Определяем текущее состояние ИБ и даем рекомендации по улучшению уровня защиты
Помогаем обеспечить выполнение требований 152-ФЗ по защите персональных данных
Отчет с рекомендациями и дорожная карта для выполнения требований Указа №250
Проведем категорирование объектов, подготовим ОРД и поможем обеспечить безопасность КИИ
Курсы информационной безопасности для вас и ваших сотрудников
Услуги:
Статьи:
Аттестация объектов информатизации и подключение к ГИС
Поиск путей проникновения внешнего нарушителя во внутреннюю сеть
Экспертный анализ и оценка уровня защищенности инфраструктуры
Анализ защищенности от атак с доступом к локальной сети организации
Услуги:
Статьи:
Анализ защищенности от атак с эксплуатацией уязвимостей веб-ресурсов
Симуляция атак с использованием методов социальной инженерии
Анализ защищенности от атак с эксплуатацией уязвимостей мобильных приложений
Реализация требований ГОСТ Р 57580.1 , начиная с аудита и заканчивая построением системы защиты
Проводим оценку рисков ИБ для организации, вероятность их реализации и степень допустимости
Проводим аудит по требованиям Положения 716-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положений 787-П и 779-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положения SWIFT CSCF, готовим отчёт и комплект ОРД
Статьи:
Услуги:
Полный комплекс работ по обеспечению информационной безопасности КИИ
Защита автоматизированных систем управления технологическими процессами
Готовим документы для выполнения требований по защите ПДн (152-ФЗ)
Обеспечение соответствия Приказам ФСТЭК № 235 и № 239
Поможем выполнить требования Указа № 250 Президента Российской Федерации
Оценка и подтверждение соответствия объектов информатизации требованиям безопасности
Услуги:
Статьи:
Внедрение и сопровождение IDM, аудит прав доступа, построение ролевой модели
Внедрение и поддержка средств мультифакторной аутентификации
Внедрение и поддержка систем контроля привилегированных пользователей
Услуги:
Услуги:
Статьи:
Проектирование, внедрение, поддержка систем защиты конечных точек
Проектирование, внедрение, поддержка систем защиты конечных точек от комплексных угроз
Проектирование, внедрение, поддержка систем Extended Detection and Response
Услуги:
Статьи:
Сервис обучения сотрудников навыкам кибербезопасности на базе Phishman
15 базовых курсов по информационной безопасности для ваших сотрудников
Автоматизированная система обучения сотрудников основам ИБ
Услуги:
Разработка системы управления информационной безопасностью в соответствии с ISO/IEC 27001
Экспертный аудит и разработка стратегии непрерывности бизнеса в соответствии с ISO 22301
Новости

Указ № 250: разбор положений

В современном мире, где информационные технологии стали краеугольным камнем бизнеса, государство оценивает не только преимущества, но и риски цифровизации. Ставки растут, когда дело касается стратегически важных организаций. Указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» в этом контексте выступает как критический элемент защиты.

Документ вводит строгие требования по укреплению информационной безопасности для многих организаций. Несоблюдение этих правил может привести к серьёзным юридическим последствиям, включая штрафы. Также Указ значительно изменяет подходы к кибербезопасности в корпоративном секторе, подчеркивая её важность не только для коммерческих интересов, но и для национальной безопасности. Компании теперь должны разрабатывать комплексные стратегии защиты информации, учитывая не только собственные финансовые и репутационные риски, но и риски подрыва экономической и социальной стабильности страны.

Из статьи вы узнаете, попадает ли ваша компания под действие Указа № 250, и какие организационные и изменения необходимо сделать для соответствия новым требованиям в сфере информационной безопасности.

Выясняем, на какие компании распространяется действие Указа № 250

Понять, попадает ли организация под действие этого важного документа, не так уж и сложно: Указ затрагивает все стратегически значимые компании. К стратегически значимым могут быть отнесены организации, которые соответствуют одному из следующих пунктов:

  • федеральные органы исполнительной власти или высшие исполнительные органы государственной власти субъектов РФ;
  • государственные фонды;
  • государственные корпорации или организации, созданные на основании федеральных законов;
  • стратегические предприятия, стратегические акционерные общества или системообразующие организации российской экономики;
  • юридические лица, являющиеся субъектами критической информационной инфраструктуры РФ, что отражено в ст. 2 187-ФЗ.

Выделяем подразделение по ИБ и назначаем ответственное лицо

Первым шагом по выполнению требований Указа № 250 будет изменение организационно-штатной структуры путём создания отдельного подразделения по информационной безопасности (ИБ) или наделение уже существующего функциями обеспечения ИБ, а также назначение ответственного лица за обеспечение ИБ. В рамках законодательства ответственность за ИБ возлагается на заместителя руководителя компании. Требования к ответственному лицу, например, о квалификации, профессиональных компетенциях и должностных обязанностях отражены в Постановлении Правительства от 15.07.2022 № 1272.

Проводим ключевые мероприятия по обеспечению ИБ

После того, как разобрались с оргштатной структурой, можно приступать к конкретным мерам по обеспечению кибербезопасности. Перечень мероприятий включает в себя:

  • контроль защищенности конфиденциальной информации от утечки по техническим каналам;
  • контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • мониторинг информационной безопасности средств и систем информатизации;
  • аттестационные испытания и аттестации на соответствие требованиям по защите информации;
  • работы и услуги по проектированию в защищенном исполнении;
  • установка, монтаж, наладка, испытания и ремонт средств защиты информации.

Эти меры можно проводить силами собственной компании или при помощи организаций-лицензиатов по технической защите конфиденциальной информации от ФСТЭК России. Второй вариант, зачастую, предпочтительнее с точки зрения гарантий и экспертности.

Отдельно обращаем внимание, что компании, включенные в перечень организаций, представленный в Распоряжении Правительства РФ от 22.06.2022 № 1661-р, должны в обязательном порядке провести мероприятия по оценке уровня защищенности и представить соответствующий доклад в Правительство РФ.

Выстраиваем взаимодействие с ГосСОПКА

Указ № 250 выделяет отдельным подпунктом мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. Связано это с тем, что в данном случае привлекаются организации, являющиеся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА). Это обеспечивает доступ к специализированным ресурсам и информации, помогающим оперативно реагировать на угрозы.

На данный момент требований к аккредитации к Центрам ГосСОПКА не установлено, но определен трехлетний период, когда необходимо осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты на основании заключенных соглашений о сотрудничестве между НКЦКИ (Национальным координационным центром по компьютерным инцидентам) и ФСБ России. Ознакомиться с Приказом Федеральной службы безопасности Российской Федерации от 01.11.2022 № 543.

Гарантируем непрерывный доступ к информационным ресурсам

Компания должна гарантировать непрерывный доступ, включая удаленный, ко всем информационным ресурсам, которыми она владеет или которые использует. Это касается тех ресурсов, доступ к которым осуществляется через сеть Интернет и необходим для проведения мониторинга в соответствии с п. 5 Указа № 250. Однако на данный момент порядок осуществления мониторинга защищенности информационных ресурсов организаций, попадающих под действие Указа № 250, не определен ФСБ России.

Учитываем сроки перехода на отечественный софт

Согласно п. 6 Указа № 250, с 1 января 2025 года в силу вступает запрет на использование средств защиты информации, разработанных в недружественных странах, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними. С перечнем недружественных стран можно ознакомиться в Распоряжении Правительства РФ от 05.03.2022 № 430-р.

Поддерживаем актуальность систем обеспечения ИБ

После внедрения ключевых мер по обеспечению информационной безопасности и установления взаимодействия с соответствующими контрольными органами, компании сталкиваются с важной и непрерывной задачей — поддержанием актуальности систем обеспечения ИБ. Ключевой фактор успешного обеспечения информационной безопасности — оперативная реакция на меняющиеся обстоятельства и новые угрозы, поэтому особое значение приобретают рекомендации и указания, поступающие от ФСТЭК России и ФСБ России. Быстрая и адекватная реализация этих решений обеспечивает не только соответствие действующим нормативам, но и повышает уровень защиты компании от потенциальных угроз.

Обращаемся к экспертам за помощью

Реализация Указа Президента РФ № 250 требует профессионального подхода, поэтому важно обратиться к экспертам в этой области. Они помогут интерпретировать требования Указа, предложат варианты защитных мер и технологий для интеграции и внедрения, а также осуществят закупку необходимых СЗИ.
Эксперты Infosecurity помогут в реализации мер Указа № 250 — предоставят отчет с рекомендациями по выполнению требований и подготовят детальную дорожную карту мероприятий. Получить бесплатную консультацию

Автор: Максим Загреба, консультант отдела аудита Infosecurity a Softline company
Новости Блог КИИ