За последний год можно выделить три важных регуляторных события, которые сильно повлияли на всех участников рынка: изменение правил категорирования, требования по импортозамещению, требования по формированию службы ИБ и ответственности руководства организации за обеспечение информационной безопасности.
Изменение категорирования
Осенью вышло Постановление Правительства об изменениях в правилах категорирования объектов КИИ, а это значит, что организации из тринадцати отраслей должны пересмотреть принадлежность своих информационных систем к значимым объектам. Признание ИС значимым объектом КИИ (ЗО КИИ) влечет за собой для организации серьезный пересмотр ИБ-процессов и необходимость внедрения требований ФСТЭК России.
После 2017 года все субъекты КИИ проходили этот сложный процесс, и у многих тогда возникли проблемы, зачастую из-за нежелания руководства накладывать на себя дополнительные обязательства. Сейчас же у нас есть юридическая ответственность, а также контроль со стороны отраслевых регуляторов, которым ФСТЭК России передал часть соответствующих функций. В этой связи многие организации стали остро нуждаться в дополнительной экспертизе. Мы помогаем субъектам КИИ не просто перекатегорироваться, но и поставить соответствующие процессы, а также разработать дорожную карту по внедрению новых для них требований.
Серьезные изменения коснулись экономических критериев значимости. Например, один из показателей устанавливает пороговое значение оценки ущерба бюджетам Российской Федерации. По сути, речь идет о рисках недополучить в бюджет налоговые отчисления от субъекта КИИ в случае приостановки его деятельности из-за реализации инцидентов информационной безопасности. Изменение этого критерия для ряда организаций грозит присвоением первой категории для принадлежащим им объектам КИИ.
Помимо изменения критериев значимости, важным является включение в нормативный документ ссылки на перечень типовых отраслевых объектов КИИ. Эти перечни будут устанавливаться отраслевыми регуляторами и включать в себя список типовых для конкретной отрасли информационных систем, которые в обязательном порядке должны войти в список категорируемых.
Роль ИБ при импортозамещении
Тема импортозамещения и Указа Президента №166 о технологической независимости за последний год стала базовой в вопросах обеспечения безопасности КИИ. Рядом стоит Указ Президента №250, который обязывает, в том числе, субъекты КИИ переходить на российские средства защиты информации. В этой связи для многих роль службы ИБ зачастую ограничивается именно вопросами импортозамещения СЗИ. Конечно, это большие сложные проекты, но должна ли функция ИБ ограничиваться только ими?
Я бы хотела остановиться на роли службы ИБ при импортозамещении именно прикладного ПО, на котором построены основные технологические и/или бизнес-процессы. В условиях стихийного перехода на новые решения, особенно если они категорируются как значимые объекты КИИ, необходимо оценивать риски информационных угроз, связанные с самим переходом и его последствиями. И здесь служба ИБ должна если не курировать вопросы безопасности, то быть частью группы, сопровождающей изменения.
Много опасений вызывает скорость, с которой разрабатываются или дорабатываются отечественные решения для целей импортозамещения. С одной стороны, нужно обеспечить необходимую функциональность, с другой – соответствовать требованиям безопасности. И как это часто бывает, счет не в пользу последнего. При этом есть конкретные указания ФСТЭК России по использованию в ЗО КИИ прикладного ПО, которое соответствует требованиям безопасной разработки (БРПО).
Отдельно можно выделить проблему безопасности Open Source. Не секрет, что большинство современных решений использует открытый код. При этом далеко не все разработчики тестируют его должным образом, встраивая в свои продукты. Представители Минцифры говорят о создании к концу 2023 года российского репозитария с внедренным процессом анализа уязвимостей, что, безусловно, в перспективе повысит уровень безопасности. Но что делать сейчас, когда критическая инфраструктура нуждается в быстром замещении, а решения требуют доработки? Выстраивать процессы БРПО в случае собственной разработки или ограничиться взаимодействием только с вендорами, которые могут подтвердить внедренные процессы безопасной разработки.
Импортозамещение для организации – это всегда дополнительные ресурсы, поэтому с целью их оптимизации многие начинают рассматривать для себя использование программного обеспечение с SaaS-моделью. И здесь кроется огромный пласт пока еще не решенных вопросов, связанных с обеспечением информационной безопасности. Действительно, все понимают, что за облачными решениями будущее, но как разделить ответственность между организацией и провайдером, ведь часть контура безопасности выносится на сторону последнего. Несмотря на то, что в настоящее время нет регуляторики, описывающей требования к ИБ-аутсорсингу, уже сейчас нужно выстраивать процессы таким образом, чтобы субъекты КИИ могли управлять соответствующими рисками, так как это зона их прямой ответственности.
Создание архитектуры всех этих процессов и их внедрение требует точечных компетенций, которыми не должны обладать штатные специалисты, так как ситуация с импортозамещением сложилась, можно сказать, нештатная. И здесь подключается профессиональное сообщество в виде консультантов, которые способны собрать проектную команду под уникальные потребности конкретной организации, тем самым ускорить процесс и снизить операционные издержки.
Вовлечение менеджмента в ИБ
Последнее, но не менее важное регуляторное изменение – это уже упомянутый выше Указ Президента №250, который возложил на руководителей организаций, в том числе субъектов КИИ, персональную ответственность за обеспечение информационной безопасности. Помимо этого, в Указе говорится о требовании по созданию службы ИБ и передачи полномочий по обеспечению ИБ на заместителя руководителя организации. Для субъектов КИИ это зачастую означает перестройку всех процессов по информационной безопасности, а для менее зрелых – постановку функции ИБ с нуля.
Персональная ответственность требует от руководителя понимания процессов ИБ и их влияния на бизнес. И если раньше руководители службы ИБ пытались с имеющимися у них инструментами и своим более техническим представлении о бизнесе донести до менеджмента важность вопросов ИБ, то сейчас инициатива должна также исходить и от руководства. Естественно, руководитель организации не должен обладать глубокими знаниями по защите информации, поэтому функция обеспечения процессов ИБ ложится на заместителя руководителя организации.
Для заместителя по ИБ Постановлением Правительства было утверждено типовое положение, которое описывает квалификационные требования, требования к опыту работы, а также должностные обязанности. По сути, это топ-менеджер с соответствующей управленческой квалификацией, который также хорошо понимает вопросы цифровизации и автоматизации для предприятий своей отрасли и, разумеется, обладает высокой экспертизой по информационной безопасности и управлению рисками информационных угроз. Тем же Постановлением утверждено и типовое положение о структурном подразделении, которое должно обеспечивать информационную безопасность.
И здесь мы в очередной раз сталкиваемся с вопросами кадрового голода и нехватки квалифицированных экспертов. Одно из решений — это шеринг компетенций в границах, предусмотренных регуляторными требованиями. В этих обстоятельствах мы говорим уже не просто о внешнем консалтинге, а об аутсорсинге части ИБ-функций, в том числе управленческих. Сегодня мы, как консультанты, выходим из границ отношений заказчик-исполнитель, трансформируя их в партнерские, которые подчинены общей цели по обеспечению безопасности КИИ.