Полтора года указу №250 об информационной безопасности. Вспоминаем: что, кому и как делать

Указ «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» был подписан в мае 2022 года и действует со дня его официального опубликования. С этого момента прошло полтора года, однако вопросы о выполнении указа 250 и сегодня волнуют госсектор и бизнес.

Кто попадает под действие указа и что он должен делать? Как убедиться, что требования полностью соблюдены, и какая ответственность предусмотрена для нарушителей? Всё это разбираем в статье.

О чем указ

Указ президента 250 об информационной безопасности — это документ, который помещается на четырех стандартных страницах A4. Однако законодательный акт содержит несколько важных блоков информации для компании:

• какие организации попадают под действие;

• какое должностное лицо и структурное подразделение должны отвечать за информационную безопасность;

• кому поручить аудит ИБ в организации. 

Каждому из этих вопросов посвящен отдельный раздел статьи ниже.

Следующий блок указа президента о информационной безопасности 2022 года адресован Правительству РФ. Последнему предписывается создать положение об ответственном за ИБ заместителе руководителя организации и  обеспечивающем безопасность структурном подразделении организации. К настоящему моменту и первый, и второй документ разработаны и опубликованы, поэтому их стоит считать важным дополнением к указу.

Адресованная Федеральной службе безопасности часть 250 указа президента РФ предписывает организовать аккредитацию центров, функционал которых будет включать обнаружение кибератак, а также ликвидацию их последствий. Службе также надлежит определить критерии проверки уровня защищенности инфоресурсов организаций и контролировать их соответствие требуемому уровню защищенности. Соответствующий приказ ведомство утвердило в мае 2023 года.

Наконец, заключительное положение указа 250 ИБ содержит требование о неиспользовании средств защиты информации из недружественных РФ стран с января 2025 года. Запрет распространяется на ПО, разработанное в таких странах, или на случаи, когда его компания-создатель находится под их юрисдикцией. 

Кто попадает под действие указа

Первый пункт указа об информационной безопасности определяет этот круг так:

• юрлица — субъекты КИИ;

• государственные корпорации и фонды;

• системообразующие организации в экономике РФ и те, чье создание регламентировано федеральными законами;

• органы госвласти. 

Через принадлежность к КИИ указ президента 250 «Информационная безопасность» касается очень многих ведомств и представителей бизнеса. Эксперт Алексей Лукацкий определил общее количество как 500 тысяч. 

Антон Квардаков

Заместитель начальника отдела ТЗКИ Cloud Networks

Для вендоров и интеграторов однозначно увеличился объем поставок и выполняемых работ, несмотря на сложную экономическую ситуацию. Каждое предприятие, столкнувшись с задачами импортозамещения в относительно сжатые сроки выстраивает план реализации, оптимизируя его, в том числе обращаясь за помощью к интеграторам и экспертам. Для многих предприятий это вызвало шок и стресс, появилась необходимость оперативно перестраивать как утвержденные стратегии, так и многие бизнес-процессы.

Свою принадлежность к перечисленным в указе организация определяет самостоятельно. Помочь может перечень системообразующих предприятий экономики РФ и Федеральный закон «О безопасности критической информационной инфраструктуры». В последнем содержится перечень критически важных сфер деятельности.   

Структурное подразделение и ответственное лицо 

Важная сложность, с которой столкнулись попадающие под действие 250 указа президента 2022 года компании и ведомства, —  необходимость внести изменения в организационную структуру. Если в таковой отсутствовало подразделение, ответственное за информационную безопасность, штатное расписание пришлось изменить. И даже если данные обязанности возложили на IT-отдел, понадобилось передать множество документов — приказы, должностные инструкции и многое другое.

Необходимость выделить заместителя, который отвечает за информационную безопасность, также внесла свои коррективы. В типовом положении о данной должности закреплены подчинение непосредственно руководителю организации и обязательность исполнения его указаний в сфере обеспечения информационной безопасности для всех сотрудников. Для многих компаний это означает перераспределение приоритетов.

Максим Рубан

Руководитель направления ИБ платформы корпоративных коммуникаций и мобильности eXpress

Компании первостепенно видят в этом дополнительные финансовые расходы на бэк-офис и новую ответственность. С внедрением практики возложения персональной ответственности на руководителей организаций все чаще формируется активная позиция и заинтересованность в вопросах ИБ. Основной «маховик» этих действий – необходимость минимизации рисков для организации и своих собственных. В этот момент пересматривают бюджет и выделяют средства на информационную безопасность.

Работа с подрядчиками

Во взаимодействие с подрядчиками в сфере информационной безопасности указ президента РФ 250 также внес существенные изменения. Документ прямо предписывает привлекать для ИБ-аудита, а также мероприятий по ликвидации последствий кибератак исключительно аккредитованные центры ГосСОПКА. 

В декабре 2022 года ФСБ своим приказом определила трехлетний переходный период для этого требования. В течение него обнаружение, ликвидация и предупреждение кибератак возможно на основе договоров о сотрудничестве, заключенных с Федеральной службой безопасности.

Сложности импортозамещения

Достаточно сложными для выполнения во многих компаниях считают требования по импортозамещению в указе президента 2022. Он отводит организациям чуть более 2,5 лет (с мая 2022-го по январь 2025-го) на полный отказ от использования средств защиты информации, разработанных в недружественных странах.

К моменту написания статьи из этого срока прошло уже более половины. Однако у многих организаций по-прежнему наблюдаются трудности  с переходом на отечественное ПО.

Глеб Абрамов

Руководитель направления аудита информационной безопасности ITGLOBAL.COM Security

К сожалению, до сих пор это является огромным камнем преткновения у многих компаний. Подобрать и внедрить отечественные средства защиты информации, особенно в такой короткий срок, очень сложно, тем более при наличии большой и распределенной инфраструктуры. Также появляются проблемы с квалификацией специалистов, которые годами привыкали работать с другими решениями, де-факто являвшимися эталонами во всем мире. Сейчас им приходится обучаться новым и непривычным реализациям, не все из которых так же эффективны или удобны, как привычные решения.

Что будет при несоблюдении указа

Указ президента об информационной безопасности 2022 не предусматривает каких-либо санкций за его неисполнение. Однако полагать, что попадающие под действия документа организации могут игнорировать его требования, было бы большой ошибкой.

Последствия будут в том случае, если в организации произойдет какой-либо ИБ-инцидент. Причем не только для компании или ведомства, но и для ответственного за кибербезопасность руководителя лично. Получается тот самый случай, когда лучше подстелить соломки.

Евгений Баклушин

Руководитель направления аудитов и соответствия требованиям информационной безопасности компании УЦСБ

Если смотреть в лоб в административный и уголовный Кодексы РФ, то там не зафиксирована ответственность за неисполнение УП 250. Однако его неисполнение может привести к проверкам или инцидентам ИБ, которые будут связаны с теми статьями, которые уже зафиксированы в КоАП и УК РФ. Например, при неисполнении требований УП 250 вероятность возникновения инцидента на объекте КИИ вырастает, т.к. УП 250 сосредоточен на самых важных и узких местах. В случае, если инцидент ИБ повлечет за собой существенные последствия, то ответственность высока, вплоть до 10 лет лишения свободы.

Итоги: перераспределение приоритетов

250-й указ президента о кибербезопасности серьезно изменил реалии данной сферы. Опрошенные Cyber Media эксперты часто отмечают, что главной задачей документа было выделить главное и сконцентрировать усилия организаций на исполнении этих требований. Этого, несомненно, удалось достичь.

Сложности предсказуемо возникли с импортозамещением СИЗ и подготовкой кадров, которые будут умело использовать их на местах. Однако указ 255 стал своеобразным катализатором обоих направлений: бум наблюдается и ны рынке курсов для специалистов по ИБ, и в разработке отечественного ПО.