Любая отрасль имеет свою специфику, которая накладывает отпечаток на многие направления деятельности компании. В том числе и на GR — коммуникацию бизнеса с государственными органами и политическими структурами. Специфика индустрии кибербезопасности выражена настолько явно, что вносит в практику GR принципиальные изменения. И это делает его тем направлением, которое не просто позволяет более эффективно решать определенный круг вопросов, а во многом определяет всю работу компании. Если говорить о задачах, которые стоят перед GR, можно выделить пять основных направлений. Об этом рассказал GR-директор компании UserGate Сергей Петренко.

Лицензирование

Деятельность по обеспечению информационной безопасности в нашей стране жестко и в обязательном порядке лицензируется. Это основа бизнеса, без которой он не может существовать, а также потенциал для его расширения.

Набор лицензируемых видов деятельности в ИБ очень широк. К примеру, мы начинали с лицензирования разработки средств защиты информации под эгидой ФСТЭК. Теперь постепенно перечень лицензий расширяется за счет услуг в области ИБ, разработки новых видов решений. Одновременно мы получаем лицензии у других регуляторов, — на образовательную деятельность и др.

Деятельность в области информационной безопасности в России возможна только тогда, когда компания обладает внушительным пулом лицензий на соответствующие работы или услуги. Поэтому необходимо пополнять портфель лицензий и расширять действие существующих, чтобы выходить в новые ниши. Кроме того, не все лицензии являются бессрочными и их нужно продлевать, а для этого — проходить соответствующие проверки.

Сертификация

Сертификация средств защиты информации — логичное продолжение предыдущего направления. Для работы с большим количеством заказчиков, в том числе с самыми крупными и привлекательными, необходимы сертификаты российских органов. Российский рынок информационной безопасности очень серьезно зарегулирован. Это не хорошо и не плохо, это данность. Учитывая масштабы страны, сложную историю государства, непростую политическую обстановку, очевидно, что сфера ИБ, которая непосредственно влияет на безопасность страны, просто не может не быть зарегулированной. И на таком рынке невозможно занять заметное место, не продавая сертифицированные средства киберзащиты и не работая с теми сегментами, которые соблюдают указания регуляторов.

Основные регуляторы сферы ИБ в нашей стране — ФСТЭК России и ФСБ России. Их требованиям подчиняются все государственные организации, компании с государственным участием, а также коммерческие компании, обрабатывающие информацию определенного рода.

Первоначально сертификаты соответствия требовались для использования средств защиты в ГИС — государственных информационных системах, безопасность которые регулирует ФСТЭК. Потом появилась обязанность сертифицировать системы, которые хранят персональные данные, объекты критической информационной инфраструктуры, автоматизированные системы управления производственными и технологическими процессами. И уже не только государственные, а любые компании, обеспечивающие функционирование таких систем, приобретая средства защиты информации, будут требовать наличия у них сертификатов. Это может быть, к примеру, частная клиника — она хранит и обрабатывает специальные персональные данные (о состоянии здоровья). Это энергетика, которая управляет объектами КИИ. И такие компании могут работать в любой сфере экономики.

Кстати, становится все больше коммерческих компаний, которые, не подпадая под требования регуляторов, тем не менее покупают только сертифицированные продукты. Почему? Такая покупка становится заделом на будущее, потому что цикл жизни программно-аппаратного средства защиты у заказчика составляет около пяти лет (именно на этот срок выдается и сертификат, который впоследствии может быть продлен). Посредством этого клиент стремится заложить возможность использования продукта при изменении условий бизнеса — к примеру, на тот случай, если компания начнет обрабатывать персональные данные. И использование сертифицированного средства защиты информации будет легитимно, а компания не останется у разбитого корыта. О наличии обязательных деклараций соответствия (безопасности низковольтного оборудования, электромагнитной совместимости и т. д.) можно даже не упоминать.

Взаимодействие с министерствами и ведомствами

Эта область деятельности широко распространена в российском GR (но с оговоркой, что речь идет о взаимодействии с «гражданскими» ведомствами, а не регуляторами). В число основных контрагентов для ИТ-компаний входят Минцифры России и Минпромторг России. Конечно, ими список не ограничивается, так как есть еще Торгово-промышленная палата, Роскомнадзор и другие организации, но профильные министерства являются главными, они «заведуют» программными продуктами и аппаратной составляющей.

И для этого необходимо не просто провести работу по включению каждого нового продукта в соответствующий реестр, но и постоянно отслеживать изменения требований законодательства. Более того, в рамках взаимодействия с министерствами компании сами предлагают, какие изменения в требования к продуктам стоит внести на этапе публичных обсуждений новых нормативных актов. Все это — огромная работа, которая связана с подготовкой большого объема документов, проведением испытаний, отслеживанием соответствия продуктов требованиям и т. д.

Защита интеллектуальной собственности

Четвертое направление работы GR — защита результатов интеллектуальной деятельности. Если рассматривать на примере нашей компании, то мы начинали эту работу несколько лет назад с первых попыток патентования. Сегодня это отдельное направление деятельности, которая распространяется на многие подразделения, включая разработчиков, конструкторов, дизайнеров. Они на регулярной основе коммуницируют с патентным поверенным, который работает в GR-отделе.

На текущий момент существуют утвержденные регламенты, нацеленные на обязательную патентную защиту полезных моделей и изобретений, на основе которых UserGate выпускает свои решения. Помимо патентования для России мы также стремимся получать евразийские патенты в рамках Евразийской патентной конвенции (ЕАПК) — они необходимы для того, чтобы выходить на рынки соответствующих стран-участниц ЕАПК.

Работа с ассоциациями

Пятое направление чуть менее осязаемо и измерить его в количественных показателях сложно, если вообще возможно. Но от этого оно не становится менее важным. Это взаимодействие с отраслевыми ассоциациями. В интересующих нас сферах работают: Ассоциация разработчиков программных продуктов, РУССОФТ, Ассоциация предприятий компьютерных и информационных технологий, Ассоциация российских разработчиков и производителей электроники и многие другие. Я называю их «профсоюзом юридических лиц», в который компании объединяются для того, чтобы на равных общаться с государством.

Мы, пусть иногда и через жаркие дебаты, тем не менее вырабатываем консолидированную позицию и доносим ее до государства через соответствующую ассоциацию — независимую и нейтральную, не отражающую интересы какой-то отдельной компании. И это становится основанием для того, чтобы государство вело с нами конструктивный диалог. Государственным органам нет нужды выслушивать десятки или сотни представителей различных компаний. Они получают позицию всей отрасли, которая устраивает большинство компаний и в итоге выгодна всему рынку. Ассоциации выравнивают позиции разных игроков и делают диалог конструктивным.

Через ассоциации было проведено очень много хороших инициатив и скорректировано много спорных и иногда даже потенциально опасных. Позиции бизнеса и государства не всегда совпадают, и мы можем открыто обсуждать предлагаемые изменения, высказывать свое мнение и даже критиковать те инициативы, которые способны серьезно повредить развитию отрасли.

Скептик может заметить, что все перечисленное — обязательные сферы деятельности для множества компаний, а не только для тех, которые специализируются в области информационной безопасности или, более широко, ИТ. Да, действительно. Но опыт общения с коллегами по рынку и по сфере деятельности показывает, что очень часто ответственность за каждое из этих направлений работы разнесена между различными подразделениями, а политику компании в той или иной области определяют разные C-level менеджеры. И это очень серьезная ошибка.

По крайней мере в области высоких технологий и кибербезопасности влияние государства постоянно усиливается. Это естественный процесс: чем больше сфер жизни становятся зависимыми от «цифры», тем основательнее должно быть их регулирование, в том числе с точки зрения применения технологий и связанных с этим рисков. И вместе с этими процессами GR также становится более широким направлением работы, которая охватывает не только и часто даже не столько взаимодействие с регуляторами.

Фото: YandexART