Безопасная персональная ответственность

Новый указ президента РФ призван усилить информационную безопасность в госорганах, компаниях с госучастием, а также в стратегических и системообразующих организациях российской экономики. Среди прочего, документ вносит ряд значимых изменений в их организационную структуру. Нормативные изменения могут пойти на пользу, но могут и стать проблемой.

Соответствующий указ президента РФ от 1 мая 2022 года №250 носит название "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации".

Среди прочего, документ "в целях повышения устойчивости и безопасности функционирования информационных ресурсов Российской Федерации" вносит ряд значимых изменений в организационную структуру вышеназванных типов организаций и предприятий.

Согласно указу, в каждом ведомстве, учреждении и системообразующих организациях создаются специальные ИБ-подразделения. Кроме того, назначаются ответственные за своевременное обнаружение, предупреждение и ликвидацию кибератак (на уровне заместителя руководителя организации). И, что самое интересное, на руководителей организаций теперь возложена персональная ответственность за состояние ИБ.

Появление такого регулирования однозначно дает понять, что государство очень сильно озабочено уровнем ИБ в значимых для экономики страны организациях - и это неудивительно, с учетом текущих обстоятельств. Скорее уж удивительно то, что документ не появился раньше, хотя и без всякого обострения международной повестки было очевидно, что чем дальше движется цифровизация всего и вся, тем важнее становится вопрос информационной безопасности как для каждой организации в частности, так и на уровне системы в масштабах страны.

Судя по всему, за дело взялись системно. Об этом среди прочего свидетельствует и то, что, согласно указу, организации, попавшие под его действие, должны провести мероприятия по оценке уровня защищенности своих информационных систем и до 1 июля 2022 года представить доклад в правительство РФ, а самому правительству предписано создать типовое положение о структурном подразделении органа (организации), обеспечивающем информационную безопасность, а также типовое положение о заместителе руководителя, ответственном за обеспечение ИБ.

Кроме того, вице-премьер правительства Дмитрий Чернышенко уже призвал активнее выполнять указ президента. "Призываю регионы и в целом все организации активнее и со всей ответственностью подойти к его выполнению. До середины мая в правительство будет представлен доклад о выполнении поручения в части назначения ответственных, создания штабов и принятия первоочередных мер по защите ИТ-инфраструктуры от кибератак", - сказал Дмитрий Чернышенко.

Такие нормативные изменения могут пойти на пользу, но могут и стать проблемой. С одной стороны, усиление "веса" специалистов по ИБ во внутренней иерархии госорганов и иных значимых для экономики организаций должно повысить защищенность их информационной инфраструктуры, ведь наличие руководителя по ИБ в ранге заместителя первого лица, а также персональная ответственность этого самого лица за информбезопасность заставит, как минимум, уделить вопросам ИБ больше внимания.

Однако возможны и проблемы, которые принесет появление указа президента. Контроль за различными сферами деятельности предприятия предполагает как минимум базовый уровень знаний в области, которую контролирует первое лицо. Введение персональной ответственности главы организации за ИБ предполагает, что этот глава обладает достаточными компетенциями, чтобы понять, насколько ИБ в его епархии хорошо реализована. Рискну предположить, что далеко не каждый руководитель ФОИВа, компании с госучастием, а также стратегической и системообразующей организации российской экономики способен оценить эффективность в столь специфичной области, как ИБ. И введение персональной ответственности автоматически компетенций в области ИБ не прибавляет. Так что наряду с введением персональной ответственности логичным бы выглядела, например, федеральная инициатива для руководителей по повышению уровня компетенций в области ИБ, хотя бы на уровне краткосрочного, но обязательного курса. Если таковая будет организована, то по крайней мере руководство сможет понимать, с кого, что и как надо спрашивать, чтобы нести персональную ответственность за ИБ в полной мере.

Еще один аспект, на который следует обратить внимание, касается извечной беды отечественной ИТ-отрасли - кадрового вопроса. Указ президента предписывает обязательное создание внутри организации ИБ-подразделения, и не какого угодно, а согласно "типовому положению", которое разработает правительство. У части организаций, подпадающих под действие указа, конечно, уже есть ИБ-подразделения, кроме того, указом предусмотрена возможность ИБ-аутсорсинга.

Но все же необходимость исполнения указа потребует привлечения дополнительных кадров в области ИБ. И похоже, что кадров потребуется немало, учитывая, что под действие указа попадает значительное количество организаций. Такая ситуация еще больше "разогреет" спрос на ИБ-специалистов, а это значит, что, во-первых, нанимать будут готовы любых специалистов, в том числе и с не самой высокой квалификацией, а во-вторых, активно будут переманивать специалистов из тех (в основном частных) компаний, которые не подпадают под действие указа. Таким образом, усиливая в области ИБ одни компании, вполне реально ослабить другие, ведь избытка специалистов на рынке ИБ не наблюдается.

До нынешнего момента даже в нацпроектах типа "Цифровой экономики" направление информационной безопасности было далеко не на первых ролях. Сейчас, судя по всему, этой сферой решили заняться всерьез. Однако очень хотелось бы, чтобы инициатива не свелась к очередной кампанейщине, когда сверху требуют в короткие сроки "дать план и показать результат", а на местах возводят "потемкинские деревни" и реализуют указания, во главу угла ставя цель избежать той самой персональной ответственности. Ответственность эта работать вне комплекса мер не будет.

Если же к этой ответственности присовокупить и прописать меры по повышению квалификации, решению кадровой проблемы, а также озаботиться вопросом финансирования и реализации переходного периода, тогда на успешную реализацию проекта рассчитывать можно.