Владимир Путин подписал Указ «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»⁠⁠

Владимир Путин подписал указ президента РФ от 1 мая 2022 года № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

В целях повышения устойчивости и безопасности функционирования информационных ресурсов РФ постановляю:

1. Руководителям федеральных органов исполнительной власти, высших исполнительных органов государственной власти субъектов РФ, государственных фондов, государственных корпораций (компаний) и иных организаций, созданных на основании ФЗ, стратегических предприятий, стратегических акционерных обществ и системообразующих организаций российской экономики, юридических лиц, являющихся субъектами критической информационной инфраструктуры РФ:

Под критической информационной инфраструктурой РФ (КИИ) подразумевается совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов РФ и обеспечивающих их взаимодействие информационно - телекоммуникационных сетей, а также IT-систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка.

То есть мы видим, что данный указ распространяется не только на все органы государственного управления, стратегические и системообразующие предприятия, но и на все организации и предприятия в которых работают с информацией государственной важности.

а) возложить на заместителя руководителя органа (организации) полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты;

Почему на заместителя? Руководитель отвечает за всё, что происходит у него в организации или на предприятии. Руководитель несёт ответственность в любом случае. Хороший и грамотный руководитель так и поступает – разделят зоны ответственности, а затем осуществляет общий контроль. В случае возникновения любой критической или внештатной ситуации, он знает кто конкретно в его организации или на предприятии отвечает за это направление. Данный подпункт указа просто предписывает руководителю возложить все полномочия по обеспечению информационной безопасности на одного конкретного своего зама. Конкретно и вполне понятно происходит выстраивание структуры ответственности за информационную безопасность.

б) создать в органе (организации) структурное подразделение, осуществляющее функции по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить данные функции на существующее структурное подразделение;

Продолжение выстраивания структуры ответственности за информационную безопасность. Как правило, на предприятии есть уже IT-отдел, который отвечает всю сетевую безопасность, работоспособность компьютеров и компьютерных программ. Вот только далеко не на всех предприятиях должностные обязанности сотрудников этих отделов чётко расписаны. Как правило, бывает, что руководитель отдела просто набирает себе штат сотрудников с максимально широко расписанной должностной инструкцией, что бы в любой момент направить любого из своих сотрудников на решение внезапно возникшей проблемы. По большому счёту, за информационную безопасность в таком случае отвечают все и одновременно никто. Данный подпункт указа предусматривает, что в IT-отделе предприятия должны быть конкретно прописаны должностные инструкции по каждому сотруднику, которые и отвечают за каждый конкретный участок информационной безопасности предприятия, и с которых в случае возникновения критической или внештатной ситуации и будет спрашивать ответственный за информационную безопасность заместитель руководителя предприятия.

в) принимать в случае необходимости решения о привлечении организаций к осуществлению мероприятий по обеспечению информационной безопасности органа (организации). При этом могут привлекаться исключительно организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации;

г) принимать в случае необходимости решения о привлечении организаций к осуществлению мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. При этом могут привлекаться исключительно организации, являющиеся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, за исключением случая, предусмотренного подпунктом "б" пункта 5 настоящего Указа;

Даже государственные организации, работающие с информацией государственной важности, бывают небольшого размера. Даже в государственных организациях бывает так, что весь IT-отдел - это один человек, который отвечает за всё. Он обычно вполне справляется со всеми своими обязанностями по сетевой безопасности предприятия, обеспечению работоспособности компьютеров и компьютерных программ. Больше IT-специалистов, организации просто не нужно. Вот подобные случаи и предусматривает данный пункт указа. Он предписывает подобным организациям, в целях обеспечения должного и высокого уровня обеспечения информационной безопасности на организации, привлекаться для этого сторонние организации. Чётко регламентирует список привлекаемых сторонних организаций, наличием специальной лицензии на осуществление подобной деятельности. Он отсекает организациям возможность привлечь для обеспечения информационной безопасности непонятного программиста с непонятными профессиональными качествами, который всё сделает "быстро и подешевле". Для обеспечения должного и высокого уровня информационной безопасности, организации должны привлекаться тех, кто лицензировано работает на рынке подобных услуг, кто дорожит репутацией своей фирмы, и кто сможет реально быть ответственным за выполнение надлежащим образом комплекса мер по обеспечению информационной безопасности.

д) обеспечивать должностным лицам ФСБ России беспрепятственный доступ (в том числе удаленный) к принадлежащим органам (организациям) либо используемым ими информационным ресурсам, доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети "Интернет", в целях осуществления мониторинга, предусмотренного подпунктом "в" пункта 5 настоящего Указа, а также обеспечивать исполнение указаний, данных ФСБ России по результатам такого мониторинга;

е) обеспечивать незамедлительную реализацию организационных и технических мер, решения о необходимости осуществления которых принимаются ФСБ России и ФСТЭК России в пределах их компетенции и направляются на регулярной основе в органы (организации) с учетом меняющихся угроз в информационной сфере.

На ФСБ России и ФСТЭК России возлагается не только контроль за выполняем надлежащим образом всех мер по обеспечению информационной безопасности в организациях и на предприятиях, но и фактически обязанности по конкретной помощи и подсказу ответственным лицам этих предприятий и организаций как именно должна у них быть организовано обеспечение информационной безопасности.

2. Возложить на руководителей органов (организаций) персональную ответственность за обеспечение информационной безопасности соответствующих органов (организаций).

Как уже было сказано выше, руководитель в любом несёт ответственность за всё, что происходит у него в организации или на предприятии.

3. Правительству РФ в месячный срок:

а) утвердить:

- типовое положение о заместителе руководителя органа (организации), ответственного за обеспечение информационной безопасности органа (организации);

- типовое положение о структурном подразделении органа (организации), обеспечивающем информационную безопасность органа (организации);

б) определить перечень ключевых органов (организаций), которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСБ России и ФСТЭК России.

Данный пункт указа обязывают правительство РФ в месячный срок определить не только список всех организаций и предприятий, на которые распространяется действие данного указа, но и разработать типовые положения для должностных инструкций на всех ответственных за информационную безопасность на предприятиях и в организациях - от зама руководителя до IT-специалиста.

4. Органам (организациям), включенным в перечень, определенный в соответствии с подпунктом "б" пункта 3 настоящего Указа, осуществить мероприятия по оценке уровня защищенности своих информационных систем и до 1 июля 2022 г. представить доклад в Правительство РФ.

5. Федеральной службе безопасности Российской Федерации:

а) организовать аккредитацию центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ;

б) определить переходный период, в течение которого допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах органов (организаций) на основании заключенных с ФСБ России (Национальным координационным центром по компьютерным инцидентам) соглашений о сотрудничестве (взаимодействии) в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;

в) определить порядок осуществления мониторинга защищенности информационных ресурсов, принадлежащих органам (организациям) либо используемых ими, и осуществлять такой мониторинг.

Данные пункты указа фактически определяют, что именно на ФСБ России ложится вся ответственность не только по контролю за мерами обеспечения информационной безопасности на предприятиях и организациях, но на время переходного периода, за все мероприятия по выстраиванию работы этой системы информационной безопасности.

6. Установить, что с 1 января 2025 г. органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении РФ, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.

Список недружественных государств на данный момент следующий - Австралия, Австрия, Албания, Андорра, Бельгия, Болгария, Великобритания (включая остров Джерси и подконтрольные заморские территории - остров Ангилья, Британские Виргинские острова, Гибралтар), Венгрия, Германия, Греция, Дания, Ирландия, Исландия, Испания, Италия, Канада, Кипр, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Микронезия, Монако, Нидерланды, Новая Зеландия, Норвегия, Польша, Португалия, Румыния, Сан-Марино, Северная Македония, Сингапур, Словакия, Словения, США, Тайвань (считается территорией Китая, но с 1949 года управляется собственной администрацией), Украина, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония, Южная Корея, Япония.

Данный пункт указа обязывает с 1 мая текущего года все организации и предприятия больше не привлекать к осуществлению мер по обеспечению информационной безопасности ПО от недружественных государств, а те ПО о недружественных государств которые уже непосредственно работают в организациях и предприятиях и обеспечивают информационную безопасность – должны быть отключены 1 января 2025 года.

7. Настоящий Указ вступает в силу со дня его официального опубликования.

Канал "Всем о главном"