Правительство сформулировало требования к руководителям подразделений кибербезопасности в госструктурах и госкомпаниях. Детали долгожданного типового положения о заместителе руководителя организации, ответственного за обеспечение информационной безопасности, и создание профильного структурного подразделения осветил «Коммерсантъ».

Требования должны помочь компаниям быстрее ориентироваться в новой реальности и следовать указу №250. Разбираемся, кого ждут в киберспецназе.

Указ №250 получил уточнение

С 1 января 2025 года в госведомствах и госучреждениях должны заработать собственные подразделения IT-безопасности. 1 мая 2022 года необходимость их создания обозначил В.В. Путин в Указе №250 в контексте обеспечения государственной ИБ и ответственности за киберриски.

Вопрос о компетенциях руководителей и ответственных за ИБ на местах был поднят впервые и до сих пор требовал уточнений. Предполагается, что из проекта станет ясно, какие знания и навыки необходимы ответственному за ИБ, чтобы управлять подразделением.

15 июля 2022 года типовое положение об ИБ-руководителе было утверждено Правительством РФ под номером 1272, а 19 июля – опубликовано на портале правовой информации.

Кибербезопасность: что руководителям нужно знать и делать  

Требования к руководителям подразделений кибербезопасности в госструктурах и госкомпаниях включают в себя:

• профильное высшее образование, “не ниже специалитета или магистратуры”,
• управленческие навыки,
• стратегические навыки.

К базовым навыкам добавляются:

• знания об основных угрозах безопасности, способах их предупреждения и ликвидации, устранения последствий; 
• умение выстраивать информсистемы, в т.ч. ограниченного доступа;
• обеспечение безопасности сетей;
• понимание, как информационные технологии влияют на работу организации.

Уточняется, что специалист, готовый занять руководящий пост, может пройти профпереподготовку.

Какую ответственность несет руководитель кибербезопасности?

Должность предполагает повышенную ответственность, в т.ч. за действие или бездействие в случае инцидента, за нарушение обязанностей.

Отдельно стоит выделить компании и специалистов, у которых есть доступ к государственной тайне. В случае разглашения гостайны действия ИБ-руководителя будут квалифицироваться как госизмена – с лишением свободы от 12 до 20 лет.

На кого распространяются требования?

С целью усилить противодействие атакам на информационные системы извне, защитить внутренний периметр от кражи данных и иных ресурсов и обеспечить безопасность государственных инфоресурсов требования распространяются на руководителей ИБ-подразделений:

• в субъектах РФ,
• в федеральных органах власти,
• в госкорпорациях,
• в госфондах,
• в системообразующих организациях,
• на стратегических предприятиях,
• в субъектах критической информационной инфраструктуры (в банках, на биржах, для операторов связи и др.).

Требования касаются энергетиков, сотрудников атомной, топливной и оборонной промышленности, а также сферы транспорта.

Напомним, что 27 июня вышло распоряжение правительства, выделившее более 70 организаций и органов, которым требуется первоочередно оценить уровень защищенности своей информационной инфраструктуры и озадачиться вопросом ИБ.

С какими вызовами предстоит столкнуться компаниям?

С момента выхода Указа №250, а также из-за участившихся случаев кибератак интерес к теме кибербезопасности значительно вырос. Вместе с ним обозначились и важные вопросы, ответы на которые предстоит найти.

Запрос на ИБ-специалистов растет

С точки зрения наличия ИБ-специалистов, в наиболее выигрышной позиции сейчас находятся банковские организации, т.к. они проходят лицензирование ФСБ, а их ИБ-кадры имеют подтвержденную квалификацию. Остальным сферам предстоит принять новый вызов.

Эксперты выделяют два ключевых запроса: обучение в сфере ИБ и поиск готовых квалифицированных специалистов. По данным Group-IB, интерес к образовательным курсам по ИБ вырос на 30% – особенно в быстроразвивающихся крупных компаниях. В HR-сфере также отмечается увеличение запросов – на ИБ-кадры (до 70% в отдельных компаниях) и HR-специалистов для их поиска.

При этом начальник отдела внедрения АйТи Новация Александр Бородин отмечает, что на практике наблюдается интересная тенденция неосведомленности. В текущей ситуации ряд организаций, которые и ранее не уделяли вопросам ИБ достаточного внимания, все также – видимо по инерции – продолжают находиться в информационном вакууме относительно этой темы.

“В ходе общения с представителями различных отраслей экономики, попадающих под требования и являющихся субъектами критической информационной инфраструктуры, отмечается своеобразный тренд: руководители не знают об утвержденном Указе № 250 и новых требованиях относительно необходимости возложить полномочия по обеспечению информационной безопасности организации на заместителя руководителя. В том числе – по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.

Также нет осведомленности о необходимости создать структурное подразделение, осуществляющее функции по обеспечению информационной безопасности органа, либо возложить данные функции на существующее структурное подразделение.

Классифицировать или найти общий признак у таких организаций проблематично: некомпетентность и неосведомленность наблюдается на всех уровнях.” 

Кадровый дефицит среди руководителей

Оценивая типовое положение о ИБ-руководителях, эксперты сходятся во мнении, что некоторые из требований завышены. Они подкрепляют кадровый дефицит, который и так существует в сфере ИБ, т.к. на практике это ведет:

• к избыточному количеству должностных обязанностей;
• к ожиданию соответствующей высокой заработной платы; 
• к долгому поиску компетентного кандидата, готового взять на себя такую ответственность.

В крупных компаниях на должность ИБ-руководителя формально мог бы подойти наемный топ-менеджер. Однако с учетом приоритета сферы и должностной ответственности выбор лучше сделать в пользу высококвалифицированного спеца – с практикой и экспертностью, реальным техническим ИБ-опытом, который не дают высшее образование и повышение квалификации.

Небольшим компаниям эксперты предлагают обратить внимание на собственный ресурс: отправлять сотрудника повышать квалификацию. Однако и здесь есть нюансы.

Повышение квалификации: плюсы и минусы  

Фактор времени

Повышение квалификации занимает время. Необходимость назначить ИБ-руководителя действует уже сейчас. Получается, что времени переподготовить специалиста просто нет. Как действовать на практике – вопрос остается открытым.

Источник финансирования

По логике повышение квалификации, как и любое обучение, должно быть заложено в бюджет компании. Примечание: еще в прошлом году.

Очевидно, что многие госструктуры столкнуться сейчас с поиском ресурсов на обучение руководителей в срочном порядке. Откуда будут изыскивать средства – открытый вопрос. Но скорее всего из других статей расходов.

Те, кто располагает бюджетом на обучение сотрудников, безусловно чувствуют себя сейчас спокойно и в плюсе.

Стабильность кадров

Выбор человека из коллектива на должность ИБ-руководителя и вклад в его последующее обучение должны подкрепляться уверенностью, что он гарантированно останется на своей должности в ближайшие годы. Учет интересов всех сторон и честный диалог на перспективу – лучшее, что можно сделать в такой ситуации.

Качество знаний

Вопрос качества получаемых знаний в области ИБ сейчас открыт. Связано это с тем, что данная сфера долгое время входила в узкоспециальные и не претендовала на массовую передачу, облегчение и популяризацию своей базы знаний.

Кроме того, вопрос качества знаний логичен, когда вы платите за эти знания. Тратить бюджет на пустышку – наименьшее, чего хочется адекватной компании. По мнению Александра Бородина, выход есть: главное – выбирать проверенные образовательные программы, а также обращаться к авторитетным источникам в целях самообразования.

“Курсы по повышению квалификации и реальные знания для успешной работы и управления ИБ в организации, – это, как говорил одесский градоначальник начала XX века Иван Толмачёв, ‘’две большие разницы’’.

На сайте профильного регулятора есть перечень аккредитованных образовательных организаций, реализующих дополнительные профессиональные программы в области информационной безопасности. Эти курсы согласованы с Федеральной службой по техническому и экспортному контролю. С точки зрения проверяющего, прохождения таких курсов будет достаточно для формального исполнения требований по переподготовке.

Однако реальные знания получить можно только, если приложить усилия в саморазвитии и обратиться к лидерам мнений и специализированным сервисам и организациям.”

Лучшие платные курсы для ИБ-руководителя 

Исходя из практики и актуальности программ, можем посоветовать курсы:

• в Академии АйТи, г. Москва;
• в учебном центре “Информзащита”, г. Москва.

Платные курсы от крупных ВУЗов

• курс в ВШЭ;
• курс в Финансовом университете при Правительстве РФ;
• crash-курс по ИБ в Иннополисе;
• курс по управлению корпоративной информационной безопасностью в РАНХиГС.

Специализированные сервисы и другие платные курсы

• удобный Конструктор Траекторий от Университета 2035: вы самостоятельно формируете трек развития, исходя из запроса конкретного работодателя или отрасли;
• интересная подборка образовательных программ от tutortop.
• курс для специалиста по кибербезопасности от SkillFactory; 
• аналогичный курс от Skillbox;
• курс на факультете Информационной безопасности от GeekBrains
• курс для специалиста информационной безопасности от Нетологии.

Бесплатные курсы для ИБ-руководителя

Тем, у кого нет денег и нет бюджета, предлагаем изучить бесплатные материалы.

Обратиться к платформам YouTube или Stepik

Курсы разные и отражают интересный опыт.

• Безопасность веб-приложений от Академии Яндекса; 
• Основы кибербезопасности от Stepik;
• Цифровая трансформация от Stepik; 
• Эпоха цифрового развития от Stepik;
• Кибербезопасность от Stepik;
• Правовые аспекты обеспечения конфиденциальности персональных данных. 

Подписаться на блогеров и лидеров мнений

Один из наиболее актуальных вариантов ‒ обратиться к ведущим блогерам и каналам в Телеграме. Приготовьтесь: для начала предстоит изучить весь объем информации за последние несколько лет. 

Благодаря Алексею Комарову все чаты и каналы в Телеграм по информационной безопасности за 2022 год собраны на одной страничке.

Кстати, у отдельных экспертов можно попросить сформировать курс. К примеру, такой вариант взаимодействия предлагает Алексей Лукацкий.

Почему не стоит покупать диплом специалиста ИБ?

Все очень просто: потому что он решит проблему.

Очевидно, что новые меры и требования могут повлечь за собой пренебрежение здравым смыслом и рост интереса к поддельной документации, якобы подтверждающей наличие образования в сфере ИБ.

Напоминаем: покупка дипломов и прочие недобросовестные практики могут выйти боком для нечистоплотных граждан. Любой документ об образовании можно проверить через специальный сервис Федеральной службы по надзору в сфере образования и науки, что в т.ч. касается и сферы дополнительного образования. Правовой аспект в данном случае регулируется согласно ФЗ «Об образовании в Российской Федерации» и постановлению Правительства РФ от 31.05.2021 № 825 “О федеральной информационной системе ‘’Федеральный реестр сведений’’ о документах об образовании и (или) о квалификации, документах об обучении”.

Сделав выбор в пользу фальшивой документации о присвоении или повышении квалификации, вы можете серьезно подставить себя и свое начальство. Согласно ст. 327 УК РФ за использование подложного документа об образовании могут последовать: штраф в размере от 100 до 200 минимальных размеров оплаты труда; обязательные работы на срок от 180 до 240 часов или исправительные работы на срок до 2 лет; арест на срок от 3 до 6 месяцев.

Вместо заключения

Делать однозначные выводы о предлагаемых требованиях пока рано. Очевидно, что в ближайшие три года – до 2025-го – нам предстоит наблюдать за формированием нового типа специалистов в сфере ИБ.

С одной стороны, рост интереса к ИБ – важная и актуальная тема с точки зрения бизнеса, политической, экономической и образовательной ситуаций. С другой, сложно предсказать, насколько формально на местах будут подходить к реализации Указа №250, выбору руководителя ИБ-подразделения и прокачке его компетенций.

Ознакомиться с полным текстом постановления Правительства РФ от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)».