Импортозамещение в ИБ: как указ президента №250 меняет крупнейшие российские компании

1 мая 2022 года был опубликован указ «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Крупнейшим государственным и коммерческим организациям предстоят обширные мероприятия, которые призваны укрепить защиту от санкций и кибератак. Ведущий ИБ-эксперт компании «КРОК» Евгений Дружинин рассказал Cyber Media, как указ меняет подход к безопасности российской экономики.

Указ можно условно разбить на три больших блока:

1. Общие вопросы: возложение ответственности, создание структурных подразделений, наведение порядка в организации безопасности.

2. Подготовительная работа, чтобы понять текущий уровень защищённости и спланировать мероприятия, направленные на модернизацию.

3. Всё, что связано с импортозамещением и переходом на средства защиты, которые не подконтрольны недружественным государствам.
   

Первый блок, пожалуй, реализовать несложно. Это организационные вопросы, которые решаются относительно быстро, и для многих компаний здесь особых революций не будет.

Хотя, если в организации не совсем правильно выстроена структура, есть пересечения полномочий ИТ- и ИБ-подразделений и прочие противоречия – переподчинение может оказаться непростой задачей. Согласно указу, полномочия по информационной безопасности должны находиться в ведении соответствующего подразделения.

Это позволит решать конфликты между ИТ- и ИБ-подразделениями, в которых первые думают прежде всего о функциональных возможностях решений, а вторые – о потенциальных рисках и мерах противодействия. Если ИТ-специалисты будут принимать такие решения, проблемы безопасности могут остаться без внимания. Поэтому логично все вопросы информационной безопасности поручить ИБ-подразделению и подчинить его заместителю генерального директора.

Евгений Дружинин, КРОК: Указ №250 – это повод крупным организациям сейчас пересмотреть распределение обязанностей по информационной безопасности, чтобы выстроить более строгую организационную структуру.

Второй блок – про анализ и выявление проблем. Это поможет организациям понять своё нынешнее состояние и наметить план действий, которые позволят выполнить и модернизацию, и импортозамещение.

Эти задачи можно выполнить с помощью аутсорсинга – указ прямым образом призывает компании обращаться к подрядчикам, которые имеют необходимые лицензии от регулирующих органов. Разумеется, это может быть и внутренний ИТ-интегратор, который есть в составе многих госкорпораций и крупных организаций.

В указе обозначен срок до 1 июля, но жизнь эту дату скорректировала – даже сами списки организаций были сформированы буквально в последнюю июньскую неделю. Устанавливает эти перечни распоряжение Правительства РФ №1661-Р от 22 июня, в нём указано более 70 министерств, госкорпораций, системообразующих банков, нефтяных, аграрных, телекоммуникационных компаний. У нас нет точной информации о том, кто успел провести оценку защищённости, но, очевидно, значительная часть организаций сделать это в указанный срок не успела.

Повысит ли указ реальную безопасность или это защита на бумаге? Зависит от того, что понимать под реальной безопасностью. Если мы включаем сюда санкционные риски, уход вендоров с российского рынка, отказ от обязательств по технической поддержке, импортозамещение от этих угроз позволит уйти. Если же не удастся быстро найти замену каким-либо средствам защиты, может возникнуть некий пробел безопасности.

В любом случае, выполнение требований повышает реальную безопасность. Создание ИБ-подразделения с собственным топ-менеджером, перераспределение функций обеспечивает эффективную управляемость. А переход на импортонезависимые решения защищает компанию от недекларированных возможностей СЗИ – проще говоря, от «закладок» в коде.

Евгений Дружинин, КРОК: Выявление существующих проблем и принятие мер по их устранению – это важная работа, которую нужно проводить регулярно и без дополнительных указаний.

Указ вводит личную ответственность руководства за инциденты информационной безопасности, и звучат мнения, что многие топ-менеджеры не захотят под этим подписываться. Но с другой стороны, стоит учитывать, что вопросы защищённости всегда связаны с определенной ответственностью, в области защиты КИИ предусматриваются и уголовные наказания. Вряд ли профессионалы, которые идут управлять ИБ в системообразующую компанию, этого не понимают.

Очевидно, большое значение будет иметь, какие последствия произошли из-за тех или иных действий. Сажать ИБ-директора за уязвимую прошивку корпоративного роутера не будут – ответственность возникает, когда в результате инцидента возникает некий финансовый, экологический, социальный, прочий ущерб. Виновным в том, что у роутера не обновили прошивку, будет конкретный исполнитель, но ответственность за крупные инциденты коснётся его руководителя и дальше по цепочке.

Понятно, что добиться импортозамещения будет непросто. Российским разработчикам средств защиты надо мобилизоваться, чтобы заместить весь объём выпавших решений. Существующие системы нужно дорабатывать, новые – выводить на рынок.

Указ отводит на реализацию всех задач два года. Сейчас самое важное – это правильно запланировать работу. Для компаний из списка Правительства два года – срок небольшой. Мы со своей стороны рекомендуем подходить к реализации следующим образом:

1. Проработать все вопросы концептуально: провести инвентаризацию, анализ защищённости, понять существующие проблемы, составить список импортных СЗИ, которые нужно заместить.

2. В течение следующего года выполнить проектирование на уровне пилотной зоны. Это должен быть условно небольшой участок, который представляет собой некую типичную организацию со всеми основными особенностями, присущими той или иной структуре. Здесь компания сможет на практике отработать типовые решения.

3. В течение 2024 года типовые решения адаптируются и раскатываются на все организации структуры.
   

Такой план позволит не подходить к выполнению требований указа «в лоб». Будет меньше ситуаций, когда вдруг окажется, что не хватает мощностей или рук, что какой-то класс СЗИ заместить не получится из-за проблем совместимости или что для реализации необходимых мер нужно существенно модернизировать инфраструктуру. А здесь могут сказаться возможные проблемы с поставками оборудования.

Главный вывод – начинать работу нужно уже сейчас.