Новости / май 2022
От дискретной модели контроля к непрерывной

По мнению экспертов, сферу кибербезопасности в России ожидает масштабная трансформация, толчок которой придаст указ президента РФ №250 "О дополнительных мерах кибербезопасности". Суть трансформации состоит в переходе от дискретной модели к непрерывному процессу мониторинга и реагирования на инциденты.
© ComNews
25.05.2022

24 мая компания BI.ZONE провела вебинар "Q&A-сессия: указ №250 о дополнительных мерах кибербезопасности". Директор по росту BI.ZONE Рустэм Хайретдинов и бизнес-консультант по безопасности Алексей Лукацкий в ходе данного мероприятия обсудили суть данного документа и его роль в трансформации всего сегмента кибербезопасности России, которая только началась.

По оценке Алексея Лукацкого, под требования указа №250 подпадает около 95% российской экономики, включая все госструктуры, стратегические и системообразующие предприятия, а также все субъекты критической информационной инфраструктуры (КИИ). Это в общей сложности около 100 тыс. предприятий, учреждений и организаций. В целом участники дискуссии советовали дождаться постановлений правительства, где более четко должны быть перечислены требования к тем, кого касаются меры, прописанные в указе. Тем более что единого реестра таких компаний нет, по крайней мере в открытом доступе. Если подходить формально, под требования указа №250 могут подпадать даже структуры, которые указали среди своих видов деятельности, что подпадает под КИИ (например, транспортные услуги), но, по сути, таковыми не являющиеся, например, курьерские службы, часто не имеющие ни одного компьютера.

С другой стороны, как подчеркнул Алексей Лукацкий, многие госструктуры пытались лавировать и всячески уклоняться от выполнения требований по поддержанию информационной и кибербезопасности. Теперь такие возможности если не исчезли совсем, то серьезно сократились. При этом российские власти не будут останавливаться, и планируется принятие новых мер по обеспечению информационной и кибербезопасности. Также появились и рычаги давления на тех, кто уклоняется, причем наиболее действенные - на госсектор. По мнению Алексея Лукацкого, меры дисциплинарного воздействия на чиновников куда более действенные, чем любые штрафы. С коммерческим сектором все несколько сложнее, поскольку действует мораторий на проведение проверок. Тут, по мнению Алексея Лукацкого, активность регуляторов начнет развиваться с 2023 г.

Также, по оценке эксперта, будет меняться роль регуляторов. Значимость Минцифры и ФСБ будет расти, а ФСТЭК - снижаться. По мнению Алексея Лукацкого, именно Минцифры будет проводить анализ защищенности ИТ-инфраструктуры тех, кто подпадает под указ №250. Пока о полноценном аудите речи нет, но результаты такого контроля уже могут стать сюрпризом, возможно, не слишком приятным. Также будет расти роль системы ГосСОПКА, хотя на это, как отметил специалист, указывают лишь косвенные признаки. Тем не менее эти меры являются первыми шагами по переходу от дискретной модели контроля ИБ, контрольными точками которого были аттестации, к непрерывной, где ставка делается на постоянно действующие системы мониторинга и реагирования. Это является общемировой тенденцией.

Одной из первых мер, которые предписывает указ №250, является назначение ответственных за информационную безопасность в ранге заместителя генерального директора. По мнению Рустэма Хайретдинова, эта мера в условиях, когда многие ИТ-проекты сворачиваются, ставит ИБ выше ИТ. По оценке Алексея Лукацкого, такой вариант не исключен. Тут возможно три сценария: поднятие роли руководителя ИБ-подразделения, передача внешнему подрядчику или делегирование данной функции представителю какой-то другой службы, например ИТ или общей безопасности. По мнению эксперта, первый вариант выберет финансовый сектор, где независимые ИБ службы существуют уже давно. Представители ИТ-службы, которые и так отвечают за эксплуатацию информационных систем и поддержание базовых функций ИБ также могут взять на себя эти функции. Самым плохим вариантом является передача ИБ службам общей безопасности, поскольку данная сфера им традиционно не близка. Появление "виртуальных CISO", когда обеспечение ИБ берет на себя внешний подрядчик, также является одним из возможных вариантов в условиях жесткого дефицита ИБ-кадров.

Но при этом, по оценке Алексея Лукацкого, кардинального передела рынка ИБ-аутсорсинга не произойдет. К таким компаниям и раньше предъявлялись жесткие требования регуляторов согласно закону 149-ФЗ. К тому же защита информации является лицензируемым видом деятельности.

Также в указе №250 большое внимание уделяется вопросам импортозамещения в сфере ИБ. Однако тут, по оценке Алексея Лукацкого, очень много нерешенных вопросов. С одной стороны, российские решения представлены практически во всех сегментах, за очень редкими исключениями. Но далека от решения задача создания отечественной элементной базы, хотя по планам в 2024 г. запланирован полный перевод систем защиты информации на отечественные процессоры. Эти сроки абсолютно нереальны, в итоге реализация этих планов, как считает Алексей Лукацкий, неизбежно затянется.

Новости из связанных рубрик