Нормативки на тему ИБ стало на 25% больше
Главная » Новости

Нормативки на тему ИБ стало на 25% больше

Олеся Афанасьева 04 Апреля 2023 - 17:06
...
Нормативки на тему ИБ стало на 25% больше

Нормативных актов в сфере ИБ стало на четверть больше. Хотя в целом за год бюрократии в области кибербезопасности стало меньше почти на 12%. Не довели до ума в 2022 законопроект об оборотных штрафах за утечки.

В 2022 году власти выпустили 257 нормативных правовых актов, регулирующих сферы ИБ, ИТ и цифровую экономику. Это на 11,6% меньше в сравнении с предыдущим годом, говорится в исследовании экспертно-аналитического центра ГК InfoWatch.

Эксперты описывают законотворческую деятельность в прошлом году как “экстремальное законодательство”, когда интенсивный рост кибератак заставил государство пересмотреть свое отношение к информационной безопасности.

Большая часть нововведений касалась цифровой экономики, нормативная база которой менялась более чем в половине случаев (51,8%). Информационная безопасность по активности законодателей оказалась на втором месте с долей в 20,6%. Замыкает тройку лидеров категория “Биометрия и персональные данные” (10,9%). Заметные доли в 2022 году также получила безопасность КИИ (5,8%), и импортозамещение – 4,7%. В “хвосте” — аккредитация и экспертиза в сфере ИБ и ИТ.

Принятые нормативные правовые акты в области информационной безопасности и цифровой экономики, по направлениям

 

Большинство законодательных актов (67,7%) в 2022 году исходили от Правительства РФ, на долю Президента России и Минцифры пришлось 10,5% и 8,6% документов соответственно. ФСТЭК России и Роскомнадзор приняли примерно по 5% от всех документов.

 

Среди самых значимых инициатив в области ИБ специалисты выделяют:

  • президентский указ от 17 января 2022, по которому Минобороны наделяется полномочиями по определению политики в области международной информационной безопасности;
  • список информации, которая может быть использована иностранными организациями против безопасности Российской Федерации. Перечень расширило ФСБ России – теперь в него входят сведения об объектах КИИ.

В части безопасность КИИ и импортозамещения в исследовании отмечаются указы Президента:

  • Указ от 30 марта 2022 № 166 “О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации”. Документ запрещает закупку иностранного ПО для использования на значимых объектах КИИ РФ без согласования с уполномоченным органом.
  • Указ от 1 мая 2022 № 250 “О дополнительных мерах по обеспечению информационной безопасности Российской Федерации”. Он обязывает организации сформировать отдельные структурные подразделения, отвечающие за соблюдение ИБ. Также с 1 января 2025 года запрещается использование средств защиты информации, странами происхождения которых являются недружественные иностранные государства.

Важные изменения коснулись и действий с персональными и биометрическими данными:

  • Госдума приняла поправки о запрете принудительного сбора персональных данных в закон “О защите прав потребителей”.
  • 14 июля был подписан закон №325-ФЗ “О внесении изменений в статьи 14 и 14-1 Федерального закона “Об информации, информационных технологиях и о защите информации” и статью 5 Федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации”. Он обязывает организации передавать все получаемые биометрические данные в единую биометрическую систему. Ее создание и функционирование было также регламентировано в постановлениях Правительства РФ от 16 июня №1089 и №1066 и № 1067 от 15 июня.

По технологиям искусственного интеллекта эксперты отмечают рост поддержки компаниям, разрабатывающих системы ИИ. Минцифры вместе с Минэкономразвития России планируют создать программу их внедрения в важнейшие отрасли экономики. В конце прошлого года поручения Правительству относительно развития сферы ИИ на 2023 год дал президент.

Аналитический список ключевых документов, принятых в 2022 году, заканчивается законодательными актами о “суперреестрах”:

  • Согласно указу Президента РФ №854 “О государственном информационном ресурсе, содержащем сведения о гражданах, необходимые для актуализации документов воинского учета”, в единой базе будут содержаться персональные данные о гражданах, состоящих на воинском учете, включая информацию об их имуществе, состоянии здоровья, месте работы и т.д.
  • С 1 января 2023 года персональные данные Единого федерального информационного регистра стали доступны органам власти через систему межведомственного взаимодействия.

Больше всего инициатив в 2022 году было предложено на тему регулирования цифровой экономики (34%), на втором месте расположились биометрия и персональные данные с долей в 21,1%, на третьем – законодательные акты в сфере импортозамещения (15% от общего количества).

В числе инициатив аналитики отмечают:

  • Проект приказа ФСТЭК “О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235”.
  • Проект основ государственной политики в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
  • Подготовка законопроекта о введении оборотных штрафов за утечки персональных данных клиентов, подразумевающий увеличение штрафа за инцидент с 1% от её годового оборота до 3%. Его подготовка вызывает споры на рынке и тянется с мая прошлого года. В середине марта документ был наконец отправлен в Госдуму.
  • Минцифры России предложило проекты постановлений, регулирующих трансграничную передачу персональных данных во исполнение 266-ФЗ от 14.07.2022. Теперь компании будут обязаны уведомить Роскомнадзор о планах на отправку информации через границу, а ведомство сможет ограничивать передачу данных при достаточном обосновании от Минобороны, ФСБ России, МИД России и других органов власти.
  • Предложены требования по оценке ущерба субъектам персональных данных, которую будет проводить оператор ПДн (инициатива была принята 29 ноября 2022 года).
  • В Госдуму внесен законопроект, регламентирующий условия использования цифровых криптовалют, что позволит государству получать налоги с их оборота.

В рамках исследования эксперты InfoWatch изучили 20 тыс. нормативных правовых актов и их проектов. В итоге за период 2021-2022 было отобрано более 1 тыс. актов, которые относятся к области информационной безопасности, обеспечения безопасности персональных данных, импортозамещения в сфере ИТ и цифровой экономики в целом.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ИБ-рынку не хватает до 100 тыс. кадров, компании готовы платить больше
Олеся Афанасьева 06 Июня 2025 - 11:17
Соответствие законодательству РФ Общее
ИБ-рынку не хватает до 100 тыс. кадров, компании готовы платить больше

Компании готовы платить до 36% больше за компетенции специалистов по кибербезопасности с опытом более шести лет — в зависимости от их специализации. На фоне изменений в технологическом стеке особенно растёт спрос на экспертов по безопасной разработке, защите облаков, интеграции ИИ в ИБ и другим высокоуровневым направлениям.

Таковы ключевые выводы нового исследования, проведённого ГК «Солар» совместно с hh.ru. Зарплаты, компетенции и реальность рынка обсуждали в рамках сессии ЦИПР’25 «Кибербез 2030. Навыки востребованного специалиста».

Анализ рынка показал явный разрыв между ожиданиями соискателей и предложениями работодателей:

Категория Предлагаемая ЗП Ожидаемая ЗП Разрыв
Без опыта 56 600 ₽ 60 000 ₽ –6%
1–3 года опыта 90 500 ₽ 100 300 ₽ –10%
3–6 лет опыта 158 900 ₽ 150 100 ₽ +6%
6+ лет опыта 259 200 ₽ 190 500 ₽ +36%

Несмотря на рост зарплат, рынок по-прежнему испытывает острый кадровый дефицит. Проблема не в количестве размещённых резюме — а в нехватке специалистов с нужными компетенциями и опытом.

По разным оценкам, нехватка кадров в сфере ИБ составляет от 50 до 100 тысяч человек. Работодатели готовы платить больше — но тем, кто обладает актуальными знаниями и может быстро включиться в работу. Таких кандидатов — меньшинство.

Половина специалистов уровня middle не проходит техсобеседование

«Мы видим это и в “Соларе”, и у наших заказчиков, — говорит Никита Обидин, директор по развитию образовательных программ ГК “Солар”. — Лишь 40–50% кандидатов уровня middle успешно проходят техническое интервью. У senior-уровня показатели выше — 70–80%.»

 

Что ценится на рынке?

Работодатели готовы предлагать зарплаты выше рынка, если кандидат обладает релевантным опытом и навыками, подчёркивает Обидин.

«Навыки устаревают стремительно, а учебные программы не успевают за рынком. Это и создаёт разрыв между тем, что нужно бизнесу, и тем, чему учат», — добавляет Татьяна Фомина, директор по ИТ и кибербезопасности hh.ru.

Среди факторов, формирующих рынок труда в ИБ, — перекос в сторону универсальных ролей. Например, на долю вакансий “Специалист по информационной безопасности” приходится 25%, тогда как востребованные позиции вроде DevSecOps составляют лишь 4%.

По оценкам аналитиков, лишь немногие кандидаты владеют современными инструментами — Kubernetes, CI/CD, архитектурными подходами, управлением проектами и навыками работы с облачными платформами.

Образование отстаёт на 3–4 года

«Ситуацию можно исправить, если перейти к ролевой модели обучения — через компетенции и участие практиков из отрасли», — считает Обидин.

В интервью Anti-malware.ru он уточняет:

«Фундаментальное образование в ИБ отстаёт от реальных требований на 3–4 года. Мы компенсируем этот разрыв через стажировки, менторство и практико-ориентированные треки».

Чем раньше студент попадает в реальную компанию, тем лучше, убеждён эксперт. Это даёт возможность сразу понять специфику работы и выбрать вектор развития.

«Например, в “Соларе” ежегодно проходят стажировки по 10 направлениям. Программа существует уже несколько лет, в 2024 году через неё прошли более 2,5 тысяч человек. Сотни из них остались в компании. Мы создаём экосистему для молодых специалистов, где они получают практику и строят карьеру в ИБ», — добавляет он.

ИБ — не надстройка над ИТ, а её часть

Алексей Волков, вице-президент по ИБ в «Билайне», считает, что ИБ и ИТ нельзя рассматривать как отдельные направления. В беседе с Anti-malware.ru он подчёркивает: эти функции тесно связаны технологически и организационно.

«Информационная безопасность — это тоже ИТ. Она должна жить по тем же принципам, предлагать бизнесу понятные решения и не мешать работе ИТ», — поясняет Волков.

 

Он выделяет три типа ИБ-инструментов: размещаемые в разрыв ИТ-инфраструктуры, надстраиваемые сверху и работающие параллельно.

«Для первых двух особенно важна надёжность. ИБ напрямую влияет на устойчивость всей ИТ-инфраструктуры», — говорит вице-президент по ИБ «Билайна».

«На самом деле firewall — это тоже сетевое устройство, а агент — это обычное приложение. Всё это — часть ИТ-среды. Поэтому ИТ-специалист должен понимать ИБ, и наоборот».

Кто отвечает в случае инцидента?

«ИБ — за безопасность, ИТ — за надёжность. Но в начале инцидента не всегда ясно, в чём причина. Например, DDoS или сбой фаервола? Если проблема в надёжности — отвечает ИТ. Но если фаервол был неправильно настроен — ответственность на ИБ».

«Безопасность влияет на доступность и бизнес-показатели. Значит, и метрики ИБ должны быть как у ИТ: SLA, удовлетворённость, скорость реакции», — подытоживает Волков.

Как бороться с выгоранием?

«Главная причина выгорания в ИБ — ощущение “невидимого результата”. В ИТ релиз — и команда получает признание. В ИБ — если ничего не случилось, значит, “повезло”. Хотя это тоже результат».

«Нужен продуктовый подход: метрики, внутренние клиенты, обратная связь. Это создаёт чувство ценности работы», — заключает он.

Что дальше?

Исследование hh.ru и ГК «Солар» показало:

  • Компании готовы платить больше — но за подтверждённые навыки;
  • Один только уровень зарплаты уже не решает — важны практика и встроенность в бизнес;
  • Ключевой барьер — разрыв между подготовкой специалистов и реальными потребностями рынка.

Рынку кибербезопасности требуется устойчивая инфраструктура развития компетенций. Без неё даже самые большие бюджеты не спасут от утечек, простоев и провалов SLA.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Число атак на финансовые институты России возросло более чем в два раза
Новость
Число атак на финансовые институты России возросло более чем...
Почти 40% россиян никогда не меняли пароль на домашнем роутере
Новость
Почти 40% россиян никогда не меняли пароль на домашнем роуте...
Akamai раскрыла опасную дыру в Windows Server 2025 до выхода патча
Новость
Akamai раскрыла опасную дыру в Windows Server 2025 до выхода...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.