Небольшие российские банки массово повышают своих руководителей подразделений информационной безопасности до уровня зампредов правления, чтобы выполнить прошлогодний указ президента. По словам участника рынка, такое решение «дешевле и проще», чем переподготовка топ-менеджеров. К тому же до последнего времени на рынке просто не было курсов, которые власти признали бы подходящими для наделения руководителей необходимыми компетенциями.
Рисунок: Виктор Чумачев, Коммерсантъ
Специалисты по информбезопасности (ИБ) в профильных Telegram-каналах в последнее время активно обсуждают способы выполнения прошлогоднего указа президента №250 «О дополнительных мерах по обеспечению информационной безопасности РФ».
В частности, по документу, на одного из зампредов банка возлагаются полномочия по обеспечению ИБ, «в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак, и реагированию на компьютерные инциденты».
Сложность реализации требования в том, что руководитель ИБ-подразделения должен соответствовать критериям, указанным в постановлении правительства от 15 июля 2022 года. То есть иметь высшее профильное образование (не ниже уровня специалитета, магистратуры). Там же приводится и длинный список компетенций профильного топ-менеджера.
По словам экспертов, основная цель указа президента была в повышении роли ИБ в организациях. Гендиректор SafeTech Денис Калемберг отмечает, что сегодня ИБ «зачастую обособлена, и поэтому банки, как и другие участники рынка, просто не обращают на нее внимания, отдавая все деньги и опыт исключительно в пользу бизнеса». «Если информбезопасностью будет рулить кто-то на уровне руководства, это может повлечь более серьезное отношение»,— считает он.
Об указе президента не забыли на год, уверяют участники рынка, однако:
- во-первых, в документах не были определены сроки, к которым топ-менеджеры должны получить соответствующие компетенции;
- во-вторых — до последнего времени не существовало программ переподготовки, обеспечивающих получение необходимых знаний и умений новых руководителей.
В частности, об этом Ассоциации банков России (АБР) в конце апреля в ответ на ее обращение сообщила Федеральная служба по техническому и экспортному контролю (ФСТЭК). Только на тот момент была «организована работа по разработке примерной программы профессиональной переподготовки указанных должностных лиц», говорится в письме ФСТЭК.
В ЦБ подчеркнули, что не являются уполномоченным органом, осуществляющим контроль за исполнением требований указа №250. Однако отметили, что за нарушение требований приказа ФСТЭК «в части квалификационных требований к работникам структурных подразделений по безопасности» предусмотрена административная ответственность. Во ФСТЭК оперативно не ответили на запрос “Ъ”.
Профильного образования у зампредов, курирующих ИБ, по словам экспертов, опрошенных “Ъ”, как правило, до сих пор нет.
Как отмечает глава правления ассоциации «Финансовые инновации» Роман Прохоров, «следует иметь в виду сохраняющийся дефицит квалифицированных информбезопасников, в том числе руководителей».
Бизнес-консультант по информбезопасности Positive Technologies Алексей Лукацкий добавляет, что «по требованиям ЦБ затруднительно совмещать руководство функцией IT и информбезопасностью». Поэтому получается, что нельзя просто возложить управление ИБ на зампреда по IT, уточняет эксперт.
По словам вице-президента АБР Алексея Войлукова, в итоге у банков два варианта — отправлять действующего зампреда на переподготовку или подавать в ЦБ документы руководителя подразделения ИБ на зампреда. «Во втором случае, как правило это касается небольших банков, фактически должность руководителя подразделения ИБ переименовывается, и членом правления он является чисто формально»,— говорит он.
«Начальников отделов небольших банков просто переделывают в зампредов»,— подтвердил источник “Ъ” на рынке ИБ.
Однако, по его словам, по некоторым кандидатурам ЦБ выдает отказы «или потому, что они работали в банках с отозванными лицензиями, или в силу формального отсутствия опыта руководящей работы по основному бизнесу».
Кроме того, подчеркивает управляющий RTM Group Евгений Царев, руководитель несет ответственность (вплоть до уголовной) за любые инциденты или несоответствие требованиям. Это не способствует популярности схемы: «Чтобы она работала эффективно, такому сотруднику необходимо, помимо ответственности, дать возможность распоряжаться бюджетом для реагирования на события и выполнения требований регулятора в полном объеме».