Компания Positive Technologies готовит новую концепцию стандарта в области кибербезопасности — базу открытых знаний, которыми смогут обмениваться специалисты для повышения квалификации. Многие неэффективно используют продукты киберзащиты и остаются уязвимыми, несмотря на огромные бюджеты на безопасность, считают в компании. Мнения участников рынка разделились. Одни находят идею полезной, так как рекомендации производителей софта слишком разрозненны и IT-специалисты их просто не успевают освоить. Другие уверены, что проблему неэффективных трат новый стандарт не решит.
Фото: Влад Некрасов, Коммерсантъ
Positive Technologies начала готовить концепцию нового стандарта рынка информационной безопасности (ИБ) и планирует вынести ее на обсуждение с участниками рынка и регуляторами, рассказал директор по бизнес-консалтингу компании Роман Чаплыгин. Стандарт должен стать открытой базой знаний и консолидировать практики IT-сообщества по противодействию кибератакам, тогда как существующие в России стандарты по ИБ не отвечают реалиям, считает он.
Новый стандарт позволил бы компаниям обмениваться опытом и повышать эффективность противодействия кибератакам, пояснил Роман Чаплыгин.
Каждая организация настраивает параметры ИБ и средства защиты по-своему, в случае появления открытой базы знаний компании смогут совместно развивать наиболее эффективные решения. Кроме того, стандарт позволит снизить проблему нехватки кадров в IT-отрасли: люди из других профессий, с интересом следящие за ИБ, смогут получить в этой базе дополнительные навыки и перепрофилироваться для работы в этой сфере, заключил господин Чаплыгин.
Идея хорошая, так как в IT-безопасности много направлений, требующих глубоких компетенций и долгого изучения, а рекомендации вендоров обычно разрознены, полагает руководитель практики ИБ компании Accenture в России Андрей Тимошенко. «Единая и доступная библиотека таких правил позволила бы компаниям обмениваться знаниями и не тратить ресурсы на изобретение велосипеда»,— соглашается он.
Благодаря открытому стандарту большинству компаний не придется тратить время и ресурсы на методы проб и ошибок при выработке процессов обеспечения ИБ и при непосредственной работе с решениями, согласен гендиректор Infosecurity a Softline Company Кирилл Солодовников.
Инициатива актуальна, но стандарт будет эффективен только в случае качественной разработки, предупреждает директор по развитию компании «Аванпост» Олег Губка. По его мнению, нужно создать экспертный совет из представителей компаний, которые бы основательно проработали все разделы стандарта, основываясь на собственных успешно реализованных проектах.
Стандарты ИБ давно существуют, зачем придумывать еще один — большой вопрос, возражает коммерческий директор «Кода безопасности» Федор Дбар. По его мнению, это не поможет решить проблему неэффективных трат бюджетов на ИБ-продукты, так как ИБ сильно зависит от зрелости организации и внимания ее первых лиц к внедрению новых процессов. А драйвером на ИБ-рынке выступают не стандарты, а такие события, как массовый перевод сотрудников из офиса на удаленку или появление новых требований регуляторов, подчеркнул господин Дбар.
Действительно, начинающему специалисту в области ИБ бывает сложно разобраться в лавине информации, но для решения этой проблемы имеются хорошо структурированные обучающие курсы, полагает технический директор Varonis Systems в России Александр Коновалов. По его мнению, отрасль ИБ не испытывает недостатка в стандартах, методиках, системах обучения и руководящих документах.
Проблема неэффективного использования средств на ИБ, по его мнению, вызвана перегруженностью работой профильных сотрудников, которые заняты «текучкой» и «тушением пожаров» и не могут в полной мере освоить приобретенные аппаратные и программные средства защиты данных.
Поэтому выходом мог бы стать не еще один стандарт, а расширение кадровых составов подразделений ИБ, уверен господин Коновалов.