Телеканалы и операторов связи обяжут создать ИБ-подразделения

Российские компании – владельцы средств массовой информации (СМИ) должны будут до 2025 г. создать внутренние структурные подразделения, отвечающие за вопросы информационной безопасности (ИБ). Это требование будет распространяться на все каналы первого и второго мультиплексов, а также на «Российскую газету», ИТАР-ТАСС и МИА «Россия сегодня». Помимо того, они должны будут перейти на отечественные средства защиты информации (СЗИ), а использование СЗИ из недружественных стран будет запрещено.

Это же требование с 1 января 2025 г. будет распространяться на операторов сотой связи и спутникового ТВ.

О разработанных в Минцифры требованиях рассказали «Ведомостям» два собеседника в операторах. Подтвердил информацию источник в компании, специализирующейся на ИБ. В самом министерстве от комментариев воздержались.

Если компания крупная, то, скорее всего, вопрос информзащиты в ней относительно решен, говорит партнер, лидер практики технологического консультирования компании ДРТ Тимофей Хорошев. Но у части компаний функция ИБ до сих пор может находиться на низком уровне зрелости, добавляет он, у них недостаточная численность и квалификация соответствующего персонала, а руководство или собственники не готовы дополнительно инвестировать в кибербезопасность и не понимают масштаба рисков.

Подразделение по ИБ является своего рода «внутренним аудитором» IT-подразделения, объясняет партнер Б1 Сергей Никитчук. Чем сложнее становится IT-архитектура компании, тем больше задач выполняет ИБ, добавляет эксперт. Поскольку модель угроз меняется динамично, то все компании активно работают с консалтинговыми ИБ- и IT-компаниями на аутсорсе, объясняет Никитчук.

Новые требования частично дублируют положения принятого в мае 2022 г. указа № 250, который распространяется на субъекты критической информационной инфраструктуры (КИИ), отмечают два собеседника «Ведомостей» (см. врез).

Субъекты КИИ – это организации целиком или департаменты в организациях, обеспечивающие социально значимые функции, например подразделения операторов связи, обслуживающие сети связи для госорганов, крупных предприятий, медицинских учреждений и т. п., объясняет технический директор «Айти бастиона» Дмитрий Михеев. Деятельность таких структур регулируется законом «О безопасности критической информационной инфраструктуры», по которому они обязаны обеспечить определенный стандарт защиты от аварийных ситуаций и попыток и последствий намеренного деструктивного воздействия на них, говорит он. 

Чтобы распространить жесткие требования КИИ на весь операторский бизнес, «никакого кошелька не хватит», поэтому обычно выделяют важные ключевые точки и категорируют их, объясняет эксперт. Согласно указу № 250, создание ИБ-подразделений и переход на отечественные СЗИ распространялись только на субъекты КИИ, в соответствии с новым указом это касается ряда СМИ и всех операторов (в том числе в новых регионах).

Представители холдингов «Газпром-медиа» (владеет телеканалами НТВ, ТНТ, «Матч ТВ», ТВ-3, «Пятница») и «Национальная медиа группа» (владеет телеканалами «Пятый канал», РЕН ТВ, СТС, «Домашний») и ТАСС отказались комментировать вопросы использования СЗИ и создания внутренних ИБ-подразделений. Так же поступили представители «Билайна» и Tele2. Холдинг ВГТРК (владеет телеканалами «Россия 1», «Россия К», «Россия 24», «Карусель»), «Первый канал», «Общественное телевидение России» (ОТР), «ТВ центр», «Спас», «Звезда», «Мир», холдинг «Медиа 1» (владеет каналом «Муз-ТВ»), «Российская газета» и медиагруппа «Россия сегодня» не ответили на запрос «Ведомостей».

Для эффективного функционирования подразделения по ИБ необходим наем квалифицированного руководителя или старшего специалиста в зависимости от масштабов компании, говорит Хорошев. Для мониторинга инцидентов ИБ и своевременного реагирования для начала потребуется формирование команды из двух-трех ИБ-специалистов, говорит он. 

Минимальное внутреннее подразделение по ИБ будет состоять из руководителя, специалиста по информбезопасности и специалиста по персональным данным, считает Никитчук. Создание подразделений в зависимости от размеров бизнеса потребует инвестиций от 5 млн до 50 млн руб. в год.

«Несмотря на важность применения программно-технических средств, статистика показывает, что человеческий фактор является наиболее частой причиной инцидентов ИБ. Поэтому создание и формирование зрелой функции ИБ в компании – это протяженный во времени процесс, занимающий значительный период времени: от двух до пяти лет, – рассуждает Хорошев. – За этот период выстраиваются ИБ-процессы и повышается уровень цифровой культуры в компании. 

Размер инвестиций в создание ИБ-подразделений будет зависеть от ряда исходных параметров, в том числе от количества сотрудников в организации, объема информационной инфраструктуры, который задействован в работе самой компании, перечисляет эксперт практики кибербезопасности «Технологии доверия» («ТеДо») Олег Валеев. Необходимо учесть, что на стоимость влияет общая логика импортозамещения, которой сегодня следуют многие крупные компании в России в различных областях, добавляет он: сильно возрос спрос на специалистов по ИБ, при этом наблюдается нехватка квалифицированных кадров. 

Замена СЗИ тоже потребует дополнительных затрат. Операторы связи используют много различных средств защиты, так как у них очень большая инфраструктура, объясняет собеседник «Ведомостей» в одном из операторов: помимо бэк-офиса это магистральные сети, сети уровня населенного пункта и «последней мили». Это как простые антивирусы и межсетевые экраны, так и более сложные, например SOC, DLP и т. д., перечисляет он. 

Проблемы в переходе на отечественные решения связаны с тем, что невозможно обеспечить бесшовный переезд с одного решения на другое, а также с отсутствием некоторых классов специализированной аппаратуры, необходимой для обработки больших потоков данных, характерных для сетей связи, уточнил собеседник «Ведомостей».

Что же касается сферы вещания, то переход на использование доверенных СЗИ, наоборот, поможет компаниям снизить затраты на софт, говорит еще один собеседник «Ведомостей» в одном из спутниковых операторов. За использование этих систем компании перечисляют иностранным вендорам ежегодно порядка $50 млн. При текущем курсе валют объемы этих платежей за последние полтора года выросли вдвое в рублевом эквиваленте, отмечает он.

В подготовке статьи участвовал Дмитрий Игнатьев