Указом по информационной безопасности
Указ № 250 напомнил руководителям, что безопасность должна быть практической, и отвечать за нее должны топ-менеджерыВремена, когда кибербезопасностью интересовались исключительно технические специалисты, в дремучем прошлом
В России уже 1,5 года действует указ президента РФ № 250 о дополнительных мерах по информационной безопасности бизнеса. Он затрагивает более 500 000 российских организаций, среди которых и компании Северо-Западного федерального округа.
Согласно этому документу ответственность за безопасность компании в киберпространстве несет именно руководство, а не просто служба ИБ или ИТ. Одно из ключевых требований указа — назначение заместителя генерального директора по кибербезопасности, ответственного за достижение и поддержание уровня защищенности организации.
На пути поиска такого специалиста, который имеет компетенции и в информационной безопасности, и в управлении бизнесом, некоторые компании уже успели столкнуться с трудностями. Например, небольшие российские банки начали массово повышать руководителей подразделений кибербезопасности до уровня заместителей председателя правления. Но такой подход позволил им выполнить требования президентского указа лишь номинально, уровень защищенности компании от внутренней перестановки кадров никак не изменился.
Между тем риски, от которых компаниям приходится защищаться, не стали менее актуальными. Согласно открытым данным, в III квартале 2023 г. социальная инженерия оставалась главной угрозой для частных лиц в 92% всех случаев и в 37% случаев – одним из основных векторов атаки на организации. В 54% случаев злоумышленники использовали фишинговые сайты, в 27% – электронные письма, а также выстраивали мошеннические схемы в социальных сетях (19%) и мессенджерах (16%).
Многие компании уже поняли, что защититься от подобных атак можно, если регулярно проводить мероприятия по повышению киберграмотности. Персонал организации должен знать о популярных хакерских методах и уметь противостоять им.
Перед сотрудниками, которые занимаются в компании информационной безопасностью, встал сразу ряд базовых задач, которые можно считать нулевым шагом в исполнении требований Указа № 250. Это и настройка почтовых серверов, через которые хакеры могут рассылать вредоносные файлы и QR-коды. Это и контроль доступа и периметра компании, необходимый в том числе и при активном использовании удаленного формата работы сотрудников. После того как базовые правила кибергигиены внедрены, можно переходить к повышению киберустойчивости организации и выстраиванию результативной кибербезопасности. Здесь важными шагами для защиты компаний становятся определение для каждой конкретной организации недопустимых событий, т. е. таких, которые могут приводить к невозможности вести бизнес, выполнять возложенные государственные функции и т. п. Также важно проводить киберучения, усиливать ИТ-инфраструктуру и внедрять средства защиты информации (СЗИ), размещать сервисы и ресурсы компании на багбаунти-платформах и другие меры.
В целом же Указ № 250 еще раз напомнил и продолжает напоминать руководителям российских компаний, что безопасность должна быть не бумажной, а практической, и отвечать за нее должны именно топ-менеджеры. Времена, когда кибербезопасностью интересовались исключительно технические специалисты, в дремучем прошлом. Именно поэтому тема результативной ИБ активно обсуждается руководством компаний малого, среднего и крупного бизнеса, а также и на государственном уровне, и президентский указ — очередное тому подтверждение.
Мнение автора может не совпадать с позицией редакции.