В современном мире, где информационные технологии стали краеугольным камнем бизнеса, государство оценивает не только преимущества, но и риски цифровизации. Ставки растут, когда дело касается стратегически важных организаций. Указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» в этом контексте выступает как критический элемент защиты.
Документ вводит строгие требования по укреплению информационной безопасности для многих организаций. Несоблюдение этих правил может привести к серьёзным юридическим последствиям, включая штрафы. Также Указ значительно изменяет подходы к кибербезопасности в корпоративном секторе, подчеркивая её важность не только для коммерческих интересов, но и для национальной безопасности. Компании теперь должны разрабатывать комплексные стратегии защиты информации, учитывая не только собственные финансовые и репутационные риски, но и риски подрыва экономической и социальной стабильности страны.
Из статьи вы узнаете, попадает ли ваша компания под действие Указа № 250, и какие организационные и изменения необходимо сделать для соответствия новым требованиям в сфере информационной безопасности.
Выясняем, на какие компании распространяется действие Указа № 250
Понять, попадает ли организация под действие этого важного документа, не так уж и сложно: Указ затрагивает все стратегически значимые компании. К стратегически значимым могут быть отнесены организации, которые соответствуют одному из следующих пунктов:
федеральные органы исполнительной власти или высшие исполнительные органы государственной власти субъектов РФ;
государственные фонды;
государственные корпорации или организации, созданные на основании федеральных законов;
стратегические предприятия, стратегические акционерные общества или системообразующие организации российской экономики;
юридические лица, являющиеся субъектами критической информационной инфраструктуры РФ, что отражено в ст. 2 187-ФЗ.
Выделяем подразделение по ИБ и назначаем ответственное лицо
Первым шагом по выполнению требований Указа № 250 будет изменение организационно-штатной структуры путём создания отдельного подразделения по информационной безопасности (ИБ) или наделение уже существующего функциями обеспечения ИБ, а также назначение ответственного лица за обеспечение ИБ. В рамках законодательства ответственность за ИБ возлагается на заместителя руководителя компании. Требования к ответственному лицу, например, о квалификации, профессиональных компетенциях и должностных обязанностях отражены в Постановлении Правительства от 15.07.2022 № 1272.
Проводим ключевые мероприятия по обеспечению ИБ
После того, как разобрались с оргштатной структурой, можно приступать к конкретным мерам по обеспечению кибербезопасности. Перечень мероприятий включает в себя:
контроль защищенности конфиденциальной информации от утечки по техническим каналам;
контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
мониторинг информационной безопасности средств и систем информатизации;
аттестационные испытания и аттестации на соответствие требованиям по защите информации;
работы и услуги по проектированию в защищенном исполнении;
установка, монтаж, наладка, испытания и ремонт средств защиты информации.
Эти меры можно проводить силами собственной компании или при помощи организаций-лицензиатов по технической защите конфиденциальной информации от ФСТЭК России. Второй вариант, зачастую, предпочтительнее с точки зрения гарантий и экспертности.
Отдельно обращаем внимание, что компании, включенные в перечень организаций, представленный в Распоряжении Правительства РФ от 22.06.2022 № 1661-р, должны в обязательном порядке провести мероприятия по оценке уровня защищенности и представить соответствующий доклад в Правительство РФ.
Выстраиваем взаимодействие с ГосСОПКА
Указ № 250 выделяет отдельным подпунктом мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. Связано это с тем, что в данном случае привлекаются организации, являющиеся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА). Это обеспечивает доступ к специализированным ресурсам и информации, помогающим оперативно реагировать на угрозы.
На данный момент требований к аккредитации к Центрам ГосСОПКА не установлено, но определен трехлетний период, когда необходимо осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты на основании заключенных соглашений о сотрудничестве между НКЦКИ (Национальным координационным центром по компьютерным инцидентам) и ФСБ России. Ознакомиться с Приказом Федеральной службы безопасности Российской Федерации от 01.11.2022 № 543.
Гарантируем непрерывный доступ к информационным ресурсам
Компания должна гарантировать непрерывный доступ, включая удаленный, ко всем информационным ресурсам, которыми она владеет или которые использует. Это касается тех ресурсов, доступ к которым осуществляется через сеть Интернет и необходим для проведения мониторинга в соответствии с п. 5 Указа № 250. Однако на данный момент порядок осуществления мониторинга защищенности информационных ресурсов организаций, попадающих под действие Указа № 250, не определен ФСБ России.
Учитываем сроки перехода на отечественный софт
Согласно п. 6 Указа № 250, с 1 января 2025 года в силу вступает запрет на использование средств защиты информации, разработанных в недружественных странах, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними. С перечнем недружественных стран можно ознакомиться в Распоряжении Правительства РФ от 05.03.2022 № 430-р.
Поддерживаем актуальность систем обеспечения ИБ
После внедрения ключевых мер по обеспечению информационной безопасности и установления взаимодействия с соответствующими контрольными органами, компании сталкиваются с важной и непрерывной задачей — поддержанием актуальности систем обеспечения ИБ. Ключевой фактор успешного обеспечения информационной безопасности — оперативная реакция на меняющиеся обстоятельства и новые угрозы, поэтому особое значение приобретают рекомендации и указания, поступающие от ФСТЭК России и ФСБ России. Быстрая и адекватная реализация этих решений обеспечивает не только соответствие действующим нормативам, но и повышает уровень защиты компании от потенциальных угроз.
Обращаемся к экспертам за помощью
Реализация Указа Президента РФ № 250 требует профессионального подхода, поэтому важно обратиться к экспертам в этой области. Они помогут интерпретировать требования Указа, предложат варианты защитных мер и технологий для интеграции и внедрения, а также осуществят закупку необходимых СЗИ.
Эксперты Infosecurity помогут в реализации мер Указа № 250 — предоставят отчет с рекомендациями по выполнению требований и подготовят детальную дорожную карту мероприятий. Получить бесплатную консультацию
Автор: Максим Загреба, консультант отдела аудита Infosecurity a Softline company