В этом видео Роман Шапиро, спикер BISS 2025, говорит о требованиях и вызовах к средствам защиты информации в условиях импортозамещения
Роман Шапиро, Руководитель дирекции информационной безопасности АО «Почта России», отмечает, что требования к средствам защиты информации — это универсальная вещь, потому что все организации абсолютно разные.
Универсальные требования — благо или барьер?
Задача, которая стоит перед регуляторами достаточно сложная — обеспечить единые требования для всех организаций, которые являются по сути своей разные по размеру, по формату и тем процессам, которые происходят внутри данных организаций. Требования не могут быть избыточными или неизбыточными, важна адекватность требований. Большая работа проделывается ФСТЭК, ФСБ и прочими регуляторами на почве унификации требований к средствам защиты информации для того, чтобы организация любого размера могла ими руководствоваться. СЗИ для малого бизнеса КИИ и выбор СЗИ для крупных организаций, КИИ отличается, и Роман отмечает, что организациям, которые ориентируются, в первую очередь, на рекомендации и требования регуляторов, достаточно использовать тот базовый набор мер и те базовые требования к СЗИ, которые уже предъявлены.
Текущее состояние импортозамещения СЗИ: успехи и «болевые точки»
Указ Президента Российской Федерации № 250 бесспорно предъявил требования, направленные на импортозамещение всех СЗИ.
Роман отмечает: «Основной, самый сложный и самый больной вопрос всегда касается обеспечения защиты информации для того оборудования, к нагрузке на которое предъявляются повышенные требования».
Т.е. это высоконагруженные каналы связи, защита междатацентровых соединений, защита высокоскоростных каналов связи.
Стратегии выбора решений: от платформы до пилотирования
По рекомендации Романа стоит опираться на однотипный подход при подборе СЗИ. Когда у коллег есть опыт в эксплуатации средств защиты информации, к примеру, одного вендора, расширять эту линейку значительно проще именно с точки зрения навыков взаимодействия с продуктами и решениями данного производителя. Соответственно, если мы говорим о платформенном подходе в ИБ, об эксосистемности решений одного вендора, данный подход применим для МСБ и организаций с упрощённой ИБ-архитектурой. Если говорим про крупные организации (КИИ, госкорпорации), то здесь, в первую очередь, приходится опираться не на платформу, а на функционал, который требуется для данной организации. Совет Романа — применять пилотирование перед внедрением.
Таким образом, требования к СЗИ — это универсальная вещь, и регуляторы на почве формирования единых требований к СЗИ проделывают огромную работу для того, чтобы организация любого размера могла ими пользоваться.
Полный ответ смотрите в видео и делитесь вашими комментариями и обратной связью в чате сообществе BISA.