Рост требований в ИБ: как компаниям не отстать от регуляторов

Рост требований в ИБ: как компаниям не отстать от регуляторов

Андрей Бондюгин, директор по сопровождению проектов промышленной безопасности «Лаборатории Касперского», рассказал РБК, как бизнесу выстраивать работу в условиях усиления регулирования информационной безопасности.

Причины усиления регулирования

Регуляторы ужесточают требования на фоне роста количества и сложности кибератак. В атаках применяются новые подходы, включая использование технологий искусственного интеллекта для автоматизации вредоносной активности. Одновременно такие же технологии используются и для защиты. В этих условиях регуляторы обновляют требования с учетом изменений инфраструктуры, моделей угроз и накопленного опыта. Текущий этап связан с пересмотром нормативной базы, сформированной в середине 2010-х годов, и ее адаптацией к современным реалиям.

Контроль подрядчиков и влияние на рынок

Одним из заметных изменений стало введение обязательного контроля подрядчиков в рамках приказа 117 ФСТЭК России. Это решение связано с ростом атак на цепочки поставок. По данным «Лаборатории Касперского», более 30% кибератак за последний год были выстроены именно этим путем.

Для малого и среднего бизнеса это означает появление новых задач. Компании должны учитывать риски, связанные с внешними партнерами, и отлаживать соответствующие процессы. Отказ от работы с информационной безопасностью может привести к снижению конкурентоспособности. Развитие компетенций в этой области, напротив, формирует дополнительные возможности для бизнеса.

Крупные компании уже имеют выделенные функции комплаенса. В сегменте малого и среднего бизнеса такие ресурсы чаще отсутствуют, поэтому возникает необходимость либо развивать внутреннюю экспертизу, либо привлекать внешних специалистов. 

Как проверять соответствие требованиям

Подход к подтверждению соответствия зависит от отрасли. Для государственных организаций предусмотрена аттестация информационных систем, которая задает понятный механизм проверки выполнения требований.

В других сферах, включая защиту объектов критической информационной инфраструктуры, обязательная аттестация не применяется. В таких случаях компании могут обращаться к профильным вендорам и интеграторам. Их практический опыт помогает определить необходимые меры и корректно выстроить процессы.

Андрей подчеркивает, что участие экспертов с практическим опытом позволяет снизить риски неправильной интерпретации требований и ускорить внедрение необходимых изменений.

Инструменты для упрощения работы

Для системной работы с нормативной базой «Лаборатория Касперского» развивает собственные решения. Одним из таких инструментов стал бесплатный «Регуляторный хаб» — онлайн-портал с актуальными требованиями федеральных и отраслевых регуляторов.

Информация в базе структурирована и изложена простым языком. Это позволяет использовать ресурс как специалистам по информационной безопасности, так и руководителям бизнеса. Платформа также содержит практические рекомендации по внедрению процессов и технологий, необходимых для выполнения требований.

По данным компании, ежемесячная аудитория ресурса составляет около 4 тысяч пользователей. Ожидается, что интерес к таким инструментам будет расти по мере усложнения нормативной среды и увеличения требований к бизнесу.