Указ о мерах информационной безопасности РФ будет доработан по спорным позициям

Об этом сообщил Евгений Хасин, заместитель директора департамента обеспечения кибербезопасности Минцифры на III международном форуме кибербезопасности государства "Цифротех". По словам представителя Минцифры, дополнения прояснят спорные позиции указа и определят методы контроля его исполнения. Подробностей и сроков он не раскрыл, но сообщил, что занимается этим не Минцифры.

Заявление Евгений Хасин сделал в рамках сессии, на которой обсуждали вопросы и итоги исполнения указа №250 президента РФ от 01.05.2022 №250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации". Он признал, что указ дал "не такой хороший результат, как хотелось бы", но его главная цель была - ответить на новые вызовы, которые появились в феврале 2022 г., и заложить "дух" изменений: "Дух указа, его основная цель - во-первых, донести до всех актуальность информационной безопасности. Во-вторых, указать, что инфобезопасность - неотрывная часть ИТ-технологий, деятельности государственной структуры и коммерческой организации. Указ показывает, куда двигаться".

Участники сессии рассказали о сложностях, с которыми столкнулись организации и госорганы при исполнении указа. Они отметили, что в некоторых случаях возникла проблема с назначением ответственных людей. "Где-то заместитель генерального директора по информационной безопасности назначался номинально. У кого-то карьера пошла вверх: он был начальником информационной безопасности, вдруг получил должность выше. При этом отдел не расширился - то есть речь идет о номинальном выполнении указа", - прокомментировал Александр Хонин, руководитель отдела консалтинга и аудита Angara Security, группы компаний, предоставляющей услуги в области информационной безопасности (ИБ). С этим согласился и советник генерального директора компании - разработчика решений в сфере ИБ Positive Technologies Артем Сычев, сказав, что назначенные заместители "в единицах действительно являются профессионалами", притом что формально все выполнено.

Спикеры затронули вопрос о квалифицированности кадров: многие из них не обладают достаточной подготовкой, чтобы в полной мере выполнять требования указа. "Даже профессиональным безопасникам нужна подготовка. А где программа подготовки кадров? Ее нет, потому что нет согласованности между всеми участниками процесса на уровне регуляторов. Дух указа классный, но он быстро рассеивается", - отметил Артем Сычев из Positive Technologies.

Директор по развитию региональных продаж B2G "РТК-Солар" Наталья Ким говорила о ситуации в регионах. Она рассказала, что заказчики обращались с вопросом, кто является субъектом указа - многим это до сих не понятно. Евгений Хасин ответил, что разночтений в этом вопросе нет, однако добавил, что все же четко не прописано, на все ли системообразующие стратегически значимые предприятия распространяются требования или только на те, которые являются субъектами критической информационной инфраструктуры.

Наталья Ким отметила, что не все успевают провести импортозамещение и в полной мере выполнить указ за отведенный срок - до начала 2025 г.

https://www.comnews.ru/content/220440/2022-05-27/2022-w21/ukaz-no250-stavit-ceytnot

Также участники рассказали о сложностях при оценке защищенности, которую, согласно указу, должны были провести организации. Приходилось соответствовать требованиям разных регуляторов, у которых были совсем разные критерии оценки. "Минцифры выпустило рекомендуемое ТЗ, в котором привело описание оценки. У ФСБ в рамках ГосСОПКа есть свои методические рекомендации по анализу защищенности. Общего понимания методологии у заказчиков не было, все шли по разному пути", - объяснил ComNews Александр Хонин из Angara Security.

Собравшиеся обсудили и проблему контроля исполнения указа. По их словам, требования указа соблюдаются формально, а надлежащего контроля за исполнением нет. "Если указ будет дополняться, хочется, чтобы методы контроля ориентировались на понятные показатели, которые действительно характеризуют защищенность. Если компания может обеспечить операционную надежность так, чтобы не прерывать работу систем дольше, чем необходимо для технологического обслуживания, не дает злоумышленнику нарушать операционную надежность и похищать данные - это показатель, который может давать понимание, есть безопасность или нет. А не то, что мы сейчас считаем. Например, сколько там межсетевых экранов. Они несут безопасность или нет? Эти показатели вообще ни о чем не говорят", - сказал Артем Сычев из Positive Technologies.