Опубликован указ президента Российской Федерации №250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации". Меры, предписанные в данном документе, касаются около 100 тысяч компаний, учреждений и организации. Это органы государственной власти, государственные фонды, госкорпорации, иные предприятия, созданные на основании ФЗ, стратегические предприятия, стратегические акционерные общества, системообразующие организации экономики и субъекты критической информационной инфраструктуры.
Данный документ был вполне ожидаем. Заместитель генерального директора Crosstech Solutions Group Айк Татевосян считает, что в текущих реалиях мировой политической обстановки дополнительные меры по обеспечению информационной безопасности ресурсов Российской Федерации крайне необходимы, поэтому шаги, предпринятые для этого руководством нашей страны, смотрятся вполне логичными и последовательными.
"То всякие ИТ-армии нас атакуют, то иностранные ИТ-компании активно кооптируют в ряды хакеров своих сотрудников и не против, чтобы они атаковали российские организации, то специалисты по ИБ по всему миру не только активно продают "утечки" из российских организаций и репостят "успехи" недружественных России хакеров, но и не видят в этом ничего зазорного", - так в своем личном блоге описывает предпосылки появления данного документа консультант по информационной безопасности Cisco Алексей Лукацкий.
"Указ стал логичным продолжением ранее принятых стратегических документов в области ИБ с точки зрения директив по созданию структурных подразделений и должностных позиций (Доктрина информационной безопасности РФ, Стратегия национальной безопасности РФ) и специализированных (152-ФЗ, 187-ФЗ, Концепция ГосСОПКА и др.). Актуальность принятого документа связана с недавними санкциями и кратным ростом резонансных киберинцидентов в различных отраслях российской экономики за последние два месяца. Ситуация осложняется массовым переходом предприятий на рельсы цифровизации и, как следствие, размыванием периметра безопасности и повышением уровня сложности кибератак. В новых реалиях большинство российских организаций осознают важность внедрения модели Zero Trust ("нулевое доверие"), но только небольшая часть находится в процессе внедрения инициатив, связанных с этим подходом", - считает директор по продуктам и технологиям Группы Т1 Александр Рожков.
"На фоне ухода из России многих зарубежных ИТ-компаний и прекращения поддержки иностранного ПО российские организации оказались в крайне уязвимом положении с точки зрения информационной безопасности собственных активов. В текущей ситуации государство ожидаемо выступает катализатором усиления ИБ в том числе – за счет ускоренного перехода на использование преимущественно отечественных ИТ-решений", -- уверен директор по информационной безопасности "МойОфис" Александр Буравцов.
Алексей Лукацкий назвал данный документ революционным, коренным образом меняющим процессы обеспечения ИБ на российских предприятиях. Кроме того, существенно повышается роль ИБ-специалистов, поскольку одной из мер, предписанной в Указе №250, является назначение заместителя руководителя, отвечающего за информационную безопасность. Также ИБ-подразделение необходимо создать, если оно отсутствует.
В итоге роль ИБ существенно повышается. "Значение этой меры сложно переоценить. Ключевой ее аспект – формирование института персональной ответственности за обеспечение информационной безопасности в организациях с выделением полномочий для проведения соответствующих изменений. А руководитель ИБ-подразделения получает больше ресурсов и возможностей для обеспечения информационной безопасности в организации. Кроме того, растет и ответственность за проводимую политику в рамках ИБ", - обращает внимание Александр Буравцов.
Александр Рожков считает, что роль CISO неуклонно росла и до появления Указа №250, но изменившаяся ситуация требует решать множество новых задач. "Значимость должности руководителя по ИБ или Chief Information Security Officer (CISO) за последние 2-3 года сильно повысилась, поскольку советы директоров и топ-менеджеры (CEO, CFO) стали осознавать всю важность киберрисков. CISO трансформируется в роль ключевого советника для топ-менеджеров предприятия, поскольку сегодня более 70% организаций уже рассматривают ИБ как один из важных приоритетов. Новый бизнес-контекст в силу развития технологий и ускоренной цифровизации требует таких серьезных изменений от CISO, как внедрение риск-ориентированного подхода, обеспечение киберустойчивости, киберстрахование и др. Особенно следует отметить возложение в рамках принятого документа персональной ответственности на руководителей организаций за обеспечение ИБ. Как показывает практика, такой подход в рамках достижения целевых показателей является очень действенной мерой, по крайней мере в госсекторе. Еще одним важным моментом является возложение на CISO полномочий по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, а также привлечению при необходимости внешних сертифицированных провайдеров ИБ-услуг", - говорит Александр Рожков.
"Во многих структурных подразделениях государственных органов РФ уже давно функционируют специалисты, которые занимаются задачами по обеспечению информационной безопасности. С появлением Указа происходит некоторое перераспределение ответственности за результат их работы — теперь она возлагается непосредственно на заместителей руководителей федеральных органов. Хотя, в первую очередь, документ подчеркивает значимость обеспечения информационной безопасности для государства", - полагает Айк Татевосян.
Однако, по оценке Алексея Лукацкого, которую он высказал в своем блоге, Указ №250 не приведет к решению заявленных задач: "Если честно, то на мой взгляд, этот Указ опять ни к чему не приведет и в госорганах будут возведены только потемкинские деревни. Нельзя ИБ навязать сверху, да еще и без переходного периода, не выделив бюджета на нее, и не имея кадров для ее реализации".
"Значимость информационной безопасности растет. Отрасль становится критически важной для государства, поэтому оно активно помогает в ее развитии — вводятся меры, направленные на поддержку бизнеса в целом, и льготы для сотрудников, занятых в сфере ИБ, - уверен Айк Татевосян. - Указ Президента подчеркивает ориентированность государства на повышение уровня информационной безопасности государственных органов. На ситуацию с ИБ в России влияет комплекс документов и мер, принятых государством, выделить влияние одного документа сложно. Но однозначно можно говорить о том, что ИБ в России растет и продолжит расти стремительно. И значимость CISO и ИБ-подразделений тоже будет только расти".
"Усилится и без того высокий спрос на профессионалов в области ИБ. На ИТ-рынке возрастет потребность в отечественных решениях, информационная безопасность которых подтверждена соответствующими сертификатами регулятора", - считает Александр Буравцов.
Яков Шпунт