
В рамках ИТ форума стран БРИКС (https://itforum.admhmao.ru/2025/) прошел обучающий семинар «Организация системы обеспечения ИБ в социально значимых организациях Ханты-Мансийского автономного округа — Югры» заместитель генерального директора ООО «Системная безопасность» высказал несколько неожиданных тезисов и обосновал их аргументами.
Коротко:
— низкий уровень компетентности сотрудников подразделений ИБ (ЗИ) и отсутствие менеджмента ИБ в этих организациях все чаще приводят к отрицательным эффектам (дополнительным уязвимостям и угрозам) от использования средств защиты информации, что фиксируется в ходе тестирований на проникновение (уязвимости возникаю в ходе нарушения конфигураций, настроек средств защиты информации, нарушений ТУ и т.д.) ;
— менеджмент ИБ в социально значимых организациях Югры находится на крайне низко организованном уровне, включая элементарное целеполагание и планирование деятельности организации по ИБ (ЗИ). Существующий уровень менеджмента ИБ не позволяет внедрить действенные процессы обеспечения ЗИ (от самых простых: внутреннего контроля в т.ч. конфигурации, разграничительных систем доступа сетевого уровня и до процедур реагирования на инциденты, модернизации объектов информатизации и т.п.)
— несмотря на тезисы выше такие организации продолжают получать аттестаты соответствия требованиям защиты информации, но в 99 процентах случаях не проходят даже простейшие тесты на проникновение, а также контроль со стороны проверяющих базовые требования специалистов Депцифры Югры и УФСТЭК России
— необходимо вернуться на этап целеполагания в области обеспечения ЗИ медицинских учреждений применяя все лучшие методы мышления, созданные человечеством за последние столетия (диалектика в т.ч. системное мышление, логика и т.п.) в частности критически осмыслить неудачи в области импортозамещения (перехода на отечественные операционные системы), определить противоречия между ИТ и ИБ задачами и решить их и многое другое, что годами не позволяет медицинским учреждениям создать действенные системы ЗИ медицинских информационных систем
— концепция нулевого доверия, внедряемая Депцифры Югры (в виде круглосуточного мониторинга событий и инцидентов) несмотря на все перечисленное выше дает свои результаты, но этого мало и инциденты будут расти, реагировать на них ситуативно и принимать решения индуктивно при наличии лучших практик и понятных эффективных мер в области ИБ и ЗИ не верно (хотя и лучше чем никак)