Власти разработали требования к ИБ-руководителям корпораций: Обязательно профильное высшее образование и ответственность за разглашение гостайны
Правительство России установило требования к топ-менеджерам госкорпораций и стратегических предприятий, которые отвечают за информационную безопасность. Управленцы должны иметь высшее профильное образование и нести все риски разглашения гостайны в случае утечек информации. Представители отрасли соглашаются, что стандартизировать уровень подготовки специалистов и руководителей по информационной безопасности следовало давно, однако преодолеть кадровый голод будет трудно.
Жесткие требования
Правительство России сформулировало требования к топ-менеджерам госорганов и корпораций, которые несут ответственность за информационнуюбезопасность. Об этом пишет «Коммерсант» со ссылкой на проект постановления правительства о типовом положении о заместителе руководителя организации. Критерии разработаны в соответствии с указом Президента России от 1 мая 2022 г., который возложил все бремя ответственности за утечки информации на заместителей руководителей предприятий.
Так, согласно проекту, заместитель должен иметь диплом о высшем профильном образовании «не ниже специалитета или магистратуры» или пройти профессиональную переподготовку. Он обязан обладать управленческими и стратегическими навыками. В документе сообщается, что специалист должен понимать «влияние информационных технологий на работу организации», способы построения информационных систем, в том числе ограниченного доступа. Сотрудник обязан гарантировать безопасность сетей компании, знать «основные угрозы безопасности, предпосылки их возникновения и возможные пути их реализации», а также их последствия. Ответственность профильный топ-менеджер будет нести за действие или бездействие, которое привело к инциденту, и за разглашение гостайны.
Такие требования будут предъявляться к профильным топ-менеджерам в федеральных органах власти, субъектах России, госфондах, государственных корпорациях, стратегических предприятиях, системообразующих организациях. Коснется это также субъектов критической информационной инфраструктуры, куда входят банковские организации, операторы связи и предприятия ЖКХ.
Каким будет эффект
Унифицировать истандартизировать уровень подготовки специалистов и руководителей по информационной безопасности следовало давно, однако новые требования вряд ли способны кардинально изменить ситуацию с массовыми утечками информации. Такое мнение CNews высказал руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.
«Действительно, до сих пор специалисты были разношерстными: от старых системотехников до программистов, мало понимающих в организации безопасности, то есть стандартизацией подготовки заниматься нужно, — отметил эксперт. — Вполне логично, что зашла речь и про ответственность за утечку государственной тайны. Но государство, как всегда в своем стиле, предложило возложить ответственность за ИБ-инциденты на конкретных специалистов. Не директоров же уважаемых компаний сажать».
По мнению Бедерова, новые требования к профильным менеджерам вряд ли помогут решить проблему из-за недостаточного числа высококвалифицированных специалистов в стране.
«Выпускников мало, а образование не всегда качественное, — подчеркнул Бедеров. — Требования государства, безусловно, породят гонку за специалистами с соответствующими компетенциями. Их зарплата вырастет соразмерно ответственности. Но что будет с малым бизнесом, который также нужно защищать? Изменится ли культура информационной безопасности и отношения к конфиденциальным данным? Сомневаюсь».
Тотальная реформа в кибербезопасности
В начале мая 2022 г. Президент России Владимир Путин подписал указ о дополнительных мерах информационной безопасности в стране. Согласно документу, в каждом ведомстве, учреждении и системообразующих организациях должны появиться подразделения по ИТ-безопасности. Представителям госорганов предписывается до 1 июля 2022 г. направить отчет об уровне своей защиты в Правительство России.
Указ был принят на фоне ряда громких утечек информации весной 2022 г. Так, в конце марта 2022 г. взлом пережила Росавиация, утратившая 65 ТБ информации. В середине апреля 2022 г. в сеть утеклиэлектронные письма российского министерства и администрации Тверской области. О росте числа кибертак на российские госструктуры и банки неоднократно сообщалив МИД России.