Среди мер, которые перечислены в Указе №250 президента России, предусмотрено создание выделенных подразделений, обеспечивающих информационную безопасность, а также назначение заместителя генерального директора, отвечающего за направление информационной безопасности. Уже разработаны проекты типовых Положений, которые регламентируют работу данного подразделения и требования к заместителю руководителя предприятия, учреждения или организации, который призван отвечать за состояние информационной безопасности.
«Если верить проекту постановления правительства по типовому положению о замдиректора по ИБ (в соответствии с 250-м Указом), то этот зам должен иметь высшее образование по ИБ на уровне специалитета или магистратуры или, если профильного высшего образования у него нет, то у него должно быть просто высшее и профпереподготовка, которая по закону не может быть короче 250 часов, а по ИБ она обычно составляет не менее 500 часов», — пишет в своем телеграмм-канале ведущий блога «Бизнес без опасности» Алексей Лукацкий. По его оценке, найти специалистов только на должность заместителя руководителя в полмиллиона организаций, а именно столько подпадает по требование Указа №250, будет очень непростой задачей.
По оценке ведущего консультанта по информационной безопасности AKTIV.CONSULTING (Актив) Анастасии Николаевой, ситуация даже более драматическая: «Вопрос выполнения требований Указа 250 для бизнеса сегодня довольно сложный. Под его действие подпадает всего около 500 тыс. организаций, а значит потребность можно оценить в более чем 1 млн. специалистов. Как показывает практика, руководство не готово выделять серьезные суммы в бюджете на создание и развитие подразделений по информационной безопасности, экономя на специалистах. В первую очередь эта проблема серьезно обозначена в небольших организациях. Но и в крупных компаниях для выделения бюджета на повышение квалификации сотрудников ИБ департаментов необходима максимально убедительная аргументация, доказывающая практическую пользу этих затрат».
«По данным нашего исследования у 60% компаний России нет выделенного подразделения кибербезопасности. Простой математикой можно оценить, какой дефицит существует на рынке ИБ-кадров, — уточняет руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев. — Необходимость решения задач ИБ и определения человеческих ресурсов под эти задачи существует уже давно, так что хоть какие-то ресурсы в компаниях, особенно близких к КИИ, под эти задачи выделяли. Сейчас важен другой момент – помимо количественного состава нужно определить качественный. Позитивно то, что закреплены требования к образованию, менее позитивно то, что нигде в требованиях постановления не указано обязательные знания и умение применять отечественные продукты ИБ».
Генеральный директор ГК Innostage Айдар Гузаиров обращает внимание на то, что Указ №250 сформировал запрос на весьма квалифицированные ИБ-кадры, и специалистов такого уровня в стране не так много, и за них развернется острая конкуренция. Но главное, по его мнению, в том, что разворот фокуса внимания к национальной ИБ-составляющей не стал неожиданностью: «Это вполне логичный сценарий перехода от формальной безопасности (когда можно ограничиться выполнением рекомендаций нормативных документов) к безопасности практической — направленной на защиту ИТ-периметров компаний во всех ее проявлениях. В новых условиях в более выигрышной ситуации окажутся предприятия, организации и государственные органы с высокой степенью цифровой зрелости. Благодаря отлаженным процессам и применению актуальных технологий практического кибербеза они будут выглядеть более предпочтительными в глазах таких ценных профессионалов, как замы по ИБ».
Однако по оценке старшего консультанта Центра компетенций по информационной безопасности «Т1 Интеграция» Романа Романова, ситуация все же не столь драматична: «Для реализации требований Указа №250 не потребуется привлечения большого количества ИБ-специалистов, поскольку Указом допускается возложение соответствующих функций и полномочий на существующие структурные подразделения. Кроме того, Указом разрешается привлекать лицензиатов, что также позволит компенсировать недостаток ИБ-специалистов на местах. Подавляющее большинство предприятий, вошедших в Перечень ключевых организаций, которым необходимо провести оценку уровня защищенности своих информационных систем с помощью лицензированных организаций, давно имеют в своих структурах ИБ-специалистов с необходимыми компетенциями. Речь скорее идет о стандартизации подходов, задач и процессов ИБ, выстраивании вертикали».
По мнению заместителя технического директора по пресейлу Cross Technologies Алексея Курских, специалистов ИБ, согласно Указу №250, необходимо принимать на работу уже с профильным образованием или обучить отдельно, что не должно вызвать больших сложностей: «Да, на рынке есть дефицит кадров, но также на рынке и переизбыток уязвимых систем, об этом тоже необходимо помнить. Поэтому требование о необходимом уровне образования для специалистов, отвечающих за информационную безопасность компании, вполне обосновано. Просто непонятно, как может быть по-другому. Есть множество путей решения этих проблем, которые может предложить рынок, например, системные интеграторы, а именно аудит информационных систем на наличие проблем с ИБ, программы стажировки для молодых специалистов, договоры на обслуживание и консалтинг по вопросам информационной безопасности. Это все поможет построить правильную инфраструктуру управление информационной безопасностью по пути максимального снижения рисковой модели уже в самом начале».
Среди отраслей, где ситуация может стать наиболее сложной, Алексей Парфентьев называет здравоохранение: «Наиболее проблемной будет ситуация в здравоохранении. Она относится к КИИ, но оснащенность и кадровая обеспеченность здесь низкая по сравнению с другими КИИ-отраслями (например, финансовой). Проблема, конечно, в недостатке финансирования. Но есть и более принципиальная причина – непрофильность самого вопроса информационной безопасности. Все-таки задача медицины – охранять здоровье людей, поэтому охрана ИТ инфраструктуры очень многими медучреждениями отодвигалась на задний фон как наименее актуальная. В лучшем случае в медицине задачи ИБ включены в ИТ и занимаются ими администраторы. Это уже приводит к функциональным перекосам, т.к. задача ИТ – обеспечить работоспособность (бизнес процессов), а задачи ИБ – безопасность (что неминуемо приводит к замедлению бизнес процессов). Проблем в этой отрасли уже предостаточно, и ужесточение от регулятора лишь в долгосрочной перспективе улучшит ситуацию».
Но и в относительно благополучном финансовом секторе есть заметные перекосы. «В финансовой отрасли, с представителями которой мы взаимодействуем в разрезе информационной безопасности наиболее активно, существует сегодня ситуация, когда в небольших организациях работает один специалист-универсал, компетентный в широком круге ИБ направлений. Такого сотрудника найти достаточно сложно. В крупных же финансовых организациях, где департамент ИБ включает несколько узких направлений, обычно требуются специалисты именно под эти направления, и поиск таких сотрудников проще, чем поиск специалистов широкого профиля. Кроме того, они имеют возможность выращивать собственные ИБ кадры, зачастую могут договариваться с ВУЗами о стажировке перспективных студентов с последующим наймом на постоянную работу. При этом ситуация дефицитом ИБ кадров в финансовой отрасли не самая сложная благодаря тому, что вопросами ИБ в банках занимаются последние 20 лет, а также строгой регуляторике. На многих промышленных предприятиях, в компаниях добывающей отрасли проблема ИБ кадров намного серьезнее», — делится своими наблюдениями Анастасия Николаева.
По мнению Романа Романова, в первую очередь для выполнения требований нужны организационные меры: правовые и организационные штатные мероприятия. По оценке Алексея Парфентьева, необходимо найти баланс между требованиями бизнеса и регуляторов: «Требования бизнеса ставят перед информационной безопасностью свои задачи (обеспечение работоспособности ресурсов, регламенты доступов, недопущение утечки данных, выявление и противодействие внешним атакам и другие). Требования регуляторов по сути никак не изменились после публикации 250 указа и зависят от многих условий (выполнение 152 ФЗ, 187 ФЗ, 17 или 21 приказов ФСТЭК и проч.) Указ лишь говорит, что решать их должны специально выделенные под эту задачу подразделения, сама же задача никак не поменялась».
«Практическими шагами на пути решения проблемы ИБ специалистов могут стать введение обязательных требований к профессионалам в этой сфере вкупе с расширением образовательных программ в сфере ИБ, а также пересмотр руководителями организаций бюджетной политики в отношении направления ИБ, — считает Анастасия Николаева. — Стоит отметить, что новые требования целесообразно вводить постепенно, дабы не увеличить и без того серьезную кадровую нагрузку на организации, усиливающие функцию ИБ».
Айдар Гузаиров уверен, что текущая ситуация будет способствовать расширению использования аутсорсинга и перехода к сервисной модели: «Мы заранее принимаем тот факт, что далеко не все компании смогут самостоятельно выполнить требования — и это касается не только вопросов обеспечения кадрами, но и, в целом, перехода на отечественное ПО. Поэтому в указе есть дополнительный пункт о привлечении специализированных организаций для построения защиты».