Здравствуйте, коллеги! Мой доклад непосредственно про аналитику, т.е. это то, с чем мы сталкивается в процессе своей работы непосредственно на стороне государственных заказчиков в части обеспечения безопасности объектов КИИ. Как сегодня было правильно упомянуто, одной из основных проблем мы считаем это проблема компетенций – безусловно компетенция сотрудников на местах. Во что это обычно превращается? Совсем недавно был такой случай, когда на одном из объектов атомной отрасли человек, ответственный за безопасность, нам сказал, что: «Ребята, я старорежимный человек, мне важно, чтоб бумажки были в порядке. Вопросы ТЗИ, понятно, это важно, это актуально, но мне надо, чтобы были в порядке бумажки».

К чему это обычно приводит дальше? Когда мы говорим с вами об обеспечении безопасности объектов КИИ, мы подразумеваем, что это действительно какая-то критически важная инфраструктура, и выведение из строят этой критически важной инфраструктуру может привести действительно к критическим последствиям. Это не персональные данные. То, что произошло хищение персональных данных, это тоже плохо, это тоже собственно может нанести какой-то определенный вред. Но здесь объект, по отношению к которому совершается преступление, все-таки человек, т.е. какая-то личность, какой-то субъект. Здесь же мы с вами говорим о безопасности целых, давайте так, предприятий – оборонных предприятий. И когда такое происходит на оборонных предприятиях либо на каких-то других объектах, других отраслей, это, конечно, не серьезно. Совсем несерьезно.

Это первая проблема. Вторая проблема, с которой мы опять же сталкиваемся. По роду своей деятельности, мы также участвуем в различных оперативно-розыскных группах, т.е. оказываем содействие определенным органам и структурам, и, собственно, проводим аудиты тех работ, которые осуществляли другие подрядчики. И, конечно, вторая проблема – это недобросовестность этих самых подрядчиков-исполнителей, которые пользуются, собственно говоря, некомпетентностью самих заказчиков и на этом каким-то образом совершают абсолютно неправомерные вещи.

Тоже хочу привести примеры. Совсем недавно, абсолютно недавно, в одном из ведомств, не буду говорить в каком, заказчик категорировал себя как объект КИИ, потратил на это 24 млн рублей – на закупку средств защиты 24 млн рублей. Это детекторы атак, это подключение …, это система обнаружения вторжений и т.д. В итоге ответ от ФСТЭК пришел, что вы не объект КИИ. Все. Куда делись деньги? Зачем вы их туда потратили? При выяснении подробностей выясняется, что это позиция не заказчика, это позиция-то, на самом деле, исполнителя. Поскольку исполнителю важно что? Продать. Недобросовестному исполнителю. Как она будет дальше работать, особо никого не волнует.

И, к сожалению, это тенденция. Я бы не говорил об этом так уверенно, если бы не видел этих. Это правда ужасно. Когда мы с вами говорим об обеспечении безопасности, мы затрагиваем какие-то юридические стороны, нормотворческие стороны, но мы не смотрим практический смысл того, что происходит там на стороне, у заказчика. А там происходит ужас, и корень всего этого ужаса – это безусловно компетенция, т.е. низкий уровень компетенции сотрудников именно по обеспечению безопасности объектов КИИ.

Если с персональными данными, это уже какой-то пройденный маршрут, есть какие-то методики, есть какие-то материалы в Интернете даже в открытом доступе, т.е. даже человек, который особо не владеет предметом, он может разобраться при большом желании в этом во всем за какой-то полгода, допустим. Давайте возьмем абстрактно полгода. То тема КИИ, она относительно новое и собственно материалов не так много и особо о ней никто разговаривать не хочет. Некоторые, зная, что они объекты КИИ, они не хотят категорироваться, говорят: «Зачем?! Мы же потом будем в пределах Уголовного кодекса нести ответственность. Сейчас пока ВПО». И это аргумент для заказчиков, и это тоже страшно. Страшно и печально.

Какие могу быть возможные последствия для предприятий, входящих в состав ассоциации? К сожалению, пока есть и, скажем так, недобросовестные подрядчики, и пока есть некомпетентные сотрудники, никто не может быть защищен от таких вещей, как собственно я сейчас сказал. Поэтому собственно чего хотелось бы, наверное, изменить к лучшему. Как обычно выходят из таких ситуаций? Первый – это централизация, т.е. все централизовывают. У нас есть некий центр компетенций где-то, допустим, у нас в Москве или где-то еще центральный филиал, там находятся самые компетентные, высочайшего класса сотрудники, которые собственно управляют абсолютно всей системой защиты информации удаленных объектов удаленно, и им в этом помогать специалисты менее высокого класса, которые находятся в регионах.

Когда мы говорим с вами о специалистах менее высокого класса, мы должны понимать, что это совсем невысокий класс, т.е. это человек, извините, я назову вещи своими именами, человек, который способен передвигаться туда-сюда и говорить то, что ему говорят по телефону, т.е. он не в состоянии принимать какие-то аналитические решения. Когда мы с вами говорим о системе защиты, это экосистема, которая каждый день работает, каждый день развивается, каждый день чего-то фиксирует и на это нужно реагировать. Когда мы идём по пути централизации, мы по сути компетенции в регионах убираем, сравниваем на нет и это основная проблема.

Та самая управляемая централизация, которая была в начале, когда мы только эту систему защиты создали централизованную, она через полгода – через годик станет абсолютно неуправляемой. Потому что, опять же по опыту, большие системы от 5 000 пользователей там есть и … системы, там есть различные системы обнаружения вторжений – создан такой ситуационный центр, красивый, хороший с мониторами, но им пользуются 2-3 месяца, а потом все это как-то потихоньку, потихоньку приходит в состояние неактуальности. И это тоже тенденция, к сожалению.

Каким образом можно выйти из этой ситуации? Это централизация, но частичная, т.е. что-то мы обязательно должны централизовывать, но что-то мы обязательно должны децентрализовать однозначно, для того чтобы повысить уровень компетентности сотрудников на местах, там далеко, где-то в Челябинске, в Воронеже, в Калининграде – где угодно. Человек должен понимать, что у него есть на что опереться в своей работе, т.е. как правильно коллеги сегодня говорили, какие-то методические рекомендации, методология какая-то, которой он будет следовать. Это первое. И второе, он должен понимать, что, на самом деле, его будет проверять не только какой-то ФАИФ, его будет проверять какая-то, может быть, даже внутренняя служба, которая будет расследовать возможные нарушения этой методологии.

В таком случае возможно изменить, переломить этот самым главный барьер компетенций. Барьер компетенций – человек не хочет расти, он не хочет расти, ему незачем. У него в центре сидит целая группа высочайших специалистов, зачем ему куда-то расти? Все происходит без него, все автоматизировано. Поэтому что мы хотим предложить для решения этих моментов?

Разработать проект единой политики в области обеспечения безопасности объектов КИИ для предприятий, входящих в состав Ассоциации, который будет включать в себя собственно вопросы методологического обеспечения, вопросы обеспечения безопасности, вопросах категорирования, т.е. все, что связано с нормами действующих нормативно-правовых актов, то, что касается непосредственно отраслевых аспектов. Проработать отраслевые тонкости, потому что оборонные предприятия, мы с вами понимаем, это не, скажем так, какой-то завод по производству чего-либо, это достаточно сложная история, в которую нужно действительно погружаться.

Это первый момент. И второй момент – сформировать перечень предложений по реализации мероприятий, направленных на снижение значимости сдерживающих факторов, как следствие возможного причинно-следственного ущерба. Сдерживающими факторами я называю здесь непосредственно две вещи – это компетенции сотрудников со стороны государственного заказчика и собственно второй сдерживающий фактор – это недобросовестные исполнители.