Только 19% компаний оказались недовольны законодательством в сфере ИБ
АО "Лаборатория Касперского" провела исследование среди ИТ- и ИБ-специалистов, которые вовлечены в процесс выполнения нормативных требований в области информационной безопасности, с целью выяснить, какие трудности они испытывают. В опросе приняло участие 100 компаний из разных сфер. 81% респондентов считают установленные требования оправданными. Тем не менее для каждой третьей организации полное выполнение норм кибербезопасности требует слишком больших ресурсов. "Среди всех индустрий 71% опрошенных одной из основных трудностей при выполнении правовых норм ИБ считают недостаток квалификации сотрудников и 69% - недостаток бюджета. Чаще всего низкая квалификация специалистов оказывается серьезным барьером именно для промышленных предприятий. Почти в каждой второй компании (45%) существуют трудности по обучению сотрудников и поддержанию их квалификации на должном уровне, а в 43% компаний - организационные и технические сложности при внедрении изменений, связанных с соблюдением законодательных норм в сфере информационной безопасности", - сказано в исследовании "Лаборатории Касперского".
Директор по кибербезопасности и криптографии ООО "Аванпост" (Avanpost) Евгений Галкин согласился с вышеизложенными проблемами и вопросами, касающимися соблюдения законодательных норм в области информационной безопасности: "Действительно, стоит отметить сложность и витиеватость формулировок, используемых в законотворчестве, что создает определенные трудности для пользователей. Однако, на мой взгляд, эти сложности могут быть эффективно преодолены за счет привлечения квалифицированных специалистов, обладающих необходимыми знаниями и опытом для правильной интерпретации и применения норм законодательства. Это также требует соответствующих бюджетных вложений в обучение и развитие кадров".
Эксперт по информационной безопасности ООО "Новые облачные технологии" ("Мой Офис") Дмитрий Костин рассказал корреспонденту ComNews, что основные трудности в соблюдении требований законодательства в части обеспечения информационной безопасности часто связаны с отсутствием эффективной коммуникации: "Важно уметь донести до коллег из смежных подразделений - ИТ, разработка, маркетинг, HR и т.п. - как содержание, так и значимость этих требований, а также предложить способы их реализации с учетом затрат. Конечно, эти навыки приходят с опытом и практикой. Принцип наглядности здесь очень важен: когда с помощью практических примеров объясняется смысл требований по ИБ и показываются негативные последствия, возникающие при их игнорировании".
Заместитель генерального директора по научной работе АО "СиСофт Девелопмент" Михаил Бочаров считает, что никакие трудности с внедрением или применением мер информационной безопасности не идут в сравнение с возможным ущербом, поэтому проблему информационной безопасности необходимо решать без оглядки на сложности: "В области информационного моделирования потребитель должен переходить на отечественные продукты из реестра Минцифры, что как минимум гарантирует сохранность данных. К сожалению, некоторые потребители не оценивают именно этот параметр, а начинают с других, зачастую голословных претензий к стоимости или функциональности".
ИТ-директор группы компаний "Дом.РФ" Антон Петухов отметил, что для повышения эффективности бизнеса и решения масштабных задач российские компании все больше используют облачные решения: Между тем облака в меньшей степени могут быть использованы в финансовом секторе, так как пока есть законодательные ограничения. Для гармоничного роста и развития сферы ИТ отрасль очень ждет законодательства, которое определило бы стандарты использования облачных технологий банками с точки зрения информационной безопасности и соответствия требованиям".
Уже давно и неоднократно специалистами по ИБ поднимался вопрос о гармонизации, применимости и возможности исполнения требований регулятора в вопросах применения и эксплуатации средств криптографической защиты информации в коммерческих организациях.
"До сих пор остается актуальной и не обновленной, с учетом современных реалий, Инструкция по организации и обеспечению безопасности хранения, обработки и передачи информации с использованием средств криптографической защиты, утвержденная приказом ФАПСИ от 13.06.2001 №152. Этот документ не учитывает актуальные требования и ситуации, поскольку не отражает современных условий работы с информацией, не составляющей государственную тайну", - отметил Антон Петухов.
Он добавил, что компании фактически не исполняют приказ ФСБ России от 10.07.2014 №378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах с использованием средств криптографической защиты: "Этот приказ требует применения сертифицированных средств криптографической защиты информации не ниже класса КС1 для защиты персональных данных при их передаче по открытым каналам связи. Однако на практике в большинстве случаев используются решения иностранных производителей, таких как Cisco и других, что создает проблемы с соблюдением установленных стандартов".