Издание «КоммерсантЪ» ознакомилось с проектом постановления правительства, в котором говорится о требованиях к заместителю руководителя организации, ответственному за обеспечение кибербезопасности и о профильном структурном подразделении. Положения разработаны исходя из указа президента от 1 мая, который подразумевает, что ответственность за риски, связанные с информационными структурами, должны нести заместители руководителей предприятий.
Требования, сформулированные в проекте, относятся к федеральным органам власти, субъектам РФ, госфондам, госкорпорациям, стратегическим предприятиям, системообразующим организациям и субъектам КИИ (критической информационной инфраструктуры – кредитные организации, телекоммуникации и т.д.).
Исходя из проекта, сотрудник, отвечающий за информационную безопасность должен обладать дипломом о высшем профильном образовании «не ниже специалитета или магистратуры», либо пройти курсы профессиональной переподготовки. В его компетенции должно входить понимание «влияния информационных технологий на работу организации», знание способов построения информационных систем, включая системы ограниченного доступа, обеспечение безопасности сетей компании, знание основных угроз безопасности, включая предпосылки их возникновения и возможные способы реализации, представлять последствия таких воздействий. Заместитель руководителя по кибербезопасности отвечает за несение своих обязанностей без нарушений, действия или бездействие, приведшие к недопустимым событиям, а также несет полную ответственность в случае разглашения гостайны – в случае, если таковое произойдет, сотруднику вменяется госизмена, наказанием за которую станет тюремное заключение сроком от 12 до 20 лет.
Под вышеперечисленные требования уже подходят банковские специалисты – без подтверждения их квалификации ФСБ не сможет выдать им лицензию, поясняют эксперты по кибербезопасности. Другие компании предпочитают самостоятельно обучать сотрудников по необходимым компетенциям, поскольку наемному руководителю потребуются и техническая информация, и навыки общения с руководством, которые сложно получить на курсах переподготовки или в институте.
Исходя из данных, предоставленных сервисом по подбору сотрудников HeadHunter, количество вакансий, связанных с информационной безопасностью, в июне выросло по отношению к предыдущему году на 24%, и составило 3,2 тыс. против 2,6 тыс. Количество резюме, размещенных людьми, претендующими на эти должности, составило14,3 тыс. Таким образом, по словам сотрудников сервиса, конкуренция в четыре человека на место показывает нехватку специалистов. При этом ежегодно сфера ИБ требует выхода 18-18,5 тыс. сотрудников, и это без учета топ-менеджеров, сообщают эксперты. В то же время до конца обучения доходят ежегодно лишь 14 тыс. выпускников, получая диплом о высшем образовании с квалификацией в области кибербезопасности. Их более опытные коллеги сетуют на пробелы в знаниях молодых специалистов – в учебных заведениях не обучают реакции на инциденты, сбору и интерпретации данных киберразведки, а также многим другим рабочим моментам. Однако признают, что без практики и экспертизы, нарабатываемых с годами, эти навыки не приобрести, и что готовых специалистов вуз выпустить не может.
Однако еще 6 июня посол по особым поручениям МИДа, Андрей Крутских, сообщал изданию «Ъ» о стремительно увеличивающемся количестве нападений на объекты КИИ с использованием информационно-коммуникационных технологий.
В качестве возможного решения вопроса эксперты предлагают повышение текущих руководителей, если они обладают достаточным опытом и пониманием актуальных угроз и тенденций, имеют представление, как работать с ними.
Предприятия получат вместе с новыми требованиями сопутствующие им затраты: необходимо будет провести мероприятия, анализирующие и оценивающие состояние информбезопасности организации. Однако в положениях не прописано, что назначенные руководители получают право на формирование бюджета для финансирования необходимого тестирования. В этих случаях исполнители рискуют не выполнить обязательства по причине нехватки средств.