Указ Президента №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», выданный 1 мая текущего года, акцентирует внимание на неотложности формирования эффективных систем ИБ, основанных на отечественных решениях, к 2025 году. Реализацию данного документа стоит начать немедленно, так как сопутствующее Постановление Правительства №1272 от 15 июля описывает конкретные меры для обеспечения его выполнения, что в совокупности обозначает новые ориентиры в сфере информационной безопасности.

Преследуемые указом цели не случайны: в условиях современного мира, когда атаки на информационную инфраструктуру предприятий становятся систематичными, вопросы обеспечения надежной защиты данных становятся ключевыми. В данной ситуации, провозглашенные президентом меры по обеспечению информационной безопасности приобретают статус необходимости, а не просто формального декларирования.

Следует отметить, что сфера действия указа охватывает не только субъектов КИИ, но и распространяется на государственные органы, фонды, корпорации и предприятия, имеющие стратегическое и системообразующее значение. Более того, требования указа затрагивают не только те организации, которые управляют объектами КИИ, но и те, что не имеют такой связи. Также следует учитывать и предприятия, являющиеся частями холдингов, упомянутых в перечне.

Начните процесс внедрения мер по соответствию уже сейчас, чтобы планомерно и качественно реализовать многочисленные требования Указа. Это обеспечит комфортный график выполнения задач и минимизирует риски, связанные с их невыполнением.

При приближении срока реализации мер для соответствия требованиям Указа № 250, следует учитывать, что ценник на услуги и выполнение сопутствующих задач могут повыситься. Реализация необходимых мер заблаговременно позволит избежать дополнительных расходов и обеспечит более эффективное выполнение требований Указа.

К 2025 году, когда подойдут критические сроки, компании начнут активные работы по импортозамещению в части ИБ. Синхронный и массовый переход на отечественное оборудование приведет к резкому увеличению спроса на него и вызовет дефицит на рынке, что, в свою очередь, может затруднить своевременное выполнение задач.

Указ № 250 касается всех без исключения субъектов КИИ и вводит официальный запрет на закупку и использование средств защиты из недружественных стран. За неисполнение предписаний на организации налагаются штрафы: для должностных лиц в размере от 10 000 до 50 000 рублей, на юридических лиц — от 50 000 до 100 000 рублей.

Проектом ФЗ предлагается введение для должностных лиц мер административной ответственности за нарушение порядка применения Указа №250.

1

Обследование IT- и ИБ-инфраструктуры, анализ ОРД, технических и организационных мер по защите информации, состояния процессов обеспечения информационной безопасности.

2

Подготовка отчета об обследовании, с описанием основных характеристик текущей IT-инфраструктуры, действующих технических и организационных мер по защите информации, рисков использования имеющейся IT- и ИБ-инфраструктуры, аналитику выполнения требований Указа №250 и рекомендации по приведению процессов в соответствие.

3

Подготовка дорожной карты, содержащей этапы и перечень необходимых мероприятий для соответствия требованиям Указа №250, а также возможные варианты импортозамещения СЗИ с бюджетной оценкой.