Новое положение будет регулировать деятельность ИБ-подразделений в организациях
Мы уже рассказывали про Указ Президента №250 от 1 мая 2022 года «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», который обязывает ключевые компании создавать ИБ-подразделения, функционирующие под управлением заместителя руководителя. 15 июля 2022 года Михаил Мишустин подписал постановление, определяющее типовые положения, утверждающие права, обязанности и ответственность подразделения и его руководителя. Мы изучили типовые положения и делаем разбор для вас.
Типовое положение о заместителе руководителя
Определяет общие положения, квалификационные требования, обязанности, права и ответственность руководителя ИБ-подразделения. С официальным документом вы можете ознакомиться в источнике, а мы остановимся на ключевых моментах.
Во-первых, руководитель ИБ-подразделения назначается главой организации и опирается в своей деятельности на регламенты и инструкции. При этом его указания и поручения обязательны к выполнению для всех сотрудников.
Остановимся на квалификационных требованиях:
Наличие высшего образования уровня специалитет или магистратура по направлению подготовки «Информационная безопасность» или любого высшего образование и диплома о прохождение курсов повышения квалификации по направлению «Информационная безопасность».
Наличие знаний и умений, соответствующих квалификации, а также знаний документов и нормативных актов.
Лицо, руководящее ИБ-отделом (гендиректор или руководитель направления), обязано взаимодействовать с НКЦКИ и предоставлять специалистам центра доступ к информационным системам. Таким образом правительство не только повышает уровень информационной безопасности, но и расширяет свои полномочия, хотя в Указе Президента таких требований не было.
С требованием поддерживать квалификацию и совершенствовать навыки совсем ничего непонятно. Можно было определить периодичность прохождения каких-то курсов, но ограничились короткой формулировкой, которую вряд ли кто-то примет к сведению.
Правам руководителя ИБ-подразделения выделили целых 13 пунктов, но многие из них звучат как хотелки. Например, правительство разрешило руководителю ИБ-подразделения управлять им, раздавать указания всем сотрудникам, инициировать проверки и получать любую информацию и материалы. Но как эти требования будут исполняться в самой организации, не уточняется.
Кроме того, в положении есть и пункт ответственности для заместителя руководителя. Как мы уже говорили про Указ, правительство решило повесить ответственность на топ-менеджмент.
Типовое положение об ИБ-подразделении
Хочется сразу отметить, что про численность ИБ-подразделения ничего не сказано. Это логично, так как типизировать ИБ-службу компаний-гигантов и небольших организаций невозможно. Подчиняться ИБ-подразделение будет руководителю отдела или другим лицам из состава руководства, но только в случае курирования. Вопрос курирования достаточно сложный, так как если ИБ-подразделение будет входить в ИТ, а курировать его будет гендиректор, то ответственный за информационную безопасность не получит никаких рычагов влияния.
Типовое положение обязывает ИБ-подразделение обеспечивать киберустойчивость и проводить мероприятия, направленные на повышение информационной безопасности, что не может не радовать. Плюс ко всему, подразделение будет занято мониторингом уязвимостей, обнаружением,и предупреждением атак, а также ликвидацией их последствий. Пункт, требующий взаимодействовать с НКЦКИ, вызывает вопросы, как и ситуация со статусом руководителя ИБ-отдела.
И Указ Президента, и типовые положения являются большим шагом в обеспечении ИБ ключевых организаций. Несмотря на то, что типовое положение вызывает вопросы, стало понятно в каком направление двигаться, а это уже прогресс. Теперь хочется посмотреть, как положение будет применяться в организациях и насколько сократится количество успешных атак.