Комментарии 12
Ну что ж, процитируем 235 приказ ФСТЭК:
8. Руководитель субъекта критической информационной инфраструктуры или заместитель руководителя субъекта критической информационной инфраструктуры, на которого возложены полномочия по обеспечению информационной безопасности в соответствии с Указом Президента Российской Федерации от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" (далее – ответственное лицо), создает систему безопасности, организует и контролирует ее функционирование.
13. Не допускается возложение на структурное подразделение по безопасности, специалистов по безопасности функций, не связанных с обеспечением безопасности значимых объектов критической информационной инфраструктуры или обеспечением информационной безопасности субъекта критической информационной инфраструктуры в целом.
Так же из указа 250:
б) создать в органе (организации) структурное подразделение, осуществляющее функции по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить данные функции на существующее структурное подразделение;
а) утвердить:
типовое положение о заместителе руководителя органа (организации), ответственного за обеспечение информационной безопасности органа (организации);
типовое положение о структурном подразделении органа (организации), обеспечивающем информационную безопасность органа (организации);
Вот кажется же русским по белому написано, что по меньшей мере для субъектов КИИ не "нужна ли команда" - а ДОЛЖНА быть выделенная команда и руководитель уровня заместителя руководителя организации. Правда, да, руководителю не запрещено совмещать в явном виде. Зато есть типовое положение о руководителе, в котором явно написано что он занимается именно ИБ а не ИТ.
Ну и как вот после этого можно писать такую глупость, да еще и ссылаясь на тот же 250 указ?? И ведь лицензиат ФСТЭК и ФСБ... Надеетесь что ЦЛСЗ хабр не читает? ;)
Скорее всего писалось на новогодних каникулах и не прошло модерацию внутри компании:)
Есть много к чему придраться не только с точки зрения соблюдения требований Регуляторов, но и практической безопасности. По честному пару лет назад у них были такие же статьи с ляпами в части аттестации облачных ресурсов для целей защиты персональных данных.
Подтверждаю. ИТ руководитель и ИБ руководитель - это разные должности и разные люди. Совмещать не допускается. При должной проверке это будет зафиксировано как нарушение. Перевести можно. И из рук.ИТ получается толковый ИБ-шник, но чаще всего так не делают т.к. его ещё подучить нужно на новую специфику, а это зачем? Если все равно нанимать ещё одного и учить придется сразу двух. Уж лучше одного сразу нужного взять.
Здравствуйте! Разберемся детально:
П.1 б) Указа №250, который вы процитировали, в явном виде разрешает возложение функций ИБ на существующее подразделение: «... либо возложить данные функции на существующее структурное подразделение». При этом в области действия самого Указа №250 явно включены субъекты КИИ: «...юридических лиц, являющихся субъектами критической информационной инфраструктуры Российской Федерации (далее - органы (организации)».
Приказ ФСТЭК 235, приведенный вами, относится только к значимым объектам КИИ (ЗОКИИ). Для них действительно требования по совмещению IT- и ИБ-функций уточнены. Однако есть несколько нюансов.
а) Приказ позволяет возложить функции безопасности на существующее подразделение или на отдельного сотрудника. При этом никаких запретов на то, чтобы назначенный сотрудник(и), выполняющий ИБ-функции, находился в IT-подразделении, нет: п.10 — «Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - специалисты по безопасности)».
б) Приказ прямо разрешает передать работы п.10, на аутсорс, при этом соотношение такой передачи и работ собственными силами не регламентируется (кроме передачи самой ответственности, конечно): п.11 — «Для выполнения функций, предусмотренных пунктом 10 настоящих Требований, субъектами критической информационной инфраструктуры могут привлекаться организации…»
Более конкретизированные в нижестоящих нормативных актах частные требования для ЗОКИИ никак не противоречат написанному. Однако целью статьи не было описать полный перечень нюансов для всех возможных случаев, о чем в ней есть соответствующая оговорка.
"При этом никаких запретов на то, чтобы назначенный сотрудник(и), выполняющий ИБ-функции, находился в IT-подразделении, нет" - ложь.
Такой запрет установлен 13-м пунктом приказа. 12 пунктом прописаны требования к их образованию ( высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности ). А 14 пунктом установлено, что кроме выделенного подразделения ИБ, ИТ -шникам тоже можно прописывать отдельные функции обеспечения безопасности.
Иными словами, исходя из 235 приказа в субъекте должно быть минимум два человека, занятых ИБ: руководитель уровня зам. директора с профильным образованием или повышением квалификации, с должностной инструкцией, в которой есть все про ИБ. И начальник отдела ИБ. При этом второй должен быть занят только ИБ и совмещать с эксплуатацией не может. Остальное можно оусторсить по 11-му пункту, да.
Читать приказы через строчку - плохая практика. Хотя бы в виду наличия третей части в статье 234.1 ук рф.
В прочем, обсуждаемая нами публикация может быть весьма полезна лицам, принимающим решение об отказе от создания своего подразделения ИБ в субъекте КИИ. Её стоит скопировать в ворд, убрать заголовок и вначале дописать свое ФИО, место жительства и фразу "по существу заданных мне вопросов могу пояснить следующее: "
Тогда, в случае возникновения инцидента ИБ, причинившего вред инфраструктуре КИИ, можно будет существенно облегчить работу следователю, распечатав заготовленный документ и расписавшись внизу каждого листа. Сотрудничество со следствием позволит надеяться на назначение наказания за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации по минимальной планке....
Лучшая стратегия для ИБ руководителя - запретить всем доступ к интернету и к базам данных, и пользователей не подпускать к компьютерам ;)
И многие ИБ зачастую придерживаются именно этой стратегии.
Забавно что в статье категории компаний для которых "вопросы безопасности и выполнения требований" стоят наиболее остро определяются "исходя из предпосылок развития рынка ИБ", а не наоборот.... Плюс, если вдруг есть какая-то компания, которая относится к любой из перечисленных категорий и в которой буквально на днях "IT-руководитель стал ИБ-руководителем" - это, я Вам скажу, заявка на победу...
Лицензия ФСБ нужна если компания оказывает услуги, связанные с СКЗИ, и зарабатывает на этом, а не для работы с ними.
В реальности: вы нихрена не понимаете из того, что описано в статье и вообще в ИТ, но стали ИБ-руководителем потому что выходец из силовых структур или имеете связи в них.
IT-руководитель стал ИБ-руководителем. Как так вышло и что делать?