Правительство установило требования к профильным топ-менеджерам

“КоммерсантЪ”  ознакомился с проектом постановления правительства о типовом положении о заместителе руководителя организации, ответственном за обеспечение информационной безопасности, и профильном структурном подразделении. Положения разработаны по указу президента от 1 мая, согласно которому ответственность за киберриски ложится на заместителей руководителей предприятий.

Требования распространяются на федеральные органы власти, субъекты РФ, госфонды, госкорпорации, стратегические предприятия, системообразующие организации, а также субъекты критической информационной инфраструктуры (банки, операторов связи и др.). 

Согласно проекту, ответственный за кибербезопасность обязан иметь высшее профильное образование «не ниже специалитета или магистратуры» или пройти профпереподготовку.

Он должен понимать «влияние информационных технологий на работу организации», способы построения информсистем, в том числе ограниченного доступа, обеспечивать безопасность сетей компании, знать «основные угрозы безопасности, предпосылки их возникновения и возможные пути их реализации», а также их последствия и т.д. Ответственность такой сотрудник несет за нарушение своих обязанностей, действие или бездействие, ведущее к недопустимому инциденту, и разглашение гостайны. Самым тяжким с точки зрения последствий выглядит разглашение гостайны, объяснил партнер фирмы «Рустам Курмаев и партнеры» Дмитрий Клеточкин. Такие действия могут быть квалифицированы как госизмена и караться лишением свободы от 12 до 20 лет.

ИБ-кадры с подтвержденной квалификацией есть в первую очередь в банках, поскольку без этого им не выдают лицензию ФСБ, объясняет независимый эксперт по кибербезопасности Алексей Лукацкий. По его словам, в остальных случаях компаниям проще доучить сотрудника до нужного уровня: «Наемный менеджер может понадобиться в крупных структурах, где нужно иметь и технический бэкграунд, и умение общаться с топ-менеджментом, чему в вузах и на курсах переподготовки не учат».

Согласно данным рекрутингового сервиса hh, к июню на портале было размещено на 24% больше вакансий в сфере ИБ, чем в 2021 году: 3,2 тыс. и 2,6 тыс. соответственно, при размещенных сейчас 14,3 тыс. резюме. Конкуренция составляет четыре человека на место, что говорит о нехватке специалистов, говорят в hh. В среднем ежегодная потребность в специалистах по ИБ оценивается в 18–18,5 тыс. человек без учета управленцев, отмечает директор программ развития клиентской экспертизы Positive Technologies Мария Сигаева.

При этом ежегодно выпускается только 14 тыс. специалистов с высшим образованием по кибербезопасности, и в их обучении есть целый ряд пробелов.

Так, в Group-IB говорят, что в вузах не учат «реагировать на инциденты, собирать и интерпретировать данные киберразведки» и многому другому: «Все это практика и экспертиза, нарабатываемая годами. Готовых специалистов со студенческой скамьи нет». Можно повысить имеющегося руководителя, при условии, что он понимает характер современных ИБ-угроз, видит новые тренды и знает, как с ними работать, считает президент ГК InfoWatch Наталья Касперская.

Требования типового положения потребуют затрат, в частности, на мероприятия по анализу и оценке состояния информбезопасности организации, отмечает директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Иван Мелехин: «Но в обоих положениях не написано, что ответственные имеют право формировать бюджет и требовать финансирования описанных мероприятий. В таком случае есть риск, что исполнителям просто не хватит средств».

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!