Изменение структуры. Новые «акценты» законодательства в сфере ИБ
Осложнение внешнеполитической обстановки, продолжение пандемии, перевод сотрудников на удалённый режим работы, активное внедрение новых технологий, финансовый кризис становятся предпосылками для роста компьютерной преступности.
Для снижения киберрисков и повышения значимости вопросов кибербезопасности в организациях со стороны Государства произошли изменения законодательства с расстановкой новых «акцентов», были разработаны Указ Президента РФ № 250 от 01.05.2022 и Постановление Правительства № 1272 от 15.07.2022.
Указ и Постановление распространяются на:
- федеральные органы исполнительной власти;
- высшие исполнительные органы государственной власти субъектов РФ;
- государственные фонды;
- государственные корпорации и государственные компании, созданные РФ на основании федеральных законов;
- стратегические предприятия;
- стратегические акционерные общества;
- юридические лица, являющиеся субъектами критической инфраструктуры (далее — КИИ), т. е. подпадающие под действие Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
С учётом последнего пункта и определения субъектов КИИ из 187-ФЗ Указ, по сути, распространяется на большинство предприятий России (по некоторым экспертным оценкам — до 90% всех предприятий).
Согласно Указу, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации, к которым, в соответствии с п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», относятся и все кредитные организации, необходимо возложить на заместителя руководителя организации полномочия по обеспечению информационной безопасности, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты (далее — Заместитель руководителя).
Об этом также указано в п. 2 Приказа Министерства цифрового развития, связи и массовых коммуникаций РФ от 10 марта 2022 г. № 186 «Об утверждении методических рекомендаций по обеспечению необходимого уровня безопасности в сфере информационно-коммуникационных технологий государственных корпораций, компаний с государственным участием, а также их дочерних организаций и зависимых обществ». Данный приказ распространяется, конечно, на более ограниченное число компаний.
Кроме того, необходимо создать в каждой организации структурное подразделение, осуществляющее функции по обеспечению информационной безопасности организации, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить данные функции на существующее структурное подразделение. Для банков, как правило, это не является проблемой, так как уже давно в каждом из них функционирует такое подразделение, в организациях же, относящихся к другим отраслям, даже одного специалиста может не быть, не говоря уже о подразделении.
Подразделение должно быть подчинено заместителю руководителя организации, ответственному за обеспечение информационной безопасности в организации, либо иным лицам из состава руководства организации — при условии осуществления курирования со стороны руководителя организации (рис. 1).
Рисунок 1. Структура обеспечения информационной безопасности в организации
Изменение структуры обеспечения ИБ — необходимый и важный этап развития системы обеспечения информационной безопасности организации для повышения эффективности и управляемости, обеспечивающий защиту от киберугроз. В среднем подразделением информационной безопасности крупной организации администрируются и сопровождается несколько десятков систем обеспечения защиты информации, и их количество постоянно растёт (антивирусы, защита почты, доступ в интернет, DLP, SIEM, система анализа защищённости, антифрод-системы, УЦ, криптография, MDM и т. д.).
В общем случае (с учётом собственного опыта и рекомендаций СТО БР ИББС) в деятельности подразделения информационной безопасности можно выделить следующие ключевые направления:
- «методология»;
- «реализация и сопровождение»;
- «контроль»;
- «криптографическая защита».
Указ позволяет также в случае необходимости привлекать сторонние организации к осуществлению мероприятий по обеспечению информационной безопасности организации, при этом обязательно наличие у них лицензии на осуществление деятельности по технической защите конфиденциальной информации. Можно привлекать сторонние организации и к осуществлению мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, но речь идёт исключительно об организациях, являющихся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.
Отдельно стоит упомянуть про разрешённый ФСБ России доступ, в том числе удалённый, к принадлежащим организациям ресурсам в целях осуществления мониторинга и необходимость обеспечивать незамедлительную реализацию организационных и технических мер, решения о необходимости которых будут приниматься Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю в пределах их компетенций. Пока непонятно, как будет осуществляться этот доступ.
Указ возлагает на руководителей организаций персональную ответственность за обеспечение информационной безопасности, которую необходимо зафиксировать в трудовых договорах и должностных инструкциях.
Правительство РФ в соответствии с п. 3 Указа разработало и утвердило Постановление № 1272, содержащее типовое положение о Заместителе руководителя, ответственном за обеспечение информационной безопасности, и типовое положение о структурном подразделении ИБ.
Обязательным является наличие высшего образования в области информационной безопасности или соответствующей профессиональной переподготовки по направлению ИБ, знаний, умений и профессиональных компетенций в области ИБ.
В последние полгода существенно вырос спрос на специалистов по кибербезопасности. Недостаток квалифицированных кадров только нарастает. Где взять столько специалистов? По оценке ФСТЭК, необходимо более 500 тысяч специалистов, а вузов, готовящих таких специалистов, недостаточно. С переподготовкой тоже не всё так просто: необходимо не менее 500 часов с учётом требований для получения лицензий ФСБ и ФСТЭК, это 4 месяца учёбы. Заместителю по информационной безопасности это, возможно, и не нужно, но других требований к объёму переподготовки пока нет.
Интересный пункт Положения: «Указания и поручения ответственного лица в части обеспечения информационной безопасности являются обязательными для исполнения всеми работниками», то есть у заместителя по ИБ появляются дополнительные права и возможность добиваться от работников организации определённых действий.
Шестой пункт Указа — импортозамещение средств защиты — отдельная большая тема. С 1 января 2025 г. организациям запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.
Таких стран более 20, с учётом аффилированности — гораздо больше. Получается, что практически любые иностранные средства защиты информации будут под запретом, и остаётся немногим более двух лет для перехода на российские средства защиты информации.
А импортозаместиться в текущих условиях непросто. Отечественные производители по ряду направлений защиты оказались не готовы предоставить аналогичные западным решения, со схожими характеристиками и функциональностью. Речь идёт, например, о межсетевых экранах и шлюзах доступа в интернет (замена Cisco, Palo Alto, CheckPoint и т. д.). Отечественные решения отстают в возможностях и характеристиках, при этом их стоимость сопоставима со стоимостью зарубежных аналогов, а порой и превышает её. Естественно, и процесс миграции также может занять не один год — в случае, если отсутствуют инструменты или технологические возможности по его оптимизации/автоматизации.
Проблемы с импортозамещением для некоторых систем могут привести к существенному снижению уровня защищённости. Чтобы это компенсировать, необходимо привлекать дополнительные ресурсы, а также разработать для вендоров механизм заинтересованности в улучшении их продуктов — через гранты, субсидии и другие преференции, разумеется, параллельно с системой контроля за результатами.
Стоит также отметить инициативы по составлению каталогов, в которых для западного ПО указываются замещающие их отечественные решения. Например, такой каталог достаточно оперативно выпустила АРПП «Отечественный софт». Понятно, что такая работа только начата, но её надо обязательно поощрять и развивать.
Начинать же, безусловно, нужно с Плана импортозамещения средств защиты.
Также необходимо подумать о переходе на отечественные решения и для остального ПО, так как есть проблемы с покупкой лицензий, обновлением ПО, «неприятностями» в виде различных закладок и т. п. Прямого запрета на использование иностранного ПО пока нет, но здравый смысл подсказывает, что лучше подстраховаться, и сделать это заранее. Кстати, госорганам и субъектам КИИ, имеющим значимые объекты инфраструктуры, Указом Президента РФ № 166 от 30.03.22 уже запрещено использование любого иностранного ПО с 1 января 2025 года.
Изменения законодательства, касающегося обеспечения информационной безопасности предприятий, безусловно, своевременны и разумны: в условиях новых вызовов они становятся ключевыми факторами достижения технологической независимости России.
.jpg)