние организации и к осуществлению мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, но речь идёт исключительно об организациях, являющихся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.

Отдельно стоит упомянуть про разрешённый ФСБ России доступ, в том числе удалённый, к принадлежащим организациям ресурсам в целях осуществления мониторинга и необходимость обеспечивать незамедлительную реализацию организационных и технических мер, решения о необходимости которых будут приниматься Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю в пределах их компетенций. Пока непонятно, как будет осуществляться этот доступ.

Указ возлагает на руководителей организаций персональную ответственность за обеспечение информационной безопасности, которую необходимо зафиксировать в трудовых договорах и должностных инструкциях.

Правительство РФ в соответствии с п. 3 Указа разработало и утвердило Постановление № 1272, содержащее типовое положение о Заместителе руководителя, ответственном за обеспечение информационной безопасности, и типовое положение о структурном подразделении ИБ.

Обязательным является наличие высшего образования в области информационной безопасности или соответствующей профессиональной переподготовки по направлению ИБ, знаний, умений и профессиональных компетенций в области ИБ.

В последние полгода существенно вырос спрос на специалистов по кибербезопасности. Недостаток квалифицированных кадров только нарастает. Где взять столько специалистов? По оценке ФСТЭК, необходимо более 500 тысяч специалистов, а вузов, готовящих таких специалистов, недостаточно. С переподготовкой тоже не всё так просто: необходимо не менее 500 часов с учётом требований для получения лицензий ФСБ и ФСТЭК, это 4 месяца учёбы. Заместителю по информационной безопасности это, возможно, и не нужно, но других требований к объёму переподготовки пока нет.

Интересный пункт Положения: «Указания и поручения ответственного лица в части обеспечения информационной безопасности являются обязательными для исполнения всеми работниками», то есть у заместителя по ИБ появляются дополнительные права и возможность добиваться от работников организации определённых действий.

Шестой пункт Указа — импортозамещение средств защиты — отдельная большая тема. С 1 января 2025 г. организациям запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.

Таких стран более 20, с учётом аффилированности — гораздо больше. Получается, что практически любые иностранные средства защиты информации будут под запретом, и остаётся немногим более двух лет для перехода на российские средства защиты информации.

А импортозаместиться в текущих условиях непросто. Отечественные производители по ряду направлений защиты оказались не готовы предоставить аналогичные западным решения, со схожими характеристиками и функциональностью. Речь идёт, например, о межсетевых экранах и шлюзах доступа в интернет (замена Cisco, Palo Alto, CheckPoint и т. д.). Отечественные решения отстают в возможностях и характеристиках, при этом их стоимость сопоставима со стоимостью зарубежных аналогов, а порой и превышает её. Естественно, и процесс миграции также может занять не один год — в случае, если отсутствуют инструменты или технологические возможности по его оптимизации/автоматизации.

Проблемы с импортозамещением для некоторых систем могут привести к существенному снижению уровня защищённости. Чтобы это компенсировать, необходимо привлекать дополнительные ресурсы, а также разработать для вендоров механизм заинтересованности в улучшении их продуктов — через гранты, субсидии и другие преференции, разумеется, параллельно с системой контроля за результатами.

Стоит также отметить инициативы по составлению каталогов, в которых для западного ПО указываются замещающие их отечественные решения. Например, такой каталог достаточно оперативно выпустила АРПП «Отечественный софт». Понятно, что такая работа только начата, но её надо обязательно поощрять и развивать.

Начинать же, безусловно, нужно с Плана импортозамещения средств защиты.

Также необходимо подумать о переходе на отечественные решения и для остального ПО, так как есть проблемы с покупкой лицензий, обновлением ПО, «неприятностями» в виде различных закладок и т. п. Прямого запрета на использование иностранного ПО пока нет, но здравый смысл подсказывает, что лучше подстраховаться, и сделать это заранее. Кстати, госорганам и субъектам КИИ, имеющим значимые объекты инфраструктуры, Указом Президента РФ № 166 от 30.03.22 уже запрещено использование любого иностранного ПО с 1 января 2025 года.

Изменения законодательства, касающегося обеспечения информационной безопасности предприятий, безусловно, своевременны и разумны: в условиях новых вызовов они становятся ключевыми факторами достижения технологической независимости России.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

14.06.2024
Два попадания из ста — такое себе сафари. Официальный «яблочный» браузер не смог в рыбалку
14.06.2024
Матвеев: Россия может захватить технологическое лидерство в области внутренней ИБ
14.06.2024
ЛК: Кибермошенники добрались до персонала гостиниц
14.06.2024
Использование генеративного ИИ в разработке ПО медленно, но растёт
14.06.2024
Указ о новых мерах по обеспечению кибербезопасности России подписан
14.06.2024
Работающие без выходных безопасники готовы увольняться
13.06.2024
Летний санкционный комбо-сет: Мосбиржа, «Точка» и техкомпании
13.06.2024
«Ростелеком» создаст ещё один фонд для инвестиций в ИТ-сектор
13.06.2024
Ляпунов: Сосредоточение функций ИБ-надзора в новой госструктуре усилит киберустойчивость страны
13.06.2024
Британская корона также ввела санкции против российских бирж

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных