От дискретной модели контроля к непрерывной

25 мая 2022 02:40 #109996 от ICT
24 мая компания BI.ZONE провела вебинар "Q&A-сессия: указ № 250 о дополнительных мерах кибербезопасности". Директор по росту BI.ZONE Рустэм Хайретдинов и бизнес-консультант по безопасности Алексей Лукацкий в ходе данного мероприятия обсудили суть данного документа и его роль в трансформации всего сегмента кибербезопасности России, которая только началась. По оценке Алексея Лукацкого, под требования указа №250 подпадает около 95% российской экономики, включая все госструктуры, стратегические и системообразующие предприятия, а также все субъекты критической информационной инфраструктуры (КИИ). Это в общей сложности около 100 тысяч предприятий, учреждений и организаций. В целом участники дискуссии советовали дождаться постановлений Правительства, где более четко должны быть перечислены требования к тем, кого касаются меры, прописанные в указе. Тем более, что единого реестра таких компаний нет, по крайней мере, в открытом доступе. Если подходить формально, под требования указа №250 могут подпадать даже структуры, которые указали среди своих видов деятельности то, что подпадает под КИИ (например, транспортные услуги), но, по сути, таковыми не являющиеся, например, курьерские службы, часто не имеющие ни одного компьютера. С другой стороны, как подчеркнул Алексей Лукацкий, многие госструктуры пытались лавировать и всячески уклоняться от выполнения требований по поддержанию информационной и кибербезопасности. Теперь такие возможности если не исчезли совсем, то серьезно сократились. При этом российские власти не будут останавливаться и планируется принятие новых мер по обеспечению информационной и кибербезопасности. Также появились и рычаги давление на тех, кто уклоняется, причем наиболее действенные – на госсектор. По мнению Алексея Лукацкого, меры дисциплинарного воздействия на чиновников куда более действенные, чем любые штрафы. С коммерческим сектором все несколько сложнее, поскольку действует мораторий на проведение проверок. Тут, по мнению Алексея Лукацкого, активность регуляторов начнет развиваться с 2023 года. Также, по оценке Алексея Лукацкого, будет меняться роль регуляторов. Значимость Минцифры и ФСБ будет расти, а ФСТЭК – снижаться. По мнению Алексея Лукацкого, именно Минцифры будет проводить анализ защищенности ИТ-инфраструктуры тех, кто подпадает под указ №250. Пока о полноценном аудите речи нет, но результаты такого контроля уже могут стать сюрпризом, возможно, не слишком приятным. Также будет расти роль системы ГосСОПКА, хотя на это, как отметил Алексей Лукацкий, указывают лишь косвенные признаки. Тем не менее, эти меры являются первыми шагами по переходу от дискретной модели контроля ИБ, контрольными точками которого были аттестации, к непрерывной, где ставка делается на постоянно действующие системы мониторинга и реагирования. Это является общемировой тенденцией. Одной из первых мер, которые предписывает указ №250, является назначение ответственных за информационную безопасность в ранге заместителя генерального директора. По мнению Рустэма Хайретдинова, эта мера в условиях, когда многие ИТ-проекты сворачиваются, ставит ИБ выше ИТ. По оценке Алексея Лукацкого, такой вариант не исключен. Тут возможно три сценария: поднятие роли руководителя ИБ-подразделения, передача внешнему подрядчику или делегирование данной функции представителю какой-то другой службы, например ИТ или общей безопасности. По мнению Алексея Лукацкого, первый вариант выберет финансовый сектор, где независимые ИБ службы существуют уже давно. Представители ИТ-службы, которые и так отвечают за эксплуатацию информационных систем и поддержание базовых функций ИБ также могут взять на себя эти функции. Самым плохим вариантом является передача ИБ службам общей безопасности, поскольку данная сфера им традиционно не близка. Появление "виртуальных CISO", когда обеспечение ИБ берет на себя внешний подрядчик, также является одним из возможных вариантов в условиях жесткого дефицита ИБ-кадров. Но при этом, по оценке Алексея Лукацкого, кардинального передела рынка ИБ-аутсорсинга не произойдет. К таким компаниям и раньше предъявлялись жесткие требования регуляторов согласно закону 149-ФЗ. К тому же защита информации является лицензируемым видом деятельности. Также в указе №250 большое внимание уделяется вопросам импортозамещения в сфере ИБ. Однако тут, по оценке Алексея Лукацкого, очень много нерешенных вопросов. С одной стороны, российские решения представлены практически во всех сегментах, за очень редкими исключениями. Но далека от решения задача создания отечественной элементной базы, хотя по планам в 2024 году запланирован полный перевод систем защиты информации на отечественные процессоры. Эти сроки абсолютно не реальны, в итоге реализация этих планов, как считает Алексей Лукацкий, неизбежно затянется. Ссылка на источник


  • Сообщений: 103417

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Acer начала российские продажи ноутбука Predator Triton 700 с дискретной графикой. Цены9.75Понедельник, 02 октября 2017
    HP представила устройства DeskJet GT с системой непрерывной подачи чернил. Фото9.12Среда, 30 ноября 2016
    Veeam представила комплекс инноваций для достижения непрерывной облачной доступности данных9.03Пятница, 19 мая 2017
    Veeam укрепила позиции на рынке решений для непрерывной доступности данных в облачной среде8.93Понедельник, 20 февраля 2017
    Veeam и Pure Storage совместно создадут платформу управления данными для непрерывной работы бизнеса8.84Вторник, 17 апреля 2018
    Xperia Z4: две модели6.28Воскресенье, 11 января 2015
    Новые модели скалывателей6.21Среда, 01 апреля 2015
    Данные в поисках модели6.21Понедельник, 21 января 2019
    Samsung выпустит три модели серии S76.14Среда, 13 января 2016
    Три модели Galaxy S7 сертифицированы в Китае6.14Понедельник, 01 февраля 2016

    Мы в соц. сетях