Этой осенью мне довелось поучаствовать в нескольких региональных мероприятиях по ИБ, на которых я пообщался с представителями госорганов, которые поделились со мной своей болью относительно того, что происходит у них с точки зрения кибербезопасности. А на прошлой неделе на SOC Forum было искрометное выступление представителя Самарского ДИТа, который рассказывал о схожих проблемах. В совокупности набежало на целую заметку.
- ВУЗы практически убили специалитет по ИБ, оставив преимущественно магистратуру и бакалавриат. А ФСТЭК в своей нормативке требует специалистов по защите информации. А их в природе больше и не готовят почти ;-( Как выполнить это требование?
- Качество подготовки кадров оставляет желать лучшего. Это старая история, но не теряющая своей актуальности. То, чему учат, плохо подходит под новые требования, а то, что подходит, не имеет согласований у регуляторов, что вызывает опасения у представителей госорганов — полученную «корочку» не покажешь проверяющим, которые часто следуют формальным признакам.
- С 1-го января 2020 госы переходят на профстандарты, требующие специалистов (опять) с опытом работы от трех лет. Выпускник не подходит, а реальный спец с опытом 3+ на зарплату в гос не пойдет ;-( А если брать выпускника ВУЗа, то это штраф за нарушение профстандарта. В итоге получается коллизия, которую непонятно как решать. Судя по всему, регулятор в лице ФСТЭК не в курсе происходящих изменений в сфере образования и свои документы под них не обновлял.
- Зарплата же в регионах в госорганах оставляет желать лучшего. Найти на такую зарплату специалиста с опытом непросто. И даже 13-я зарплата и премии не всегда сильно выправляют эту ситуацию. Приведенный внизу слайд с SOC Forum вызвал бурю эмоций в соцсетях; особенно ассоциативная картинка слева от сумм денежного довольствия 🙁
- Лицензия на мониторинг ИБ требует специалиста с опытом мониторинга ИБ от трех лет, который (опыт) может быть получен только при наличии лицензии, который требует специалиста с опытом мониторинга ИБ от трех лет, который… Рекурсия-с… Это старая история, но до сих пор всплывает, так как регулятор не дает четкого и официального (или хотя бы публичного на сайте) ответа.
- ФСТЭК в числе ошибок по категорированию ОКИИ указывает отказ в признании субъектами, что у них есть КИИ, или занижение категорий значимости. А почему госы так делают? А денег им никто не дал на выполнение ФЗ-187. Лучше не признать наличие ОКИИ, чем признать и не выполнить ФЗ и сесть по 274.1 УК РФ. Парадоксально, но часто именно такие действия рекомендует региональное управления ФСТЭК своим подопечным (разумеется, неофициально).
- Новые требования ФСТЭК не может даже сама ФСТЭК выполнить, а точнее ее региональные управления, часто сидящие в арендуемых помещениях, в которых нельзя выполнить все требования регулятора (в т.ч. и по ГТ). Это тоже старая история — многие требования ФСТЭК пишутся из расчета, что подопечные находятся в собственном здании или помещении, а это не так.
- К ГосСОПКЕ все подключились, а от нее уже несколько месяцев никаких уведомлений и фидов не приходит. И в чем тогда был весь смысл? Чтобы ФСБ получила дополнительные права по проверкам?.. На SOC Forum прозвучало предположение, что сотрудники НКЦКИ готовились к выступлению и поэтому им не хватало рук на подготовку бюллетеней 🙂 А может просто атак не было. Хотя по данным регулятора враг не дремлет — на виртуальных границах обстановка неспокойная.
- Российские вендора по ИБ достали. Вместо того, чтобы рассказывать о способах решения проблем, тупо впаривают свои поделия, часто даже повышая цены в условиях отсутствия конкуренции и запугивая требованиями по импортозамещению и обращением в суд или прокуратуру, если госорган не побоится и решит купить зарубежное решение. Часто звучит от госорганов вопрос «что делать, когда российских продуктов вообще нет под нужные требования, а дамоклова меча импортозамещения от плеч никто не отнимал?» Российские вендора только в рекламных листовках аналогичны иностранным решениям. А на деле далеки от того, что они импортозамещают.
- Отдельная тема — боль испытательных лабораторий, которые не знают, как реализовывать новые требования по доверию от ФСТЭК. И ладно бы, это был единичный случай, я уже от 6-8 лабораторий это слышал в неформальной беседе.
Вот такая нерадужная картина вырисовывается. Но мы выстоим! Не в первой!
"Всё это было бы смешно,
Когда бы не было так грустно…"
(C) М. Ю. Лермонтов
Основная проблема — отсутствие осознанной внутренней мотивации в обеспечении безопасности информации. Практически на всех уровнях отсутствует идеология оценки и принятия рисков. Для подавляющего большинства ИБ — это: ярмо от регулятора и "Kirby" от вендора или интегратора. Ну не хотят люди защищать информацию, не хотят.
Не в бровь, а в глаз
по п.3 могу сказать, что в соответствии с методичкой, которую училенно «читают» госорганы, там же указано, что либо квалифицированное образование, либо навыки и умения, но эти навыки и умения никто не считал и даже опыт в трудовой никда не ставят.
Поэтому все сидят на попах ровно и типа безопасно.
Проверено на опыте.