Указы Президента РФ № 166 от 30.03.2022 и № 250 от 01.05.2022 задали три основных вектора, по которым российским организациям нужно в ближайшее время двигаться в сфере информационной безопасности. Эти и другие вопросы обсудили участники панельной дискуссии «Новые информационные вызовы в текущей реальности» конференции о трендах в ИТ и ИБ «IT IS conf 2022».
Теперь отдел информационной безопасности в компании – это обязательно
Первый вектор: в каждой организации должно быть специализированное подразделение, которое отвечает за информационную безопасность, с полным набором необходимых средств, инструментов и инструкций для разных сценариев. Обычной штатной единицы теперь недостаточно. Управлять таким отделом должен руководитель уровня не ниже заместителя руководителя организации. По словам Николая Домуховского, заместителя генерального директора УЦСБ по научно-технической работе, государство давно и целенаправленно подталкивало к этому бизнес, поэтому у большинства компаний такое подразделение уже есть.
Лишь немногим организациям, которые до сих пор уклонялись от создания полноценного отдела по обеспечению информационной безопасности, сейчас придется этим заняться с нуля.
«Некоторые делали так: у нас с персональными данными работает бухгалтер, вот он и будет ответственным за информационную безопасность. Или находили другого сотрудника, который занимался чем-то схожим, и назначали его. Им сейчас и нужно срочно обзаводиться специализированным подразделением», – объясняет Николай Домуховский.
Кадровый голод
Потребностей и тех компаний, которым нужно только усовершенствовать свой отдел по обеспечению ИБ, и тех, которым нужно создать его с нуля, вполне достаточно, чтобы существенно вырос спрос на соответствующих специалистов. А они и раньше были в дефиците. И сейчас этот дефицит станет еще острее.
«Наличие опыта работы в ИТ дает возможность и основания осваивать быстрее и глубже программы, которые необходимы для работы в области кибербезопасности. Например, в этом направлении работают партнерские программы ДПО и магистратуры с заинтересованными компаниями или университетами. В 2021 году мы получили отличный опыт создания совместной программы с МФТИ и компанией УЦСБ», – рассказал Илья Обабков, директор ИРИТ-РТФ УрФУ.
Еще один вариант – переподготовка специалистов, которые уже работают в сфере информационных технологий. Наличие технического бэкграунда поможет быстрее осваивать программы, которые понадобятся для работы с области кибербезопасности. Например, в этом направлении работают партнерские программы с заинтересованными компаниями, а также некоторые российские высшие учебные заведения.
Проверить, описать и проанализировать
Второй вектор: компаниям необходимо провести аудит информационной безопасности. В первую очередь это касается организаций, которые Правительство РФ отнесло к ключевым. Результаты аудита наглядно покажут слабые места в защите, а также фронт работ для последующего перехода на отечественные технологии. Это будет хорошая основа для определения дальнейшей стратегии организации в ИБ.
«По типовым документам, которые опубликовало Министерство цифрового развития, связи и массовых коммуникаций РФ, можно предположить, что в дальнейшем государство обяжет компании проводить такие аудиты регулярно», – считает Николай Домуховский.
Время переходить на отечественные решения
В основу информационной безопасности российских организаций должен лечь стопроцентный переход на отечественные ИТ-решения, либо продукты производства дружественных стран. С одной стороны, возможность все-таки прибегать к импортным решениям дает больший простор для действий. С другой стороны, ситуация может меняться очень быстро, а вместе с ней и дружественный статус государств.
Государство дает на это время до 2025 года – для таких серьезных перемен период довольно небольшой. Особенно учитывая, что многие организации пока вообще слабо представляют, с какой стороны подступиться к этому делу и с чего начать. Во-первых, на это нужны деньги, а запланированный бюджет во многом уже использован. Во-вторых, выбор, внедрение, доработка и пуск в работу новых продуктов – это масштабный процесс, включающий анализ, внедрение, тестирование, переобучение сотрудников и многое другое.
«Между болью и доверием»
Многие организации сейчас не готовы к серьезным затратам на ИБ. По словам представителей некоторых российских поставщиков оборудования, они открыты для обсуждения и поисков компромиссов в каждом конкретном случае.
«У всех разные ситуации, и мы прекрасно это понимаем, – говорит Николай Домуховский. – УЦСБ придерживается индивидуального подхода. Рассматриваем различные варианты: рассрочку, постоплату и другие. Насколько я знаю, коллеги придерживаются такой же позиции».
Эксперты рынка сходятся во мнении, что востребованность и значимость аутсорса в сфере информационной безопасности. В этом контексте особое значение принимает вопрос доверия между партнерами. Нужно быть уверенным в том, кому доверяешь безопасность своей компании. В отличие от западных вендоров российскому поставщику не так просто уйти по-английски, но зерна опасений уже посеяны. Поэтому российским организациям предстоит принимать непростые решения и искать золотую середину между разнонаправленными аргументами: снижением затрат и рисками.
«Мне кажется, все процессы по импортозамещению будут происходить на балансе между болью и доверием, – считает Илья Обабков. – С одной стороны, в рамках своих возможностей компании стремятся наращивать собственные компетенции в области информационной безопасности. У ИРИТ-РТФ все больше таких партнеров. С другой, если определенных ресурсов или возможностей не хватает, и взять их прямо сейчас негде, то придется прибегнуть к аутсорсу».
На что менять
Специалисты по ИБ считают, что российское ПО для обеспечения информационной безопасности спокойно заменит иностранное. Насколько эксперты отрасли единодушны в позитивной оценке российского ПО, настолько же и в том, что у отечественного оборудования большой простор для развития.
«Необходим эффект масштаба. У нас есть предприятия, которые имеют необходимые технологии, навыки и опыт в изготовлении различного специализированного оборудования. Но они по большей части работают по военному заказу. Во многом они действительно ушли вперед в сравнении с гражданскими производителями. Но в силу специфики деятельности у них нет потребности масштабироваться. И вот в этом направлении необходимо серьезное качественное развитие», – поясняет Николай Домуховский.