Анастасия Харыбина, руководитель AKTIV.CONSULTING и председатель Ассоциации АБИСС, обсудила с представителями субъектов КИИ и вендоров тенденции в вопросах безопасности КИИ, в том числе, как они уже сегодня меняют ИБ-ландшафт.

Вопросы обеспечения безопасности критической информационной инфраструктуре во многом формируют повестку как на уровне государства, так и на уровне конкретных субъектов КИИ. При этом сильно влияют на развитие компаний ИТ и ИБ отраслей, будь то вендоры, интеграторы или поставщики услуг.

Анастасия Харыбина, руководитель AKTIV.CONSULTING и председатель Ассоциации АБИСС, стала модератором круглого стола «Изменение ИБ-ландшафта на фоне усиления вопросов безопасности КИИ», участие в котором приняли разработчики средств защиты информации и прикладного ПО для отраслей КИИ, а также представители самих субъектов КИИ в лице госкорпораций.

На круглом столе обсуждались три важных вопроса:

1. Изменение категорирования в КИИ.
2. Импортозамещение СЗИ и прикладного ПО в ЗО КИИ.
3. Указ Президента № 250.

Изменение категорирования в КИИ

Участники круглого стола, обсуждая тему категорирования, отметили, что на данный момент для большинства субъектов КИИ после изменения критериев значимости ничего не изменилось , но это не значит, что не поменяется в будущем. Анастасия Харыбина отметила, что многие ждут появления типовых отраслевых перечней информационных систем, которые подлежат обязательному категорированию. Участники рынка предполагают, что будет усиление контроля за категорированием со стороны ФСТЭК с привлечением отраслевых регуляторов.

Импортозамещение СЗИ и прикладного ПО в ЗО КИИ

Эксперты сошлись во мнении, что, служба ИБ должна быть вовлечена в процессы импортозамещения прикладного программного обеспечения. Не возглавлять эти процессы, но принимать активное участие.

Представители госкорпораций поделились тем, как выстроены процессы у них. Например, у некоторых появилась новая должность — директор по импортозамещению, который работает в паре с также новой функциональной единицей — заместителем руководителя организации по информационной безопасности.

Разработчики прикладного ПО, в свою очередь, рассказали, что достаточно сильно изменились требования со стороны функциональных заказчиков к прикладному ПО, которое, по сути, обеспечивает автоматизацию основных процессов субъекта КИИ. Теперь субъекты КИИ просят предоставлять не только отчеты по результатам анализа уязвимости конкретного ПО, но и свидетельства внедренных процессов безопасной разработки на стороне вендоров.

Указ Президента № 250

Участники круглого стола обратили внимание, что большинство руководителей организаций пока не осознали необходимость персональной ответственности за обеспечение ИБ. Они не до конца понимают свою новую функцию, поэтому дистанцируются от решения соответствующих задач.

Также важной темой обсуждения стали заместители руководителей, которым вменяется функция обеспечения ИБ. К ним сегодня предъявляются достаточно серьезные квалификационные требования, в т.ч. в части опыта и образования. Они должны хорошо понимать процесс цифровизации, разбираться в специфике отрасли и конкретных операционных процессах, которые происходят в субъекте КИИ, а также быть экспертом в сфере информационной безопасности. К сожалению, таких «универсальных солдат» на рынке просто нет.

И здесь опять возникает проблема нехватки кадров. Участники круглого стола и аудитория в зале обсудили возможности объединения для совместного решения вопросов кадрового голода через различные отраслевые ассоциации. Сегодня данная проблема ощущается как никогда остро, а через несколько лет ситуация может стать совсем катастрофической. Анастасия Харыбина отметила, что каждый участник рынка должен понимать свою ответственность, а решить данный вопрос можно только общими усилиями.