Правительство конкретизировало требования к топ-менеджерам, ответственным за кибербезопасность в госорганах и корпорациях. Высшее профильное образование стало обязательным требованием, при этом кандидат должен обладать управленческими и стратегическими навыками, а ответственность на этой должности включает риски разглашения государственной тайны. С учетом жесткого кадрового дефицита найти подходящих специалистов будет непросто, считают участники рынка.
Фото: Александр Музыченко, Коммерсантъ
“Ъ” ознакомился с проектом постановления правительства о типовом положении о заместителе руководителя организации, ответственном за обеспечение информационной безопасности, и профильном структурном подразделении. Положения разработаны по указу президента от 1 мая, согласно которому ответственность за киберриски ложится на заместителей руководителей предприятий.
Требования распространяются на федеральные органы власти, субъекты РФ, госфонды, госкорпорации, стратегические предприятия, системообразующие организации, а также субъекты критической информационной инфраструктуры (банки, операторов связи и др.). В правительстве переадресовали запрос в Минцифры. Там лишь отметили, что документ находится в правительстве.
Согласно проекту, ответственный за кибербезопасность обязан иметь высшее профильное образование «не ниже специалитета или магистратуры» или пройти профпереподготовку.
Он должен понимать «влияние информационных технологий на работу организации», способы построения информсистем, в том числе ограниченного доступа, обеспечивать безопасность сетей компании, знать «основные угрозы безопасности, предпосылки их возникновения и возможные пути их реализации», а также их последствия и т.д. Ответственность такой сотрудник несет за нарушение своих обязанностей, действие или бездействие, ведущее к недопустимому инциденту, и разглашение гостайны. Самым тяжким с точки зрения последствий выглядит разглашение гостайны, объяснил партнер фирмы «Рустам Курмаев и партнеры» Дмитрий Клеточкин. Такие действия могут быть квалифицированы как госизмена и караться лишением свободы от 12 до 20 лет.
ИБ-кадры с подтвержденной квалификацией есть в первую очередь в банках, поскольку без этого им не выдают лицензию ФСБ, объясняет независимый эксперт по кибербезопасности Алексей Лукацкий. По его словам, в остальных случаях компаниям проще доучить сотрудника до нужного уровня: «Наемный менеджер может понадобиться в крупных структурах, где нужно иметь и технический бэкграунд, и умение общаться с топ-менеджментом, чему в вузах и на курсах переподготовки не учат».
Андрей Крутских, посол по особым поручениям МИДа, в ответ на вопрос “Ъ” 6 июня:
«Нападения с использованием информационно-коммуникационных технологий на объекты критической инфраструктуры в России постоянно увеличиваются».
Согласно данным рекрутингового сервиса hh, к июню на портале было размещено на 24% больше вакансий в сфере ИБ, чем в 2021 году: 3,2 тыс. и 2,6 тыс. соответственно, при размещенных сейчас 14,3 тыс. резюме. Конкуренция составляет четыре человека на место, что говорит о нехватке специалистов, говорят в hh. В среднем ежегодная потребность в специалистах по ИБ оценивается в 18–18,5 тыс. человек без учета управленцев, отмечает директор программ развития клиентской экспертизы Positive Technologies Мария Сигаева.
При этом ежегодно выпускается только 14 тыс. специалистов с высшим образованием по кибербезопасности, и в их обучении есть целый ряд пробелов.
Так, в Group-IB говорят, что в вузах не учат «реагировать на инциденты, собирать и интерпретировать данные киберразведки» и многому другому: «Все это практика и экспертиза, нарабатываемая годами. Готовых специалистов со студенческой скамьи нет». Можно повысить имеющегося руководителя, при условии, что он понимает характер современных ИБ-угроз, видит новые тренды и знает, как с ними работать, считает президент ГК InfoWatch Наталья Касперская.
Требования типового положения потребуют затрат, в частности, на мероприятия по анализу и оценке состояния информбезопасности организации, отмечает директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Иван Мелехин: «Но в обоих положениях не написано, что ответственные имеют право формировать бюджет и требовать финансирования описанных мероприятий. В таком случае есть риск, что исполнителям просто не хватит средств».