Небольшие российские банки повышают руководителей ИБ-подразделений до уровня зампредов правления

 Об этом сообщает "Коммерсантъ". Участники рынка отмечают, что такое решение гораздо проще и дешевле, чем переобучение топ-менеджмента. Кроме того, в последнее время на рынке не было достаточного количества курсов, позволяющих вооружить руководителей компетенциями, предусмотренными Указом Президента РФ № 250. Корреспондент "Коммерсанта" подчеркнул, что эксперты в области кибербезопасности активно обсуждают, как реализовать Указ Президента РФ № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации", изданный Владимиром Путиным в прошлом году. Согласно этому документу, члены советов директоров финансовых организаций должны иметь право обеспечивать кибербезопасность, включая выявление, предотвращение и нейтрализацию последствий кибератак, а также реагирование на инциденты кибербезопасности. Основная сложность реализации этого требования заключается в том, что руководители подразделений информационных систем банков должны соответствовать критериям, изложенным в Указе от 15 июля 2022 года. В число этих критериев входит наличие высшего образования в данной отрасли. В документе перечисляется ряд компетенций, предъявляемых к топ-менеджменту. Участники рынка отмечают, что Указ Президента 250 был издан более года назад и "никто не забыл". Однако документ не устанавливает сроков приобретения топ-менеджерами необходимых компетенций. Кроме того, до недавнего времени на российском рынке не существовало обучающих программ, позволяющих новым менеджерам получить необходимые знания и навыки. Центральный банк РФ заявил, что регулятор не выступает в качестве уполномоченного органа по контролю за выполнением требований Указа 250. Однако ЦБ РФ подчеркнул, что несоблюдение положений Указа ФСТЭК о квалификационных требованиях к работникам структурных подразделений безопасности влечет за собой административную ответственность. Александр Дворянский, директор департамента информационной безопасности и специальных решений группы компаний "Ситроникс", отметил: "Это открывает окно продвижения для менеджеров среднего звена и ставит их на передовую линию топ-менеджмента. Таким образом, руководители банков предоставляют своим сотрудникам нематериальные стимулы. Однако следует признать, что чем выше должность, тем выше ответственность за выполнение Указа Президента РФ № 250. Андрей Мишков, генеральный директор компании "ИТПРОТЕКТ", подчеркнул: "То, что руководитель департамента ИБ банка повышен до уровня заместителя председателя Совета директоров, означает, что полномочия по обеспечению информационной безопасности будут возложены на заместителя руководителя организации. Это является результатом реализации подпункта "а" первого пункта Указа Президента РФ № 250 "О дополнительных мерах по обеспечению информационной безопасности в Российской Федерации". Поскольку подпункт 3 части 1 статьи 274 Уголовного кодекса РФ предусматривает уголовное наказание в виде лишения свободы на срок до 10 лет за нарушение правил эксплуатации средств хранения, обработки и передачи защищаемой компьютерной информации в критических информационных инфраструктурах, то в принципе ни один из вице-президентов не согласен на введение такой обязанности. Нет. Вице-президенты также обязаны проходить соответствующее обучение по информационной безопасности, что не всегда приветствуется. В связи с этим правлению банка зачастую проще и экономичнее продвинуть на требуемую должность уже имеющегося сотрудника, обладающего необходимой квалификацией и опытом, чем искать среди вице-президентов человека, готового взять на себя этот аспект работы."