Минцифры потребует от операторов и телеканалов создать отделы кибербезопасности на отечественном оборудовании

Минцифры разработало требования по внедрению «отделов информационной безопасности» на российских каналах и в фирмах-операторах связи — сообщают «Ведомости» со ссылкой на источники. Положения начнут действовать уже в 2025 году.

Как отмечают собеседники издания, новые требования похожи на те, что Путин утвердил для «субъектов критической информационной инфраструктуры» (КИИ) весной прошлого года. Через несколько месяцев правительство выпустило «типовое положение о замруководителя», который занимается обеспечением информационной безопасности. Тогда требования касались организаций и департаментов, которые выполняют «социально значимые функции» вроде обеспечения связи для чиновников или медобслуживания, а также госорганов, госфондов, госкорпораций и «стратегических предприятий». От них также потребовали перейти на программы от отечественных разработчиков или компаний из «дружественных стран».

«Во-первых, это личная ответственность руководителей за состояние информационной безопасности и за все киберинциденты, которые происходят в инфраструктурах организаций. Второе принципиальное требование указа — практическая результативность ИБ-систем <..> третье требование – использование средств защиты информации, разработанных только в дружественных странах», — подытожили требования в SecurityLab.

Как рассказали источники «Ведомостей», теперь похожие требования предъявили компаниям, которые занимаются теле- и спутниковыми каналами, а также нескольким СМИ и всем операторы связи (в том числе тем, кто действует на оккупированных территориях Украины). В частности, распоряжение касается «Российской газеты», ИТАР-ТАСС, МИА «Россия сегодня»,  ВГТРК, «Газпром-медиа» и «Национальная медиа группа» (владеет телеканалами «Пятый канал», РЕН ТВ, СТС и «Домашний») и ряд других.

По версии экспертов, у некоторых из этих компаний развитие кибербезопасности «до сих пор может находиться на низком уровне зрелости». Сообщается, что в некоторых случаях руководство не готово дополнительно инвестировать в кибербезопасность и «не понимает масштаба рисков». При этом область защиты сетей развивается слишком динамично, поэтому фирмы активно отдавали эти вопросы на аутсорс. 

По подсчётам специалистов, российские фирмы из списка тратили не более 1,5 миллиона долларов в год (около 145 миллионов рублей). Согласно прогнозам, на организацию нового отдела им потребуется тратить ещё до 500 тысяч долларов (50 миллионов рублей).

Ожидается, что минимальное внутреннее подразделение по информационной безопасности будет состоять из руководителя, специалиста по информбезопасности и специалиста по персональным данным. Отмечается, что работодатели могут столкнуться с дефицитом квалифицированных кадров на российском рынке труда. После начала мобилизации даже игровые разработчики начали срочно эвакуировать своих сотрудников.

«Для эффективного функционирования подразделения по ИБ необходим наем квалифицированного руководителя или старшего специалиста в зависимости от масштабов компании. Для мониторинга инцидентов ИБ и своевременного реагирования для начала потребуется формирование команды из двух-трех ИБ-специалистов», — пишут в Ведомостях со ссылкой на представителя компании ДРТ.

Проблемы могут также возникнуть при попытке перейти на отечественное ПО для защиты данных. Некоторые собеседники журналистов говорят, что это позволит фирмам сэкономить, однако специалисты предупреждают, что перейти на российские решения «бесшовно» скорее всего не получится. Некоторое необходимое оборудование, которое также должно быть российским, в РФ просто не производят.

Ранее от хостинг-провайдеров потребовали участвовать в учениях по изоляции рунета в целях «кибербезопасности». Сотрудников «Ростеха» заставили пользоваться российскими смартфонами AYYA вместо iPhone.