2788 подписчиков
Продолжение темы
«Основные риски информационной безопасности значимых объектов критической информационной инфраструктуры (ЗО КИИ)»
Начало - здесь
Позитивные и негативные тенденции
Начнем с ‼️ позитива. Очевидно, что программа и перечень мер по обеспечению безопасной разработки программных продуктов российскими вендорами действительно обширны.
Безусловно, позитивным итогом их реализации станет внедрение в субъектах КИИ всех необходимых инструментов безопасной разработки ПО, а также технических мер безопасности, которые должны функционировать в ходе жизненного цикла данного ПО. Причем, в силу регулярных проверок, эти меры будут носить систематический и постоянный, а не разовый характер.
Благодаря требованиям законодательства и регуляторов, в субъектах КИИ будут документированы многие процедуры по безопасной разработке и выявлению уязвимостей в ходе жизненного цикла, чего ранее, зачастую, не было.
Следующим позитивным моментом станет повышение осведомленности за счет описанных выше информационных ресурсов, поддерживаемых государством, что позволит специалистам ИБ на местах самостоятельно проводить анализ защищенности своей инфраструктуры на предмет уязвимостей и принимать оперативные решения по их устранению или разработке компенсирующих мер. К примеру, телеграм-канал БДУ ФСТЭК регулярно публикует сообщения о выявленных критичных уязвимостях.
В целом, реализация комплекса мер по поддержке безопасной разработке ПО способствует повышению качества кода, его безопасности и безопасности ЗО КИИ в целом.
К негативным 🤔 тенденциям можно отнести прежде всего отсутствие отечественных аналогов многих программных продуктов и ИТ-технологий, особенно в сегментах промышленности.
Кроме того, в ИТ и ИБ ощущается значительный кадровый голод, что отмечают все участники рынка, а не только субъекты КИИ. Если говорить откровенно, то специалистов зачастую пугает большая ответственность за нарушение безопасности ЗО КИИ — как административная, так и уголовная. Да и сам по себе процесс импортозамещения содержит достаточно большой объем работ, ведь внедрение нового программного обеспечения требует изменения бизнес-процессов, обучения людей, написание новых интеграций с существующими ИТ-системами и т.д.
И, наконец, еще одной колоссальной проблемой, о которой совсем недавно на пресс-конференции говорили представители ФСТЭК России, является отсутствие у субъектов КИИ бюджетов, необходимых для реализации всех требований по информационной безопасности. А отсутствие бюджетов означает, соответственно, отсутствие возможности закупать те программные средства защиты и инструменты, которые должны быть использованы.
Выводы автора статьи - Александра Моисеева, ведущего консультанта по информационной безопасности AKTIV.CONSULTING -
читайте здесь:
2 минуты
7 июня 2023