Оставьте заявку
Наш эксперт свяжется с вами в ближайшее время
Нажимая на кнопку "Отправить" вы соглашаетесь с Политикой конфиденциальности
Информационная безопасность
в России после Указа Президента №250 от 1 мая 2022 года
в России после Указа Президента №250 от 1 мая 2022 года
Указ президента Указа Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (полный текст вы найдете по ссылке) является в первую очередь следствием усиления кибер-санкционного давления на различных представителей рынка России, среди которых есть как государственные институты, так и крупные коммерческие организации. Что содержит данный указ и какое влияние он будет иметь на текущий порядок в сфеер информационной безопасности: мы подготовили для вас ответы на эти вопросы и комментарии по ключевым пунктам нового указа.
Комментирует Андрей Курило, бывший заместитель начальника главного управления ИБ и ЗИ Банка России, участник разработки основополагающих законов и документов в сфере информационной безопасности, в том числе Доктрины информационной безопасности Российской Федерации, действующий советник по вопросам ИБ ФБК и FBK CyberSecurity.
На кого распространяется указ
— Высшие исполнительные органы госвласти;
— государственные фонды;
— госкорпорации;
— стратегические предприятия;
— стратегические акционерные общества;
— системообразующие организации и субъекты КИИ;
— иные предприятия, созданные на основании ФЗ;
1. (постановляется) «определить перечень ключевых органов (организаций), которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю.»
Комментарий эксперта: Начнем не с начала, но с самого важного. До конца мая появится список организаций, которые должны будут пройти оценку защищенности ИС с участием лицензиатов ФСТЭК в части ТЗКИ. О необходимости проведения регулярной оценки защищенности мы уже говорили ранее: необходимо усилить контроль за функцией ИБ. Мы считаем, что для поддержания достигнутых результатов необходимо проводить экспресс-оценку защищенности — это набор риск-ориентированных проверок, которые позволят быстро определить степень расхождения с основными нормативно-правовыми актами (их с каждым днем будет становиться все больше), а также оценивать реальный уровень защищенности периметров организации.
2. (постановляется) «возложить на заместителя руководителя органа (организации) полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты;», «…Возложить на руководителей органов (организаций) персональную ответственность за обеспечение информационной безопасности соответствующих органов (организаций).»
Комментарий эксперта: Функция управления ИБ и ее центральная составляющая — ответственность, — до сего времени недостаточно выраженная, значительно усиливается на уровне организации, ответственность за инциденты и обеспечение ИБ возлагается на заместителя руководителя организации: с одной стороны, это может быть действующий заместитель руководителя организации с новыми функциями и ответственностью (что маловероятно — его необходимо обучать и даже в этом случае, это будет малоэффективно) или руководитель ИБ подразделения организации. Так или иначе, мы рассматриваем это как функцию, приоритетность которой поднимают в общей иерархии организации на более высокий уровень.
3. (постановляется) «создать в органе (организации) структурное подразделение, осуществляющее функции по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить данные функции на существующее структурное подразделение;«
Комментарий эксперта: Первоочередной задачей становится создание в организации специализированного подразделения, ответственного за обеспечение информационной безопасности, которое будет практически заниматься задачами обеспечения ИБ. Как именно должно и как будет функционировать данное подразделение, зависит от многих факторов, но в первую очередь необходимо исходить из актуальных киберрисков, модели угроз, и наиболее вероятных векторов атак. Подготовку этого «фундамента» лучше поручить консультантам: в будущем это сэкономит компании и время и деньги, которые ушли бы на разработку / доработку организационно-распорядительной документации и основных политик организации в отношении ИБ. Например, создание, упоминаемых в указе «…положения о заместителе руководителя органа (организации), ответственного за обеспечение информационной безопасности органа (организации)» и «…положения о структурном подразделении органа (организации), обеспечивающем информационную безопасность органа (организации)». В течение 1 месяца (до конца мая) типовые формы данных документов будут готовы, и частные варианты будет необходимо внедрить в организациях.
4. (постановляется) «принимать в случае необходимости решения о привлечении организаций к осуществлению мероприятий по обеспечению информационной безопасности органа (организации). При этом могут привлекаться исключительно организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации», а также «принимать в случае необходимости решения о привлечении организаций к осуществлению мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. При этом могут привлекаться исключительно организации, являющиеся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, за исключением случая, предусмотренного подпунктом «б» пункта 5 настоящего Указа;»
Комментарий эксперта: В целом это должно не только повлиять на среднюю стоимость контракта, но и повысить качество реализации данных услуг.
5. (постановляется) «установить, что с 1 января 2025 г. органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.»
Комментарий эксперта: Ожидаемо получает развитие в рамках указа и тема импортозамещения. Велика и почти неизбежна опасность сейчас поддаться искушению провести частичную замену, которая коснется только СЗИ, однако, это чревато серьезными последствиями для решения стратегической задачи полноценного перевода всех элементов инфраструктуры на российские аналоги. Крайне не рекомендуетс) импортозамещать какую-то часть инфраструктуры без понимания ее конечного, целевого вида. В этом вопросе крайне важна последовательность. С одной стороны, СЗИ это, несомненно, важная часть ИТ-инфраструктуры, но назвать ее наиболее приоритетным элементом можно в крайне редких случаях: заменив ее раньше других элементов, например, операционной системы или системы автоматизации безнес-процессов, вам придется исходить из предположения, что ранее замененный элемент инфраструктуры (не обязательно СЗИ, это вопрос индивидуальный) совместим с набором жизненно-важных для организации сервисов. Если это не так, то уже оплаченную СЗИ или другую новую систему будет необходимо снова заменить с определенными финансовыми и временными потерями. Подробнее о том, как это делать правильно, мы рассказываем здесь.
Комментирует Андрей Курило, бывший заместитель начальника главного управления ИБ и ЗИ Банка России, участник разработки основополагающих законов и документов в сфере информационной безопасности, в том числе Доктрины информационной безопасности Российской Федерации, действующий советник по вопросам ИБ ФБК и FBK CyberSecurity.
На кого распространяется указ
— Высшие исполнительные органы госвласти;
— государственные фонды;
— госкорпорации;
— стратегические предприятия;
— стратегические акционерные общества;
— системообразующие организации и субъекты КИИ;
— иные предприятия, созданные на основании ФЗ;
1. (постановляется) «определить перечень ключевых органов (организаций), которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю.»
Комментарий эксперта: Начнем не с начала, но с самого важного. До конца мая появится список организаций, которые должны будут пройти оценку защищенности ИС с участием лицензиатов ФСТЭК в части ТЗКИ. О необходимости проведения регулярной оценки защищенности мы уже говорили ранее: необходимо усилить контроль за функцией ИБ. Мы считаем, что для поддержания достигнутых результатов необходимо проводить экспресс-оценку защищенности — это набор риск-ориентированных проверок, которые позволят быстро определить степень расхождения с основными нормативно-правовыми актами (их с каждым днем будет становиться все больше), а также оценивать реальный уровень защищенности периметров организации.
2. (постановляется) «возложить на заместителя руководителя органа (организации) полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты;», «…Возложить на руководителей органов (организаций) персональную ответственность за обеспечение информационной безопасности соответствующих органов (организаций).»
Комментарий эксперта: Функция управления ИБ и ее центральная составляющая — ответственность, — до сего времени недостаточно выраженная, значительно усиливается на уровне организации, ответственность за инциденты и обеспечение ИБ возлагается на заместителя руководителя организации: с одной стороны, это может быть действующий заместитель руководителя организации с новыми функциями и ответственностью (что маловероятно — его необходимо обучать и даже в этом случае, это будет малоэффективно) или руководитель ИБ подразделения организации. Так или иначе, мы рассматриваем это как функцию, приоритетность которой поднимают в общей иерархии организации на более высокий уровень.
3. (постановляется) «создать в органе (организации) структурное подразделение, осуществляющее функции по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить данные функции на существующее структурное подразделение;«
Комментарий эксперта: Первоочередной задачей становится создание в организации специализированного подразделения, ответственного за обеспечение информационной безопасности, которое будет практически заниматься задачами обеспечения ИБ. Как именно должно и как будет функционировать данное подразделение, зависит от многих факторов, но в первую очередь необходимо исходить из актуальных киберрисков, модели угроз, и наиболее вероятных векторов атак. Подготовку этого «фундамента» лучше поручить консультантам: в будущем это сэкономит компании и время и деньги, которые ушли бы на разработку / доработку организационно-распорядительной документации и основных политик организации в отношении ИБ. Например, создание, упоминаемых в указе «…положения о заместителе руководителя органа (организации), ответственного за обеспечение информационной безопасности органа (организации)» и «…положения о структурном подразделении органа (организации), обеспечивающем информационную безопасность органа (организации)». В течение 1 месяца (до конца мая) типовые формы данных документов будут готовы, и частные варианты будет необходимо внедрить в организациях.
4. (постановляется) «принимать в случае необходимости решения о привлечении организаций к осуществлению мероприятий по обеспечению информационной безопасности органа (организации). При этом могут привлекаться исключительно организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации», а также «принимать в случае необходимости решения о привлечении организаций к осуществлению мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. При этом могут привлекаться исключительно организации, являющиеся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, за исключением случая, предусмотренного подпунктом «б» пункта 5 настоящего Указа;»
Комментарий эксперта: В целом это должно не только повлиять на среднюю стоимость контракта, но и повысить качество реализации данных услуг.
5. (постановляется) «установить, что с 1 января 2025 г. органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.»
Комментарий эксперта: Ожидаемо получает развитие в рамках указа и тема импортозамещения. Велика и почти неизбежна опасность сейчас поддаться искушению провести частичную замену, которая коснется только СЗИ, однако, это чревато серьезными последствиями для решения стратегической задачи полноценного перевода всех элементов инфраструктуры на российские аналоги. Крайне не рекомендуетс) импортозамещать какую-то часть инфраструктуры без понимания ее конечного, целевого вида. В этом вопросе крайне важна последовательность. С одной стороны, СЗИ это, несомненно, важная часть ИТ-инфраструктуры, но назвать ее наиболее приоритетным элементом можно в крайне редких случаях: заменив ее раньше других элементов, например, операционной системы или системы автоматизации безнес-процессов, вам придется исходить из предположения, что ранее замененный элемент инфраструктуры (не обязательно СЗИ, это вопрос индивидуальный) совместим с набором жизненно-важных для организации сервисов. Если это не так, то уже оплаченную СЗИ или другую новую систему будет необходимо снова заменить с определенными финансовыми и временными потерями. Подробнее о том, как это делать правильно, мы рассказываем здесь.
Курило Андрей
Советник по вопросам ИБ
ФБК и FBK CyberSecurity
ФБК и FBK CyberSecurity
Другие материалы