- Главная
- Ресурсы
- Новости
- Комментарии Аналитического центра УЦСБ к Указу Президента о дополнительных мерах по обеспечению ИБ
Первого мая Президент России подписал указ № 250, направленный на обеспечение информационной безопасности ряда ключевых компаний России. К таким компаниям относятся некоторые органы власти, предприятия с государственным участием, субъекты критической информационной инфраструктуры (КИИ), стратегические и системообразующие организации. Рассмотрим подробнее положения принятого указа и выясним, что именно нужно делать компаниям. Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ) официально вступил в силу со дня его опубликования, т. е. выполнять его требования необходимо уже с 1 мая 2022 г. Указ нацелен на повышение уровня информационной безопасности критически важных организаций РФ.
Какие организации подпадают под действие Указа? Ряд мер по повышению уровня безопасности информационных ресурсов необходимо выполнить следующим органам (организациям):
На момент написания комментариев обязательные требования по подключению организаций к центрам ГосСОПКА отсутствуют. Однако ряд субъектов КИИ (организаций) принимает такое решение в случае необходимости и (или) при наличии решения об обязательном подключении к ГосСОПКА от вышестоящих организаций, госорганов, министерств.
4. Организациям из перечня ключевых необходимо провести оценку уровня защищённости своих информационных систем до 1 июля 2022 г. и представить её результаты в Правительство РФ. Перечень ключевых органов (организаций) будет определён Правительством РФ в месячный срок со дня выхода Указа. Порядок, правила и критерии оценки уровня защищённости на текущий момент не определены. К оценке необходимо привлекать подрядные организации – лицензиаты ФСБ России и ФСТЭК России.
Перечень необходимых лицензий подрядной организации нужно определить на основании видов обрабатываемой информации в ИС (наличия сведений составляющих государственную тайну). При отсутствии гостайны в области работ достаточно лицензии ФСТЭК России по технической защите конфиденциальной информации, а при наличии — необходимо привлекать организации, которые имеют лицензии ФСБ России и ФСТЭК России на оказание услуг по защите гостайны.
Отметим, что по тексту Указа определена только оценка уровня защищённости ИС организаций. При этом объектами КИИ в соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ могут быть не только ИС, но и информационно-телекоммуникационные сети, автоматизированные системы управления. Включение иных объектов информационной инфраструктуры, отличных от ИС, в границы оценки уровня защищённости остаётся под вопросом. Предполагаем, что Правительство РФ также в дальнейшем разъяснит перечень объектов, в отношении которых надо будет проводить такую оценку уровня защищённости.
5. Организациям необходимо обеспечить постоянный мониторинг рекомендаций по нейтрализации актуальных угроз ИБ, которые им направляют ФСБ России и ФСТЭК России, с незамедлительной реализацией предписанных организационных и технических мер. Также организациям стоит быть готовыми к предоставлению доступа (в том числе удалённого) ФСБ России к информационным ресурсам в целях осуществления мониторинга защищённости. По результатам такого мониторинга потребуется исполнение указаний ФСБ России, при их наличии. Отметим, что в соответствии со ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ субъекты КИИ и ранее должны были оказывать содействие ФСБ России в деятельности связанной с компьютерными инцидентами и атаками.
Что насчет импортозамещения? Ещё 30 марта текущего года были введены ограничения на приобретение иностранного оборудования и программного обеспечения для субъектов КИИ, которые осуществляют закупки по Федеральному закону от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц», в соответствии с Указом Президента от 30.03.2022 № 166 (с комментариями аналитического центра УЦСБ к упомянутому документу можно ознакомиться по ссылке). С 1 января 2025 г. организациям запрещается использовать средства защиты информации, произведённые в недружественных государствах либо организациями под их юрисдикцией, прямо или косвенно подконтрольными им либо аффилированными с ними.
Сейчас в перечень иностранных государств и территорий, совершающих в отношении России, российских компаний и граждан недружественные действия, включено 21 государство, а также все государства – члены Европейского Союза. Например, оборудование американского производства потенциально будет запрещено к использованию. На первый взгляд, средства защиты из Израиля или Китая под такие запреты не подпадают, однако при выборе иностранных решений для защиты информации необходимо не только обращать внимание на страну-производителя, но также проверять аффилированность компании (состав собственников, членов органов управления, лиц имеющих право распоряжаться общим количеством голосов).
Резюмируя, можно сказать, что организациям сейчас нужно провести работы по распределению ответственности за обеспечение ИБ на должностных лиц. В дальнейшем, при необходимости, понадобится привести распорядительные документы о должностных обязанностях ко введённым Правительством РФ нормам. Также необходимо осуществлять мониторинг нормотворческой деятельности Правительства РФ по части выполнения распоряжений Указа и, в случае включения организации в состав ключевых органов (организаций), оперативно провести работы по оценке защищённости информационных ресурсов.
Организациям рекомендовано начать инвентаризацию эксплуатируемого оборудования с выявлением иностранного аппаратного и программного обеспечения, средств защиты информации, с планированием перехода на преимущественное использование отечественных разработок. Также необходимо провести работы по анализу привлекаемых подрядных организаций в области ИБ на наличие у них необходимых лицензий, в дальнейшем — на наличие аккредитации у центров ГосСОПКА. Компаниям в текущей ситуации необходимо быть готовыми к оперативному взаимодействию с регулирующими органами (ФСБ России, ФСТЭК России) и выполнению их указаний.
Наши специалисты рассмотрят заявку и свяжутся с вами в ближайшее время
Наши специалисты рассмотрят заявку и свяжутся с вами в ближайшее время
Наши специалисты рассмотрят заявку и свяжутся с вами в ближайшее время
Наши специалисты рассмотрят заявку и свяжутся с вами в ближайшее время