Какие законы должен знать ИБ-специалист, чтобы не подвести компанию под штрафы?
По разным данным, в зависимости от специализации российским компаниям не хватает примерно 30–100 тысяч специалистов по информационной безопасности. Чтобы восполнять нехватку кадров, предприятия начали смягчать требования к опыту и образованию кандидатов и в интенсивном режиме доучивать их уже на рабочих местах. При этом безопасникам важны уверенные компетенции и знание законов об ИБ, так как кибератак и утечек данных становится все больше, а регулирование для бизнеса строже и дороже, в случае выявления регулятором нарушения со стороны предприятия.
Сегодня правовое регулирование в ИБ-сфере активно меняется, ужесточаются последствия за нарушения. Законы дополняют и расширяют, чтобы учесть все возможные варианты нарушений. Ранее государство относилось к недочетам снисходительно, давало время для того, чтобы построить систему обеспечения информационной безопасности. Например, прежде регуляторы не выписывали штрафы сразу, а давали время на устранение выявленных недостатков или же размер штрафов вызывал улыбку, если сравнивать его с суммой заработной платы специалиста по информационной безопасности плюс размер отчисления в фонды. Сейчас, когда размеры штрафов исчисляются миллионами, можно видеть резкий скачок вакансий специалистов по ИБ (из них стажеров и специалистов «без опыта» требуется порядка более тысячи работников, по данным НН.ру).
Требования к сотрудникам отрасли: что изменилось
Помимо выпускников вузов, по специальности связанными с ИБ, еще десять лет назад работать в эту сферу переходили в основном технические специалисты. Сейчас безопасниками также становятся бывшие юристы или сотрудники правоохранительных органов.
Меняются требования к образованию работников ИБ. Так, в апреле 2023 года регуляторы частично разрешили работать на объектах критической информационной инфраструктуры выпускникам колледжей. ИБ-специалистов не хватает, а вузы не успевают выпускать их в достаточном количестве.
При этом в ряде направлений могут работать либо специалисты с высшим образованием в ИБ-области, либо те, кто прошел профессиональную переподготовку и получил лицензию ФСТЭК на ТЗКИ (техническая защита конфиденциальной информации). В частности, это требуется при устройстве на государственную службу.
Какие новые задачи решают ИБ-специалисты
Предприятия-субъекты КИИ обязаны перевести работу на российское программное обеспечение, но и некоторые коммерческие предприятия также массово переходят на отечественный софт в связи с уходом западных вендоров. ИБ-специалисты участвуют в этой работе, начиная с разработки схем миграции и заканчивая настройкой и апдейтами ПО.
И несмотря на неопределенность в законодательстве об ИБ, безопаснику уже нужно быть готовым к ситуации, когда ему придется участвовать в судебном разбирательстве на стороне компании.
Пример: одна компания жалуется на возможную утечку персональных данных у конкурента. Такая жалоба может вести к парализации бизнеса, в некоторых случаях к изъятию серверов на время проверки. Необходимо доказать невиновность в рамках правового поля. Для этого с обеих сторон привлекаются специалисты по информационной безопасности (на практике суд чаще принимает решение в пользу эксперта от обвинения). По времени это может затянуться на месяцы и даже годы.
266-ФЗ, принятый в прошлом году, обязывает компании сообщать об инцидентах и проводить внутреннее расследование. Теперь в случае утечки данных и кибератаки компания обязана за 24 часа уведомить Роскомнадзор. А в течение следующих несколько дней — предоставить результаты расследования инцидента.
Принятый в России 152-ФЗ — смягченный аналог постановления GDPR, принятого в Евросоюзе. Пример его применения: в 2019 году во Франции материнскую компанию Google оштрафовали на $56,8 млн за нарушения при сборе данных пользователей. Огромные штрафы за нарушения в области персональной информации в Евросоюзе получали Amazon, H&M, British Airways и другие.
Что нужно знать ИБ-специалисту о защите компании
Разбираться в ИБ-законодательстве следует начинать сверху вниз.
- Конституция и федеральные законы РФ.
- Постановления правительства, указы Президента РФ, Гражданский кодекс.
- Постановления госрегуляторов: ФСТЭК, ФСБ РФ, Минцифры и других.
- Нормативные документы организации, в которой работает безопасник.
Расширенный список актуальных законов и норм можно найти по ссылке.
Помимо общих положений о защите информации, сотрудник должен ориентироваться в законах той сферы, к которой относится компания. Например, понимать стандарты в области банковской деятельности, медицины, образования. Полезно знать, к какому нормативному акту обращаться в том или ином случае.
Иногда только что нанятому специалисту приходится самому разрабатывать документацию, связанную с ИБ. В первую очередь создаются два обязательных документа: концепция и политика информационной безопасности.
Также специалист по ИБ обязательно должен знать, как строится компьютерная сеть. В зависимости от специализации сотрудника ИБ меняется только глубина его знаний. На рынке достаточно хороших книг по компьютерным сетям, но все же классикой считаютсятакие авторы, как Олифер и Таненбаум, также для начинающих подойдут следующие ресурсы: linkmeup.ru и asozykin.ru и полный курс по ИБ от Нетологии.
Перед составлением организационно-распорядительных документов компании необходимо провести аудит информационной безопасности, чтобы понимать, какие важные активы и бизнес-процессы есть в компании и оценить стоимость ущерба в случае негативного воздействия и негативных последствий на них. Проведение данных работ позволяет определить, какие меры ИБ необходимо применить (организационно-правовые, технические, криптографические, программные, физические) и предварительно оценить стоимость встраиваемой защиты ИБ.
Что полезно знать безопаснику, чтобы самому не нарушить закон
В прошлом году на Дальнем Востоке арестовали госслужащую из ИБ-отдела, которая отправляла руководителю личную переписку коллег. С искушением нарушить закон в похожей ситуации могут столкнуться многие безопасники, так как специалисты по ИБ и ИТ являются потенциально внутренними нарушителями с привилегированными правами, и если человек склонен поддаваться соблазнам, то это создает для компании потенциальные риски.
Иногда трудно понять, где грань между рабочими обязанностями и превышением полномочий. Бывает сложно определить, насколько легитимны те или иные действия специалиста по ИБ, поскольку нет полученного согласования проведения работ у руководства. Возьмем к примеру утилиту nmap, которую используют как злоумышленники, так и специалисты ИБ. Несанкционированное проведение работ с применением данной утилиты формирует вопрос: специалист ИТ или ИБ собирал во благо информацию или занимался разведкой, чтобы в дальнейшем произвести атаку? В данном случае ответить однозначно будет достаточно трудно.
Кроме того, ужесточение законодательства в области персональных данных влечет дополнительные риски не в последнюю очередь для сотрудников ИБ-отделов. Например, 152-ФЗ предусматривает в том числе уголовную ответственность, если организация не сообщила об утечке данных. Дополнительная сложность в том, что пока не до конца ясно, кто понесет наказание: руководитель компании, ИБ-специалист или оператор персональных данных.
Таким образом, сейчас знание актуальных законов для ИБ-специалиста не бонусный навык, который дает лучшие офферы от работодателей, а необходимость — именно это обезопасит его в условиях правовых перемен.
Опубликовано 26.12.2023
