Указ «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» был подписан в мае 2022 года и действует со дня его официального опубликования. С этого момента прошло полтора года, однако вопросы о выполнении указа 250 и сегодня волнуют госсектор и бизнес.
Кто попадает под действие указа и что он должен делать? Как убедиться, что требования полностью соблюдены, и какая ответственность предусмотрена для нарушителей? Всё это разбираем в статье.
Указ президента 250 об информационной безопасности — это документ, который помещается на четырех стандартных страницах A4. Однако законодательный акт содержит несколько важных блоков информации для компании:
какие организации попадают под действие;
какое должностное лицо и структурное подразделение должны отвечать за информационную безопасность;
кому поручить аудит ИБ в организации.
Каждому из этих вопросов посвящен отдельный раздел статьи ниже.
Следующий блок указа президента о информационной безопасности 2022 года адресован Правительству РФ. Последнему предписывается создать положение об ответственном за ИБ заместителе руководителя организации и обеспечивающем безопасность структурном подразделении организации. К настоящему моменту и первый, и второй документ разработаны и опубликованы, поэтому их стоит считать важным дополнением к указу.
Адресованная Федеральной службе безопасности часть 250 указа президента РФ предписывает организовать аккредитацию центров, функционал которых будет включать обнаружение кибератак, а также ликвидацию их последствий. Службе также надлежит определить критерии проверки уровня защищенности инфоресурсов организаций и контролировать их соответствие требуемому уровню защищенности. Соответствующий приказ ведомство утвердило в мае 2023 года.
Наконец, заключительное положение указа 250 ИБ содержит требование о неиспользовании средств защиты информации из недружественных РФ стран с января 2025 года. Запрет распространяется на ПО, разработанное в таких странах, или на случаи, когда его компания-создатель находится под их юрисдикцией.
Первый пункт указа об информационной безопасности определяет этот круг так:
юрлица — субъекты КИИ;
государственные корпорации и фонды;
системообразующие организации в экономике РФ и те, чье создание регламентировано федеральными законами;
органы госвласти.
Через принадлежность к КИИ указ президента 250 «Информационная безопасность» касается очень многих ведомств и представителей бизнеса. Эксперт Алексей Лукацкий определил общее количество как 500 тысяч.
Антон Квардаков
Заместитель начальника отдела ТЗКИ Cloud Networks
Для вендоров и интеграторов однозначно увеличился объем поставок и выполняемых работ, несмотря на сложную экономическую ситуацию. Каждое предприятие, столкнувшись с задачами импортозамещения в относительно сжатые сроки выстраивает план реализации, оптимизируя его, в том числе обращаясь за помощью к интеграторам и экспертам. Для многих предприятий это вызвало шок и стресс, появилась необходимость оперативно перестраивать как утвержденные стратегии, так и многие бизнес-процессы.
Свою принадлежность к перечисленным в указе организация определяет самостоятельно. Помочь может перечень системообразующих предприятий экономики РФ и Федеральный закон «О безопасности критической информационной инфраструктуры». В последнем содержится перечень критически важных сфер деятельности.
Важная сложность, с которой столкнулись попадающие под действие 250 указа президента 2022 года компании и ведомства, — необходимость внести изменения в организационную структуру. Если в таковой отсутствовало подразделение, ответственное за информационную безопасность, штатное расписание пришлось изменить. И даже если данные обязанности возложили на IT-отдел, понадобилось передать множество документов — приказы, должностные инструкции и многое другое.
Необходимость выделить заместителя, который отвечает за информационную безопасность, также внесла свои коррективы. В типовом положении о данной должности закреплены подчинение непосредственно руководителю организации и обязательность исполнения его указаний в сфере обеспечения информационной безопасности для всех сотрудников. Для многих компаний это означает перераспределение приоритетов.
Максим Рубан
Руководитель направления ИБ платформы корпоративных коммуникаций и мобильности eXpress
Компании первостепенно видят в этом дополнительные финансовые расходы на бэк-офис и новую ответственность. С внедрением практики возложения персональной ответственности на руководителей организаций все чаще формируется активная позиция и заинтересованность в вопросах ИБ. Основной «маховик» этих действий – необходимость минимизации рисков для организации и своих собственных. В этот момент пересматривают бюджет и выделяют средства на информационную безопасность.
Во взаимодействие с подрядчиками в сфере информационной безопасности указ президента РФ 250 также внес существенные изменения. Документ прямо предписывает привлекать для ИБ-аудита, а также мероприятий по ликвидации последствий кибератак исключительно аккредитованные центры ГосСОПКА.
В декабре 2022 года ФСБ своим приказом определила трехлетний переходный период для этого требования. В течение него обнаружение, ликвидация и предупреждение кибератак возможно на основе договоров о сотрудничестве, заключенных с Федеральной службой безопасности.
Достаточно сложными для выполнения во многих компаниях считают требования по импортозамещению в указе президента 2022. Он отводит организациям чуть более 2,5 лет (с мая 2022-го по январь 2025-го) на полный отказ от использования средств защиты информации, разработанных в недружественных странах.
К моменту написания статьи из этого срока прошло уже более половины. Однако у многих организаций по-прежнему наблюдаются трудности с переходом на отечественное ПО.
Глеб Абрамов
Руководитель направления аудита информационной безопасности ITGLOBAL.COM Security
К сожалению, до сих пор это является огромным камнем преткновения у многих компаний. Подобрать и внедрить отечественные средства защиты информации, особенно в такой короткий срок, очень сложно, тем более при наличии большой и распределенной инфраструктуры. Также появляются проблемы с квалификацией специалистов, которые годами привыкали работать с другими решениями, де-факто являвшимися эталонами во всем мире. Сейчас им приходится обучаться новым и непривычным реализациям, не все из которых так же эффективны или удобны, как привычные решения.
Указ президента об информационной безопасности 2022 не предусматривает каких-либо санкций за его неисполнение. Однако полагать, что попадающие под действия документа организации могут игнорировать его требования, было бы большой ошибкой.
Последствия будут в том случае, если в организации произойдет какой-либо ИБ-инцидент. Причем не только для компании или ведомства, но и для ответственного за кибербезопасность руководителя лично. Получается тот самый случай, когда лучше подстелить соломки.
Евгений Баклушин
Руководитель направления аудитов и соответствия требованиям информационной безопасности компании УЦСБ
Если смотреть в лоб в административный и уголовный Кодексы РФ, то там не зафиксирована ответственность за неисполнение УП 250. Однако его неисполнение может привести к проверкам или инцидентам ИБ, которые будут связаны с теми статьями, которые уже зафиксированы в КоАП и УК РФ. Например, при неисполнении требований УП 250 вероятность возникновения инцидента на объекте КИИ вырастает, т.к. УП 250 сосредоточен на самых важных и узких местах. В случае, если инцидент ИБ повлечет за собой существенные последствия, то ответственность высока, вплоть до 10 лет лишения свободы.
250-й указ президента о кибербезопасности серьезно изменил реалии данной сферы. Опрошенные Cyber Media эксперты часто отмечают, что главной задачей документа было выделить главное и сконцентрировать усилия организаций на исполнении этих требований. Этого, несомненно, удалось достичь.
Сложности предсказуемо возникли с импортозамещением СИЗ и подготовкой кадров, которые будут умело использовать их на местах. Однако указ 255 стал своеобразным катализатором обоих направлений: бум наблюдается и ны рынке курсов для специалистов по ИБ, и в разработке отечественного ПО.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться