Большинство российских компаний считают существующее регулирование в области кибербезопасности уместным. Но каждое третье предприятие испытывает сложности с реализацией законодательных норм.
«Лаборатория Касперского» провела исследование среди ИТ- и ИБ-специалистов, которые вовлечены в процесс выполнения нормативных требований в области информационной безопасности, чтобы выяснить, какие трудности они испытывают. В опросе участвовали 100 представителей крупных российских компаний и госкорпораций.
Подавляющее большинство (81%) респондентов считают установленные требования оправданными. Тем не менее для каждой третьей организации полное выполнение норм кибербезопасности требует слишком больших ресурсов.
Трудности исполнения
В промышленном секторе относятся к выполнению норм информационной безопасности менее строго, чем в государственном и финансовом, но большинство требований выполняют. Основные причины трудностей при выполнении правовых норм ИБ для всех индустрий – недостаточная квалификация сотрудников (71%) и нехватка бюджета (69%).
Чаще всего низкая квалификация специалистов оказывается барьером для промышленных предприятий. В целом почти в каждой второй компании (45%) существуют трудности по обучению сотрудников и поддержанию их квалификации на должном уровне, а в 43% компаний – организационные и технические сложности при внедрении изменений, связанных с соблюдением законодательных норм в сфере информационной безопасности.
Источники информации
Компании ищут информацию о законодательных нормах в разных источниках. Основным (его используют 80% предприятий) являются известные общедоступные информационные системы. Другой источник таких знаний – профессиональные конференции и вебинары, об этом сообщили 71% респондентов.
Более половины (61%) составляют собственные базы с такой информацией, а 57% – ориентируются на консультации и материалы внешних экспертов. 38% обращаются к материалам ассоциаций и отраслевых объединений. Опрос показал, что специалисты из финансового сектора используют большее количество источников информации, чем представители других отраслей.
Средства защиты
В ходе опроса выяснилось, какие средства защиты компании используют для выполнения требований в области информационной безопасности.
Основной инструмент – средства антивирусной защиты (их используют 81% организаций). На втором месте – средства криптографической защиты (78%). В топ-5 входят инструменты для защиты электронной почты (70% организаций), сканер уязвимостей (входит в систему кибербезопасности 56% организаций) и средства анализа сетевого трафика (49%).
Значительная доля компаний применяют или планирует использовать более продвинутые классы решений, например, NGFW (44%) и SIEM (30%).
«Мы видим, что в целом отрасль считает достаточными текущие нормы регулирования, но испытывает определённые сложности с тем, чтобы соответствовать им. Компании используют разные источники информации в попытках чётко следовать инструкциям, мы же предлагаем единую удобную базу, уже зарекомендовавшую себя. Это наш ресурс – регуляторный хаб. В нём в простом и систематизированном виде представлены все нормативно-правовые акты и рекомендации по их выполнению. Платформа позволяет увидеть список требований к конкретной отрасли и узнать, как им следовать», – рассказала Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и СНГ.
