18 октября 2024 г.

Окончание, начало тут

Ситуация в деталях

Необходимости в переносе сроков нет, уверен Александр Шойтов, заместитель Министра цифрового развития, связи и массовых коммуникаций РФ, выступавший на Global Information Security Days’2024. Заметим, что в качестве причины будущего неисполнения требований Указа претензии к срокам высказали только 8% опрошенных, по данным исследования «К2 Кибербезопасность». Существенно больше — 14% — сообщили об отсутствии бюджета и других ресурсов для перехода.

Но основные претензии — к российскому софту. Проблемность перехода из-за сложностей, связанных с недостатком самих российских СИЗ, отметили 31% респондентов, а 28% считают существующие аналоги недостаточно качественными.

Как в таких условиях намерен помогать ФСТЭК, остается только догадываться: денег не даст, качество имеющимся инструментов не повысит.

Ситуация, как видно, разительно отличается от благостной картины, рисуемой российскими вендорами. «Констатируем, что по софту ситуация грустная, — сказала Наталья Касперская, президент ГК InfoWatch, выступая на GIS DAYS 2024, ежегодном форуме по ИБ и ИТ. — Это связано с тем, что широкий пласт технологий либо недоступен на рынке, либо клиенты считают, что он не доступен».

Конечно, вендоры активно развивают свои продукты, но времени мало, за пару десятков недель, прошедших со времени проведения исследования, ситуация не могла поменяться кардинально. Базовая функциональность у российских продуктов реализована, и многие вендоры ее даже успели отладить. Однако редкие функции — и нужные для создания сложных систем защиты — в ряде случаев еще стоят в планах развития (причем не на ближайшие кварталы).

Также есть проблемы с высоконагруженными решениями. Многие СИЗ появиться не успеют, например, как отметил Игорь Ляпунов, генеральный директор компании «Солар», от появления российского высоконагруженного NGFW нас еще отделяет год-два. Однако, как отметил Александр Шойтов, решений такого класса нужно порядка сотни-другой на всю страну, поэтому проблема высоконагруженных NGFW на общую картину исполнения Указа не окажет заметного влияния.

Напомним, что обновленные решения для соответствия Указу должны не только появиться, а еще и пройти процедуры сертификации, а это дело не быстрое.

В результате российские корпоративные заказчики часто оказываются зажаты между двумя группами рисков: техническими и регуляторными. Технические в большинстве случаев понятны, но и с регуляторными, заметим, тоже не все гладко. Например, пока не прописаны меры воздействия за нарушения требований Указа (но в самом документе отмечена персональная ответственность руководителей и ответственных за ИБ), есть проблемы с пониманием, какие именно из имеющихся СИЗ успеют получить статус «доверенных» к 1 января 2025 года и т. д. Очевидно, что все это не способствует развитию национального ИТ-рынка и, как следствие, всей национальной экономики.

Вместо заключения

Переход от бумажной безопасности к реальной, конечно же, продолжится даже на фоне имеющихся сложностей. «Цифровая трансформация» продолжается, а как напоминает Николай Сивак, коммерческий директор ГК «Солар», «любые проекты по „цифровой трансформации“ бизнеса повышают приоритет кибербезопасности».

Особенность ситуации состоит в том, что большое количество корпоративных заказчиков вынуждены выполнять полную перестройку своих ИБ-систем, причем зачастую действуя в авральном порядке. Сейчас большинство российских организаций — 80% по данным исследования Positive Technologies — уделяют недостаточно внимания «кибербезу». Теперь они сталкиваются с необходимостью выполнять переход на новые СИЗ, возможно, менять архитектуры своих систем безопасности, применять новые подходы и концепции, а также перенимать best practices для минимизации технических рисков, связанных с переходом.

«Для формирования и поддержания киберустойчивости организациям необходимо непрерывно проводить оценку готовности противостоять кибератакам для выявления слабых мест и их устранения», — уверен Михаил Стюгин, руководитель направления автоматизации информационной безопасности в Positive Technologies.

Принято считать, что перестройка системы инфобезопасности приводит к повышению уровня защиты. Иногда, как выясняется в ходе реинжиниринга, компании десятилетиями эксплуатировали компоненты, которые уже давно стали неэффективными, поэтому сам факт перехода на новые решения уже улучшает ситуацию с ИБ. Аналогично работает переход на новые архитектурные решения в ИБ, например, положительный эффект дает широкое внедрение NGFW, о которых мы недавно говорили достаточно подробно.

Однако, чтобы получить повышение уровня защиты, замены «старого на новое» недостаточно; придется потрудиться, обновляя архитектуру системы безопасности, выполняя настройки и т. д.

Заметим, что работа предстоит как техническая, так и организационная. В частности, большинство российских организаций — 70%, по данным исследования Positive Technologies — имеют проблемы с формированием регламента взаимодействия (SLA, Service Level Agreement) между командами ИБ и ИТ, который нужен для усиления защищенности. Также всем участникам национального рынка ИБ нужно уделять особое внимание налаживанию контактов как между ИБ и ИТ, так и между ИБ и руководством/финансистами. Для упрощения последнего есть некоторые практики и концепции, но это предмет отдельного разговора.

Источник: Александр Маляревский, внештатный обозреватель IT Channel News