В 2019 году запланированные расходы заказчиков на ИБ увеличились в среднем на 20%, то есть рынок должен был бы вырасти, однако объёмы средств, действительно потраченных и заработанных участниками рынка, не превышают показатели прошлого года, сообщили журналистам в четверг на пресс-конференции представители компании Positive Technologies.
Причина неисполнения бюджетов в большинстве случаев состоит в неэффективности бюрократических процедур: компании просто не успевают закупить те средства защиты, которые запланированы или необходимы, сообщили эксперты.
Объем рынка в абсолютном выражении назван не был – по данным отечественных ИБ-специалистов, его объём оценивается от 67 до 79,5 миллиарда рублей.
В Positive Technologies отмечают, что задачи реальной безопасности все чаще находят отражение в инициативах регуляторов: на практическую безопасность нацелены последние требования, стандарты и нормативы Центробанка, ФСБ, ФСТЭК.
В частности, в 2019 году ключевые изменения произошли в законодательстве в области защиты объектов критической информационной инфраструктуры (КИИ), а также в нормативных документах Центробанка и ФСБ. Самое важное в КИИ — новые методические документы, которые определяют порядок взаимодействия субъектов КИИ с Национальным координационным центром по компьютерным инцидентам (НКЦКИ). В них разъясняется, о каких инцидентах сообщать, какую информацию передавать, в какой срок.
Появилось понятие средств ГосСОПКА, сформулированное в приказах ФСБ № 196, 281, 282. В них описаны инструменты, которые должен использовать центр ГосСОПКА. Кроме того, были опубликованы конкретные требования к субъектам ГосСОПКА, и это уже не рекомендации, а обязательные для исполнения документы. Начала складываться практика привлечения к ответственности по ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей»), но пока только по поводу очевидных вещей: наказывают за атаки на субъекты КИИ и за серьезные нарушения должностных инструкций.
В следующем году также ожидается проработка изменений закона № 187-ФЗ, в котором будут скорректированы неоднозначные термины и формулировки. Разрабатываются и методические документы ФСТЭК по анализу угроз в информационных системах.
В следующем году вступят в силу три положения для платёжных сервисов. С 1 января 2020 года финансовые организации должны использовать софт, у которого есть либо сертификат ФСТЭК, либо свидетельство о прохождении анализа уязвимостей.
Чтобы убрать неопределённость и расплывчатость в требованиях к анализу защищённости, в этом году технический комитет Центробанка (ТК № 122) разработал проект методического документа «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций», где подробно расписывается, как именно нужно проводить анализ уязвимостей приложений. Для России это первый опыт обязательного нормативного документа, подобная конкретизация была только в системе сертификации, отмечают эксперты.
Отмечено и появление закона о «суверенном Интернете»: это первый случай, когда федеральный закон обязывает коммерческие компании (в данном случае — операторов связи) проводить киберучения, говорят в Positive Technologies. Раньше никто не обязывал компании в такой форме оценивать, насколько система способна противодействовать атакам. Аналогичное требования к владельцам значимых объектов КИИ появилось в нормативных документах ФСБ (владельцы значимых объектов КИИ обязаны составлять планы реагирования на инциденты и отрабатывать их в ходе учений). Если раньше киберучения проводились в организациях с высоким уровнем зрелости, то в ближайшие два-три года они будут проводиться в очень многих компаниях: эти требования касаются всех операторов КИИ.
