Я уже неоднократно обращался к 250-му Указу Президента (тут, тут и тут), но в субботу меня пригласили на закрытое мероприятие, организованное Комитетом по информатизации и связи Санкт-Петербурга, которое я модерировал вместе с Александром Селютиным из МНТК «Микрохирургия глаза» имени Академика Федорова и которое ответило на многие из имевших место вопросов. Почетным гостем мероприятия стал Владимир Бенгин, директор департамента кибербезопасности Минцифры, который смог ответить на ряд вопросов, неоднократно заданных мной на страницах блога, а также участниками мероприятия. Некоторые из ответов я бы хотел привести здесь. Но для начала самая важная мысль, которую я вынес из ответов Владимира.
Минцифры, как основной инициатор 250-го Указа и куратор его выполнения, заинтересован в улучшении уровня ИБ организаций, попавших под действие Указа, и основное внимание сейчас должно уделяться духу Указа, а не его букве. Иными словами, если что-то сформулировано не так, то формулировки и поменять можно.
Ну а теперь к ответам на вопросы:
Какой должна быть длительность обучения заместителей руководителя организации?
Формально, согласно букве Указа, минимальная длительность обучения должна составлять 360 часов. Никаких 500+ часов — это просто нереально для высоких начальников. Даже 360 часов выделить сложно. Поэтому Минцифры надеется, что заинтересованные организации разработают новые курсы по обучению, а не будут пытаться всучивать свои 500-часовые курсы.
Действительно ли заму руководителя организации (например, вице-губернатору или замминистра) надо учиться 360 часов?
Да, это выглядит немного нелепо и задумка первоначальная была иная. Поэтому в обозримом будущем, возможно, в Указ будут внесены изменения, которые разделят требования по обучению на 2 уровня — для заместителей руководителей организаций и для руководителей подразделений ИБ. В первом случае это будет часов 40, а во втором — 360 и более.
Может ли заместитель руководителя организации по ИБ начать работу сразу и потом пойти учиться или надо сначала научиться, а потом уже вступать в должность?
Согласно духу Указа, за ИБ должен отвечать человек, как можно более высокий в иерархии, и именно в этом заключается основное требование. Поэтому да, сначала можно назначить ответственного, а потом уже учить его, а не ждать, когда он сначала научится, а потом назначать его на должность. Кстати, речь идет именно о заместителе руководителя, что часто забывают. Например, для губернатора это будет… вице-губернатор, а не руководитель комитета по информатизации; для мэра — вице-мэр, а не директор департамента ИТ; для регионального министерства — замминистра; и т.д.
Что будет по окончанию эксперимента по ПП-860?
Сейчас число желающих поучаствовать в добровольной и независимой оценке защищенности ГИС согласно ПП-860 изъявило гораздо больше организаций, чем было выделено субсидий. По итогам этого эксперимента планируется, что независимый анализ защищенности может коснуться всех ГИС страны. И проводить этот анализ будет организация, выбранная не теми, кого проверяют и кто может повлиять на результаты оценки защищенности, а выбранная на конкурсе Минцифры. Это повышает шансы на независимость оценки, а также должно повысить уровень защищенности этих ГИС. По итогам проведения эксперимента будут выработаны защитные меры, которые будут направлены на нейтрализацию недопустимых событий, упомянутых в ПП-860.
Планирует ли Минцифры сделать реестр недопустимых событий?
Согласно ПП-860 все организации должны определить так называемые недопустимые события, которые, как понятно из названия, не должны быть реализованы и которые должны быть предотвращены в первую очередь. Это некий аналог ключевых рисков организации, которых нельзя допускать ни при каких условиях. Их, а также их трансляцию на ИТ-инфраструктуру, должны выявить привлеченные Минцифры пентестеры/аудиторы вместе с руководителями оцениваемых организаций. Сейчас это делается по принципу «кто в лес, кто по дрова», но Минцифры хочет в ближайшее время запустить реестр недопустимых событий, которым смогут пользоваться все желающие.
Как соотносится модель угроз по ПП-676 с недопустимыми событиями по ПП-860?
По большему счету, недопустимые события по Минцифре являются аналогом негативных последствий по ФСТЭК. Например, «непредоставление государственной услуги в течение 2 часов и более» или «кража денежных средств со счета организации». Вопреки иногда звучащему мнению, что ФСТЭК и Минцифры конфликтуют в этом вопросе, это не так. И методика оценки угроз ФСТЭК как раз будет базироваться на выявленных недопустимых событиях, выявление которых для госорганов может скоро стать обязательным. Для коммерческих организаций угрозы ИБ будут вытекать из ключевых рисков. Вообще, вполне возможно что тема негативных событий будет включена в ПП-676 наряду с обязанностью согласования моделей угроз перед вводом в эксплуатацию государственных информационных систем.
Я советую уже сейчас присмотреться к теме недопустимых событий, так как она скоро может превратиться в мейнстрим.
Планируется ли более четкое определение термина «средство защиты информации», так как сейчас даже ОС, офисное ПО, рутер, шторка для вебкамеры попадают под это определение?
На этом вопросе Владимир Бенгин назвал меня виновником всей этой терминологической катавасии и что это именно я задаюсь вопросами, которых до меня никто никогда не задавал 🙂 Повернутый в шутку ответ так и не прозвучал, из чего я делаю вывод, что пока решать проблему, которую я озвучивал в мае, не планируется, так как ее вроде и нет. Средством защиты все считают именно то, что и считают (что описано в приказах ФСТЭК). Хотя некоторые участники мероприятий в кулуарах приводили примеры нестандартных позиций прокуратуры, которая также ходит с проверками и предъявляют достаточно жесткие требования к проверяемых, часто буквально трактуя то, что написали ФСТЭК, Минцифры, ФСБ и иже с ними.
Можно ли целиком возложить задачу ИБ на службу заказчика или обязательно создавать, хотя бы для галочки, подразделение?
Сам Указ отвечает на этот вопрос, указывая, что часть функций (хоть 100%) может быть возложена на внешнюю организацию, лицензиата ФСТЭК. Но как правильно указал Владимир, в организации все равно кто-то должен устанавливать сами требования по ИБ к аутсорсеру, контролировать их исполнение и т.п. То есть хотя бы один человек, ответственный за ИБ, должен быть, а раз так, то и подразделение у него должно быть (хоть для галочки). Но эту функцию можно возложить и на ИТ — Указ это допускает.
Важное наблюдение, которое я сделал во время многих мероприятий, в которых участвуют регуляторы или руководители тех, кто участвует в мероприятии (начальник и подчиненные). Почти все молчат и публично вопросов не задают; и только в кулуарах пытаются выяснить, что и как надо делать.
Второе наблюдение уже из практики общения с разными регуляторами, которые направляют по своим подведам и поднадзорным различные запросы. Очень часто, чтобы не выглядеть плохо в глазах вышестоящих (особенно если бюджеты вроде выделены, но потрачены не туда), в ответе на запрос ничего плохого не пишут (даже наоборот) и ничего не просят (а иначе спросят за то, что выделяли раньше). В итоге у регуляторов возникает ощущение, что все хорошо и ничего делать не надо, бюджеты новые не нужны, средствами защиты все оснащены на должном уровне, штат полностью укомплектован и т.п. В итоге, «верхи не знают, а низы не говорят» 🙁
Вот такой краткий обзор мероприятия, которое несмотря на небольшую длительность, дало ответы на многие вопросы, которыми задавались организации, попавшие под действие Указа 250. Больше информации о 250-м, 166-м, а также планируемом новом Указе Президента, подзаконных актах и практике их реализации, можно будет узнать на конференции «IT Диалог 2022«, который пройдет уже этой осенью и заглавной темой которого станет именно кибербезопасность.
Кстати, совсем скоро я буду проводить онлайн-мероприятие по 250-му Указу, где можно будет узнать то, что вас волнует по этому нормативно-правовому акту. Пока дата (но это будет сентябрь) и площадка не определены, но я обещаю, что анонс его точно выложу у себя в Telegram-канале. Следите за новостями!
))))))))))выводы просто искрометные)))))))видно давно в госах не работал)))))))))требований до…. денег нет ни …. и за все ты отвечаешь! не будешь же говорить что у тебя решето, т.к. денег нет, требуют самодостаточность, ИБ на ИТ итдитп
Есть такая проблема 🙂 Но она потихоньку решается за счет:
1. Централизации всего и вся в ГЕОП, Гостех и т.п.
2. Проведения отдельных работ за счет Минцифры (тот же анализ защищеннности)
3. Субсидирования
Ну а сами ФОИВы и РОИВы на местах тоже подливают масла в огонь, на вопрос «денег надо» отвечая «не, у нас все нормально» 🙂
1. Нет никакой централизации в госах….все дано на откуп регионов, хочет регион централизовать-делает, нет-не делает.
2.Про минцифры вам бы в профильных форумах телеграмма посидеть))))много нового про минцыфры бы узнали…
3. На субсидировании только бабки стригут и то…субсидируют федералку, муниципалов никто не субсидирует…по итогу федералка более мене а муниципалка в опе, а по итогу решето…
1. Пока нет, но в этом направлении Минцифры идет.
2. Так нет ничего идеального 🙂
3. Так потому что все молчат — деньги и не идут. Но есть и обратные примеры, конечно
А чо не пишешь что уже устроился…позитив получил одного из лучших кадров популяризации И Б)))))))
Не чистить, а модерировать. Сообщения новых участников отображаются после одобрения. Потом уже автоматом идут
фигасе начал чистить)))))))
утечка несанкционировна руководством))))))))
Алексей Викторович. чо за дела)))))))
мда не ожидал
остановился бот или Алексей…вас слили на вашей конференции
интересно как руководители будут выбирать этого вице(которые и в ИТ не в зуб ногой а тут еще и ИБ))))))))))типа самый нашкодивший-на тебе еще проблем)))))))))
Рулетка.Русская 🙂
так можно и не успеть))))))
1
2
Зачем нам ещё один регулятор, разве существующих мало?
В принципе, понятно откуда ноги растут, в Минцифру на руководящие должности пришли люди из одной серьёзной структуры, но зачем же сразу одеяло то на себя тащить, и так в сфере ИБ бардак, куча регуляторов, масса требований, даже с понятиями нет однообразия.Вывод — бардак в ИБ будет усиливаться, реальная защита наоборот.Грустно.
Тут есть о чем спорить. Да, увеличение числа регуляторов добавит суматохи и бардака. Но с другой стороны, пока Минцифры демонстрирует вполне практичный подход к ИБ. Посмотрим, смогут ли они выдержать конкуренцию с традиционными регуляторами.
Вам об одном а вы о ереме, Алексей со всем уважением, Вы даже не представляете бардака который в госах, где то более менее контролируется, где вообще атас(например школы, вузы итд где сидит монопольный випнет владелец и аттестатор и пихает и нужное и ненужное, там за нецелевку можно каждому директору нараздва). У минцыфры согласен есть юношеский пыл и он бьется…но поддержки от регуляторов нет…и по итогу когда повзрослеет будет все тоже самое…вон смотрите эту движуху по этим биоданным, первым делом там начали зарабатывать бабло(общеизвестный чел, правда уже покойник, продвинул в регионы и регионы щас не то что плачут, а уже просто забивают на проблемы с продвинутым…ростелеком продвигает в полный рост, цены растут по 100 процентов в год, второй год подряд, постановлениями пробивают их как единственных поставщиков) итдитп….все красиво на бумажке а как в регион заедешь там….
Я представляю бардак в госах. Но хочется надеяться на лучшее 🙂
ну и мало ли можно не заметить
Есть подозрение, что коллега из Минцифры не подготовился к мероприятию. Если следовать Букве, а не Духу Указа 250 (как и должно быть), то замов по инфобезу, нужно полноценно учить (512 часов), чтобы они имели глубокое поничание, что ИБ это полноценное направление со своими «правилами игры», а не просто какие-то непонятные люди (чем занимаются непонятно, а раз непонятно, то и не интересно, а раз не интересно, то и не нужно). Как результат ходят ИБэшники с фонариками как Диоген и гражданам-начальникам пытаются объяснить как ЭТОВСЁ важно, а дальше, товарищи-причастные, сами всё знаете чем такие хождения заканчиваются… Теперь, возможно, что ИБ в нашей стране сдвинется в лучшую сторону, хотя, судя по ответам должностного лица из Минцифры далеко не факт. А тем, кто в инфобез пришёл из других специальностей, переживать не стоит, если «в теме», то пройти проф. переподготовку 512 часов — «на раз-два». Учиться, учиться и ещё раз учиться! (Классик).
p.s. Про соответствие духу, а не букве Указа — это прям «дно». Зачем тогда законы если можно «по-понятиям».
512 часов придумали УЦ, которые не способны разработать что-то для топов, а пытаются всучить им программы под лицензии ФСБ/ФСТЭК на 500+ часов. По букве закона 360 часов хватает за глаза. Но для топов и это перебор (не говоря уже о 500 часах).
Что касается буквы и духа закона. Да, есть такая проблема у нас. Но иногда лучше жить именно по духу, а не по букве «ять», которая в словарях отмечается как «устаревшее». Есть «законы» (например, 152-я инструкция), которые сегодня выполнить невозможно нормально, но их не отменяют и не обновляют. Минцифры же смотрит на то, чтобы сделать все правильно и если что-то не так, то вносит изменения. Это просто другой подход и он в современных условиях подходит гораздо лучше, так как именно Минцифры управляет 250-м Указом, именно к ним прилетают результаты анализа защищенности, именно они рулят экспериментом. Поэтому они могут внутри себя разбираться, что делать с прилетающими ответами. В межведомственной игре такое не сработало бы…
Актуализировать НПА нужно, кто же спорит (одно определение «машинные носители» чего стоит) и если Минцифры так же считает — пректасно. Указ 250 и ПП 1272, вроде как, актуальней некуда (по хорошему, их ещё «вчера» нужно было выпустить), исполнять же НПА по духу, а не по букве решительно невозможо, так как Юридические службы при согласовании локальных актов смотрят именно на буквы.
Алексей, возможно, Вам стоит представить в Блоге некий концепт курса для топов (модули, часы), который может дать им полноценное глубокое представление об ИБ (по духу указ 250, вроде как, должен поднять ИБ на высший уровень в иерархии организации). Народ посмотрит — обсудит, представит своих топов в обучении и выскажет: достаточно/не достаточно, чего не хватает.
Концепт курса разработан, но есть тонкий момент про длительность. Если Минцифры поменяет требования и разделит обучение на два уровня — для топов на 40 часов и для CISO на 360, то это одна история. Если останется все как есть (360 часов), то это другая история
Зам ГД по РБ после прочтения ПП 1272 и Указа 250 САМ!!! решил переподготовиться. Ему уже под 60, но он из «бывших», которые не бывают бывшими)))
Естественно времени у него нет, и скорее всего желания получить какие-либо знания тоже нет, и я сейчас ищу ему курсы переподготовки на 512 часов…
только боюсь, что придётся мне за него учиться(((
Есть такая версия. В текущей конфигурации Указа многие будут смотреть на Букву, а не Дух закона и поэтому будут либо забивать болт на обучение совсем, либо купят корочку, либо найдут падаванов, которые за них обучатся
Единственный стимул для моего шефа, это то, что его контракт срочный…на год, и скорее всего требование об обучении будет выдвинуто со стороны ЕГО начальства…а так по большому счёту проверять обучен он или нет никто не будет….это не лицензионные требования)))
Прокуратура может. Если «повезет»