24 апреля
Одним из вызовов, с которыми сегодня сталкивается Россия, стали массированные кибератаки на ресурсы органов власти, федеральных изданий, университетов, крупных компаний и организаций. Национальный координационный центр по компьютерным инцидентам отмечает многократное увеличение числа компьютерных атак на российские информационные системы в последние месяцы. Как этому противостоять?
От формального к реальному
Как отмечают специалисты, последствия кибератак бывают разные — иногда это срыв сроков мероприятия или невозможность для пользователей попасть в какую-либо систему. Но есть в стране и объекты, внешнее вмешательство в работу которых грозит большими проблемами, к ним и особые требования безопасности. Речь идет обо всем, что обеспечивает нормальную жизнь граждан: от учреждений медицины до добывающих и перерабатывающих заводов, от инженерных сетей до транспорта и дорожного хозяйства. Все это в совокупности называется критической инфраструктурой, в которой в век цифровизации и больших данных практически все процессы управления пронизаны компьютерными технологиями. Качество защиты информации напрямую связано с четкой работой систем безопасности на критической инфраструктуре.
Еще в 2018 году вступил в силу 187-й Федеральный закон «О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации». В нем было определено более десятка отраслей, которые относятся к этой категории. Однако, по мнению экспертов, все это время требования закона воспринимались многими организациями довольно формально. Так бы все и шло, но 1 мая 2022 года президент РФ подписал Указ N 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Выйти из тени
Из документа следует, что повысить безопасность информационных ресурсов придется федеральным органам исполнительной власти, правительствам регионов, краев, республик, госфондам, госкорпорациям, госкомпаниям («Росатом», «РЖД», «Газпром» и т. д.), стратегическим предприятиям и стратегическим АО, системообразующим предприятиям российской экономики, юрлицам, являющимся субъектами критической информационной инфраструктуры. Судя по данным, доступным в интернете, таких организаций в России может насчитываться до 500 тысяч.
— Из опыта работы мы знаем, что есть организации, которые по факту являются субъектами КИИ и подпадают под все требования законодательства, но сами себя таковыми не признают. Конечно, это положение вещей будет сохраняться до первой большой проверки, а потом последуют немалые штрафы. А в случае серьезных инцидентов — ответственность руководителя вплоть до уголовной. Поэтому сейчас каждый руководитель организации, работающей в отрасли, которую 187-й ФЗ относит к критической инфраструктуре, должен с корпоративными юристами выяснить, является ли организация субъектом критической информационной инфраструктуры. И если да, то необходимо признать ее таковой, — поясняет председатель совета кластера ГЛОНАСС Александр Семкин. — Одно из направлений деятельности объединения — обеспечение информационной безопасности, в том числе и государственной тайны.
Вопрос исполнения закона требует переосмысления темы со стороны руководителей, считают эксперты информационной безопасности. Компаниям, которых затрагивает Федеральный закон 187, нужно провести инвентаризацию своих ресурсов, выделить в них критические процессы. Процессы честно проанализировать и все то, что является критическим, серьезно защищать.
— С документами ФСТЭК России, как регулятор, сейчас работает очень серьезно, — говорит Александр Семкин. — По нашему опыту раньше компании, чтобы не усложнять жизнь, самостоятельно присваивали себе самую низкую категорию для обеспечения информационной защиты. Такое сходило с рук крупным транспортным и энергетическим организациям. Сейчас ситуация изменилась. ФСТЭК России имеет полномочия обязать субъект КИИ соответствовать той категории, к которой он относится по факту.
Что изменилось?
Насколько изменился подход государства, видно из того факта, что теперь ответственность за информационную безопасность организации несет непосредственно ее руководитель. Это совсем иная практика, чем в прошлые годы, когда «заведовать» информационной безопасностью назначали специалиста из ИТ-отдела. Зачастую он весьма слабо разбирался в вопросах информационной безопасности.
При этом в обязательном порядке вводится должность заместителя руководителя, на которого напрямую возлагаются полномочия по обеспечению информационной безопасности в компании, работающей с критической информационной инфраструктурой. В каждой такой организации должны быть созданы также подразделения обеспечения информационной безопасности объекта КИИ.
Редакция «РГ» ознакомилась со свежим проектом постановления правительства РФ, который детализирует указ президента и определяет компетенции и функции заместителя по информационной безопасности и его подразделения. Этого документа два месяца ждали участники рынка информационной безопасности и организации, работающие на критической информационной инфраструктуре.
Итак, заместитель будет нести ответственность за обеспечение информационной безопасности, в том числе за обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты. Он должен иметь высшее образование (не ниже уровня специалитета, магистратуры), по направлению обеспечения информационной безопасности. «Если ответственный имеет высшее профессиональное образование по другому направлению, он должен пройти обучение по программам профессиональной переподготовки по направлению «информационная безопасность», — написано в проекте. По оценкам экспертов, на это потребуется более 500 часов.
Кадры решают
Ответственный за информационную безопасность заместитель должен обладать немалыми компетенциями — начиная от разработки политики информационной безопасности в организации, ее внедрения, контроля и анализа применения до контроля достижения целей информационной безопасности (фактически достигнутый эффект и результат). Плюс за ним закреплено обеспечение перевода систем и сетей на отечественные средства защиты информации, а также «контроль по соблюдению запрета на использование средств защиты информации, странами происхождения которых являются иностранные государства». Ответственность — как за инциденты в сфере обеспечения информационной безопасности, так и за разглашение гостайны — немалая. Все это автоматически влечет за собой формирование целого пула специалистов, обладающих высокими профессиональными компетенциями. И закономерно возникает вопрос: где их взять?
Очевидно, что специалисты в сфере информационной безопасности — отдельная каста в ИТ-отрасли. Несмотря на то что в гражданских и военных вузах страны есть программы по информационной безопасности, они не закрывают потребностей отраслей, нуждающихся в защите информации. По оценкам аналитиков Сбербанка, к началу декабря 2021 года в России не хватало около 20 тысяч специалистов по информационной безопасности, причем одна из причин этой проблемы — дефицит преподавателей.
— Есть серьезная потребность и в обучении, и в повышении квалификации: вузы выпускают специалистов меньше, чем требует рынок, — считает Александр Семкин. Эту проблему обозначила в конце 2021 года ФСТЭК России, выявившая острый недостаток специалистов по информационной безопасности в организациях, являющихся субъектами критической информационной инфраструктуры. Необходимо проводить системную работу по подготовке кадров с вовлечением в нее как компаний-экспертов, так и научного сообщества высших учебных заведений.