По информации издания «Коммерсантъ», правительство обозначило требования к руководителям подразделений кибербезопасности в госструктурах и госкомпаниях. У них должно быть профильное высшее образование, управленческие и стратегические навыки. В число их обязанностей войдет не только руководство и управление, но и повышенная ответственность, включая доступ к государственной тайне. Эксперты отрасли считают, что на ИБ-рынке сейчас и так жесткий кадровый дефицит, а часть требований избыточна или найти под них руководителей будет сложно, если только на очень большую зарплату.
Эти требования относятся ко всем руководителям ИБ-подразделений госорганов, предприятий оборонной промышленности, энергетики, топливной и атомной промышленности, транспорта и кредитно-финансовой сферы (банки, другие кредитные организации и фонды, биржи) в рамках усиления противодействия атак на их информационные системы и закрытия внутреннего периметра для противостояния кражи данных и важных ресурсов извне, а также для реализации мер по обеспечению безопасности информационных ресурсов страны.
Согласно новым требованиям, ИБ-руководитель должен понимать «влияние информационных технологий на работу организации», способы построения информсистем, в том числе ограниченного доступа, обеспечивать безопасность сетей компании, знать «основные угрозы безопасности, предпосылки их возникновения и возможные пути их реализации», а также их последствия, включая разглашение гостайны. Нарушение последнего пункта могут квалифицироваться при расследовании как госизмена, а это — лишение свободы от 12 до 20 лет.
Эксперты отрасли считают, что в данном случае обычный наемный топ-менеджер уже не подойдет. Тут нужен высококвалифицированный специалист с техническим ИБ-бэкграундом и опытом работы, который нельзя получить в вузе или на курсах повышения квалификации.
Представители Group-IB и InfoWatch пояснили, что фактически в новых требованиях описаны ИБ-эксперты с практикой и экспертизой, наработанными годами, которых в стране сейчас не так и много, а обучение текущих руководителей займет много времени и средств финансирования, которые должны были быть заложены еще в прошлом году. Так как это сделано не было, то гоструктурам придется изыскивать ресурсы на подготовку руководства в срочном порядке из других статей расходов. Но даже в этом случае процесс обучения может затянуться или прерваться, если сотрудник уволится, а компании придется искать новые кадры ему на замену.
1 мая 2022 года президент России подписал указ о дополнительных мерах по обеспечению информационной безопасности госструктур, согласно которому с 1 января 2025 года госорганам и госкомпаниям запрещено использовать средства защиты информации большинства зарубежных вендоров (Cisco, Juniper, Fortinet и многих других: произведенных в недружественных странах или под их юрисдикцией). Также в каждом госведомстве и госучреждении с этой даты должны работать подразделения IT-безопасности. Эти меры в указе направлены на повышение «устойчивости и безопасности функционирования информационных ресурсов РФ».
После этого количество запросов на обучение специалистов по кибербезопасности в мае выросло на 30% год к году. В первую очередь за услугой обращаются крупные и быстрорастущие компании.
