Накануне было опубликовано постановление Правительства, которое устанавливает требования к заместителям руководителя предприятия по безопасности. Эта должность стала обязательной для субъектов критической информационной инфраструктуры (КИИ), стратегических и системообразующих предприятий в соответствии с Указом Президента №250.
Речь идет о 100 тысячах информационных систем, на которые не всегда распространяются требования ФСТЭК и ФСБ по безопасности.
Согласно постановлению правительства, замы должны обладать профильным образованием не менее специалитета или магистратуры, либо пройти обучение по согласованной с регуляторами программе профессиональной переподготовки по ИБ.
Пока в отрасли активно обсуждают эти требования и думают, где проходить переподготовку, многие забывают о самом важном — о целях этих изменений.
Что изменится для безопасников?
Кроме введения новой должности Указ также возложил на руководителей ответственность за создание условий для обеспечения информационной безопасности. То есть зам будет отвечать за принятие мер безопасности, а его начальник — за то, чтобы эти меры воплощались в жизнь.
«Это хорошая история, что сейчас появляется ответственность непосредственно для руководства, — считает эксперт Центра компетенций кибербезопасности НТИ EnergyNet, индивидуальный член СИГРЭ Алексей Гуревич. —
Если раньше только ленивый не обсуждал на разных конференциях, как безопасник должен достучаться до руководителя: что ему сделать — расписывать различные гайдлайны, плейбуки, что сказать, что написать, в какой кабинет зайти… То сейчас в рамках Указа Президента появляется неплохая возможность въехать к начальству на белом коне»
Как работать с кадрами?
Эксперт уверен, что принятие этого и других указов о формировании дополнительных мер защиты — довольно серьезный шаг в этом направлении. Он отмечает, что в сфере информационной безопасности есть сложности, в том числе кадровый голод: «Компании с руками и ногами отрывают специалистов и даже не смотрят, сколько этот человек может стоить».
Развивать кадровый рынок ИБ должно не только государство, говорит Алексей Гуревич. В этом должны участвовать профильные вузы, а также отечественные вендоры, задача которых — «прокачивать» специалистов в прикладных вещах.
«Основные наши вендоры этим точно занимаются. Здесь действительно нужно впрягаться в полный рост и развивать», — объясняет эксперт.
Чем ещё помочь отрасли?
Одних только кадровых решений и перехода на отечественное оборудование недостаточно, уверен г-н Гуревич. Он считает, что кроме профильного Минцифры и регуляторов к вопросу нужно привлекать и отраслевые ведомства:
«Минэнерго в электроэнергетике, в ТЭКе пытается быть дополнительным регулятором по вопросам безопасности и привнесению дополнительных мер, которые свойственны внутри отрасли. Я считаю, нужно создавать аналогичные истории в других ФОИВах — в Минздраве и прочих»
По мнению эксперта, необходимо вовлекать в парадигму кибербезопасности сообщества внутри разных отраслей, рассказывать об их успехах и неудачах, а также развивать программы Bug Bounty, с помощью которых компании за вознаграждение привлекают внешних специалистов для поиска уязвимостей в защите.
- «Система защиты существует не в вакууме»: Готова ли российская кибербезопасность к новым вызовам