Я уже неоднократно обращался к 250-му Указу Президента ( тут , тут и тут ), но в субботу меня пригласили на закрытое мероприятие, организованное Комитетом по информатизации и связи Санкт-Петербурга, которое я модерировал вместе с Александром Селютиным из МНТК «Микрохирургия глаза» имени Академика Федорова и которое ответило на многие из имевших место вопросов. Почетным гостем мероприятия стал Владимир Бенгин, директор департамента кибербезопасности Минцифры, который смог ответить на ряд вопросов, неоднократно заданных мной на страницах блога, а также участниками мероприятия. Некоторые из ответов я бы хотел привести здесь. Но для начала самая важная мысль, которую я вынес из ответов Владимира.
Минцифры, как основной инициатор 250-го Указа и куратор его выполнения, заинтересован в улучшении уровня ИБ организаций, попавших под действие Указа, и основное внимание сейчас должно уделяться духу Указа, а не его букве. Иными словами, если что-то сформулировано не так, то формулировки и поменять можно.
Ну а теперь к ответам на вопросы:
Какой должна быть длительность обучения заместителей руководителя организации?
Формально, согласно букве Указа, минимальная длительность обучения должна составлять 360 часов. Никаких 500+ часов — это просто нереально для высоких начальников. Даже 360 часов выделить сложно. Поэтому Минцифры надеется, что заинтересованные организации разработают новые курсы по обучению, а не будут пытаться всучивать свои 500-часовые курсы.
Действительно ли заму руководителя организации (например, вице-губернатору или замминистра) надо учиться 360 часов?
Да, это выглядит немного нелепо и задумка первоначальная была иная. Поэтому в обозримом будущем, возможно, в Указ будут внесены изменения, которые разделят требования по обучению на 2 уровня — для заместителей руководителей организаций и для руководителей подразделений ИБ. В первом случае это будет часов 40, а во втором — 360 и более.
Может ли заместитель руководителя организации по ИБ начать работу сразу и потом пойти учиться или надо сначала научиться, а потом уже вступать в должность?
Согласно духу Указа, за ИБ должен отвечать человек, как можно более высокий в иерархии, и именно в этом заключается основное требование. Поэтому да, сначала можно назначить ответственного, а потом уже учить его, а не ждать, когда он сначала научится, а потом назначать его на должность. Кстати, речь идет именно о заместителе руководителя, что часто забывают. Например, для губернатора это будет… вице-губернатор, а не руководитель комитета по информатизации; для мэра — вице-мэр, а не директор департамента ИТ; для регионального министерства — замминистра; и т.д.
Что будет по окончанию эксперимента по ПП-860?
Сейчас число желающих поучаствовать в добровольной и независимой оценке защищенности ГИС согласно ПП-860 изъявило гораздо больше организаций, чем было выделено субсидий. По итогам этого эксперимента планируется, что независимый анализ защищенности может коснуться всех ГИС страны. И проводить этот анализ будет организация, выбранная не теми, кого проверяют и кто может повлиять на результаты оценки защищенности, а выбранная на конкурсе Минцифры. Это повышает шансы на независимость оценки, а также должно повысить уровень защищенности этих ГИС. По итогам проведения эксперимента будут выработаны защитные меры, которые будут направлены на нейтрализацию недопустимых событий, упомянутых в ПП-860.
Планирует ли Минцифры сделать реестр недопустимых событий?
Согласно ПП-860 все организации должны определить так называемые недопустимые события, которые, как понятно из названия, не должны быть реализованы и которые должны быть предотвращены в первую очередь. Это некий аналог ключевых рисков организации, которых нельзя допускать ни при каких условиях. Их, а также их трансляцию на ИТ-инфраструктуру, должны выявить привлеченные Минцифры пентестеры/аудиторы вместе с руководителями оцениваемых организаций. Сейчас это делается по принципу «кто в лес, кто по дрова», но Минцифры хочет в ближайшее время запустить реестр недопустимых событий, которым смогут пользоваться все желающие.
Как соотносится модель угроз по ПП-676 с недопустимыми событиями по ПП-860?
По большему счету, недопустимые события по Минцифре являются аналогом негативных последствий по ФСТЭК. Например, «непредоставление государственной услуги в течение 2 часов и более» или «кража денежных средств со счета организации». Вопреки иногда звучащему мнению, что ФСТЭК и Минцифры конфликтуют в этом вопросе, это не так. И методика оценки угроз ФСТЭК как раз будет базироваться на выявленных недопустимых событиях, выявление которых для госорганов может скоро стать обязательным. Для коммерческих организаций угрозы ИБ будут вытекать из ключевых рисков. Вообще, вполне возможно что тема негативных событий будет включена в ПП-676 наряду с обязанностью согласования моделей угроз перед вводом в эксплуатацию государственных информационных систем.
Я советую уже сейчас присмотреться к теме недопустимых событий, так как она скоро может превратиться в мейнстрим.
Планируется ли более четкое определение термина «средство защиты информации», так как сейчас даже ОС, офисное ПО, рутер, шторка для вебкамеры попадают под это определение?
На этом вопросе Владимир Бенгин назвал меня виновником всей этой терминологической катавасии и что это именно я задаюсь вопросами, которых до меня никто никогда не задавал ???? Повернутый в шутку ответ так и не прозвучал, из чего я делаю вывод, что пока решать проблему, которую я озвучивал в мае, не планируется, так как ее вроде и нет. Средством защиты все считают именно то, что и считают (что описано в приказах ФСТЭК). Хотя некоторые участники мероприятий в кулуарах приводили примеры нестандартных позиций прокуратуры, которая также ходит с проверками и предъявляют достаточно жесткие требования к проверяемых, часто буквально трактуя то, что написали ФСТЭК, Минцифры, ФСБ и иже с ними.
Можно ли целиком возложить задачу ИБ на службу заказчика или обязательно создавать, хотя бы для галочки, подразделение?
Сам Указ отвечает на этот вопрос, указывая, что часть функций (хоть 100%) может быть возложена на внешнюю организацию, лицензиата ФСТЭК. Но как правильно указал Владимир, в организации все равно кто-то должен устанавливать сами требования по ИБ к аутсорсеру, контролировать их исполнение и т.п. То есть хотя бы один человек, ответственный за ИБ, должен быть, а раз так, то и подразделение у него должно быть (хоть для галочки). Но эту функцию можно возложить и на ИТ — Указ это допускает.
Важное наблюдение, которое я сделал во время многих мероприятий, в которых участвуют регуляторы или руководители тех, кто участвует в мероприятии (начальник и подчиненные). Почти все молчат и публично вопросов не задают; и только в кулуарах пытаются выяснить, что и как надо делать.
Второе наблюдение уже из практики общения с разными регуляторами, которые направляют по своим подведам и поднадзорным различные запросы. Очень часто, чтобы не выглядеть плохо в глазах вышестоящих (особенно если бюджеты вроде выделены, но потрачены не туда), в ответе на запрос ничего плохого не пишут (даже наоборот) и ничего не просят (а иначе спросят за то, что выделяли раньше). В итоге у регуляторов возникает ощущение, что все хорошо и ничего делать не надо, бюджеты новые не нужны, средствами защиты все оснащены на должном уровне, штат полностью укомплектован и т.п. В итоге, «верхи не знают, а низы не говорят» ????
Вот такой краткий обзор мероприятия, которое несмотря на небольшую длительность, дало ответы на многие вопросы, которыми задавались организации, попавшие под действие Указа 250. Больше информации о 250-м, 166-м, а также планируемом новом Указе Президента, подзаконных актах и практике их реализации, можно будет узнать на конференции «IT Диалог 2022«, который пройдет уже этой осенью и заглавной темой которого станет именно кибербезопасность.
Кстати, совсем скоро я буду проводить онлайн-мероприятие по 250-му Указу, где можно будет узнать то, что вас волнует по этому нормативно-правовому акту. Пока дата (но это будет сентябрь) и площадка не определены, но я обещаю, что анонс его точно выложу у себя в Telegram-канале . Следите за новостями!
