26.11.19

ИБ в госорганах. Голоса с мест

Этой осенью мне довелось поучаствовать в нескольких региональных мероприятиях по ИБ, на которых я пообщался с представителями госорганов, которые поделились со мной своей болью относительно того, что происходит у них с точки зрения кибербезопасности. А на прошлой неделе на SOC Forum было искрометное выступление представителя Самарского ДИТа, который рассказывал о схожих проблемах. В совокупности набежало на целую заметку.
  1. ВУЗы практически убили специалитет по ИБ, оставив преимущественно магистратуру и бакалавриат. А ФСТЭК в своей нормативке требует специалистов по защите информации. А их в природе больше и не готовят почти ;-( Как выполнить это требование?
  2. Качество подготовки кадров оставляет желать лучшего. Это старая история, но не теряющая своей актуальности. То, чему учат, плохо подходит под новые требования, а то, что подходит, не имеет согласований у регуляторов, что вызывает опасения у представителей госорганов - полученную "корочку" не покажешь проверяющим, которые часто следуют формальным признакам.


  3.  С 1-го января 2020 госы переходят на профстандарты, требующие специалистов (опять) с опытом работы от трех лет. Выпускник не подходит, а реальный спец с опытом 3+ на зарплату в гос не пойдет ;-( А если брать выпускника ВУЗа, то это штраф за нарушение профстандарта. В итоге получается коллизия, которую непонятно как решать. Судя по всему, регулятор в лице ФСТЭК не в курсе происходящих изменений в сфере образования и свои документы под них не обновлял.

  4. Зарплата же в регионах в госорганах оставляет желать лучшего. Найти на такую зарплату специалиста с опытом непросто. И даже 13-я зарплата и премии не всегда сильно выправляют эту ситуацию. Приведенный внизу слайд с SOC Forum вызвал бурю эмоций в соцсетях; особенно ассоциативная картинка слева от сумм денежного довольствия :-(


  5. Лицензия на мониторинг ИБ требует специалиста с опытом мониторинга ИБ от трех лет, который (опыт) может быть получен только при наличии лицензии, который требует специалиста с опытом мониторинга ИБ от трех лет, который... Рекурсия-с... Это старая история, но до сих пор всплывает, так как регулятор не дает четкого и официального (или хотя бы публичного на сайте) ответа.
  6. ФСТЭК в числе ошибок по категорированию ОКИИ указывает отказ в признании субъектами, что у них есть КИИ, или занижение категорий значимости. А почему госы так делают? А денег им никто не дал на выполнение ФЗ-187. Лучше не признать наличие ОКИИ, чем признать и не выполнить ФЗ и сесть по 274.1 УК РФ. Парадоксально, но часто именно такие действия рекомендует региональное управления ФСТЭК своим подопечным (разумеется, неофициально).


    1. Новые требования ФСТЭК не может даже сама ФСТЭК выполнить, а точнее ее региональные управления, часто сидящие в арендуемых помещениях, в которых нельзя выполнить все требования регулятора (в т.ч. и по ГТ). Это тоже старая история - многие требования ФСТЭК пишутся из расчета, что подопечные находятся в собственном здании или помещении, а это не так.
    2. К ГосСОПКЕ все подключились, а от нее уже несколько месяцев никаких уведомлений и фидов не приходит. И в чем тогда был весь смысл? Чтобы ФСБ получила дополнительные права по проверкам?.. На SOC Forum прозвучало предположение, что сотрудники НКЦКИ готовились к выступлению и поэтому им не хватало рук на подготовку бюллетеней :-) А может просто атак не было. Хотя по данным регулятора враг не дремлет - на виртуальных границах обстановка неспокойная.


      1. Российские вендора по ИБ достали. Вместо того, чтобы рассказывать о способах решения проблем, тупо впаривают свои поделия, часто даже повышая цены в условиях отсутствия конкуренции и запугивая требованиями по импортозамещению и обращением в суд или прокуратуру, если госорган не побоится и решит купить зарубежное решение. Часто звучит от госорганов вопрос "что делать, когда российских продуктов вообще нет под нужные требования, а дамоклова меча импортозамещения от плеч никто не отнимал?" Российские вендора только в рекламных листовках аналогичны иностранным решениям. А на деле далеки от того, что они импортозамещают.
      2. Отдельная тема - боль испытательных лабораторий, которые не знают, как реализовывать новые требования по доверию от ФСТЭК. И ладно бы, это был единичный случай, я уже от 6-8 лабораторий это слышал в неформальной беседе.
      Вот такая нерадужная картина вырисовывается. Но мы выстоим! Не в первой!

      3 коммент.:

      Unknown комментирует...

      "Всё это было бы смешно,
      Когда бы не было так грустно..."
      (C) М. Ю. Лермонтов

      Игорь А. Михеев комментирует...

      Основная проблема - отсутствие осознанной внутренней мотивации в обеспечении безопасности информации. Практически на всех уровнях отсутствует идеология оценки и принятия рисков. Для подавляющего большинства ИБ - это: ярмо от регулятора и "Kirby" от вендора или интегратора. Ну не хотят люди защищать информацию, не хотят.

      ser-storchak комментирует...

      Не в бровь, а в глаз