Оставьте заявку
Наш эксперт свяжется с вами в ближайшее время
Нажимая на кнопку "Отправить" вы соглашаетесь с Политикой конфиденциальности
Комментарии к Постановлению Правительства РФ от 15 июля 2022 года № 1272
Во исполнение Указа Президента РФ от 1 мая 2022 года № 250 Правительство РФ выпустило Постановление №1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)».
Для правильной оценки и последующей реализации данного Постановления, его следует рассматривать совместно с подпунктами "а", "б", "е" пункта 1 и 2 пунктом Указа Президента РФ №250, в соответствии с которыми:
1. задача по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты персонализируется для конкретного органа (организации);
2. предписывается создать в конкретном органе (организации) для решения упомянутой задачи специальное подразделение;
3. орган (организация) обязывается обеспечивать незамедлительную реализацию организационных и технических мер, решения о необходимости осуществления которых принимаются Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю в пределах их компетенции и направляются на регулярной основе в органы (организации) с учетом меняющихся угроз в информационной сфере.
4. ответственность за обеспечение информационной безопасности возлагается персонально на руководителя органов (организаций).
Главная цель Постановления Правительства – определение квалификационных и функциональных требований к заместителю руководителя органа (организации), ответственному за обеспечение информационной безопасности в органе (организации) и конкретизация функциональных задач типовому структурному подразделению органа (организации), обеспечивающему информационную безопасность органа (организации).
Определены требования к руководителям ИБ
1. Квалификационные требования к заместителю руководителя, в соответствии с ПП №1272, весьма высоки и требуют высокого уровня его подготовки в области информационной безопасности. Так, в соответствии с п. 6 ПП № 1272, ответственное лицо должно иметь высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения информационной безопасности. Если ответственное лицо имеет высшее образование по другому направлению подготовки (специальности), он должен пройти обучение по программе профессиональной переподготовки по направлению: «Информационная безопасность», а это не менее 500 часов подготовки (360 аудиторных часов и примерно 120 часов самостоятельной работы). Добавим: срок обучения по этому курсу – 2 месяца с отрывом от производства.
2. В соответствии с пунктом 2 Постановления «Ответственное лицо определяется руководителем органа (организации)». Это означает, что оно либо назначается из числа уже имеющихся руководителей высшего звена, что с учетом профиля его деятельности предъявленных квалификационных требований весьма редкий случай, либо на эту должность поднимается уже имеющийся специалист из числа руководителей департаментов или управлений информационной безопасности, либо принимается на работу специалист, имеющий соответствующую квалификацию и известный на рынке в среде специалистов по информационной безопасности.
В каких организациях должны появиться эти руководители?
Очевидно, что в организациях, определенных Распоряжением Правительства РФ от 22.06.2022 N 1661-р «Об утверждении перечня ключевых органов (организаций), которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСБ России и ФСТЭК России».
Всего в распоряжении указано 72 организации, из них 5 кредитных:
– Публичное акционерное общество "Банк ВТБ".
– Открытое акционерное общество "Российский Сельскохозяйственный банк".
– Публичное акционерное общество "Промсвязьбанк".
– Публичное акционерное общество "Сбербанк России".
– Публичное акционерное общество "Российский национальный коммерческий банк".
Является ли этот список исчерпывающим?
В соответствии с п.1 Указа Президента РФ от 1 мая 2022 года № 250 такие лица должны быть назначены в федеральных органах исполнительной власти, высших исполнительных органах государственной власти субъектов Российской Федерации, государственных фондах, государственных корпорациях (компаниях) и иных организациях, созданных на основании федеральных законов, в стратегических предприятиях, стратегических акционерных обществах и системообразующих организациях российской экономики, в юридических лицах, являющихся субъектами критической информационной инфраструктуры Российской Федерации. С учетом постоянно идущего расширения поверхности атак на российские информационные ресурсы, список, определенный Правительством РФ, очевидно будет расширятся.
Рекомендации
К возможному пополнению группы «ключевых» организаций следует готовиться заранее. В качестве первых шагов для «потенциальных кандидатов» мы рекомендуем:
1. привести в соответствие с «Типовым положением о структурном подразделении органа (организации), обеспечивающем информационную безопасность органа (организации) определенным Постановлением Правительства РФ от 15 июля 2022 года № 1272, положение об имеющемся структурном подразделении информационной безопасности (департаменте, управлении, отделе) с учетом задачи обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также реагированию на компьютерные инциденты;
2. начать процесс повышения квалификации для потенциальных руководителей.
3. определенно необходимо усилить контроль за практической готовностью организации к защите от кибератак, как внешних, так и внутренних.
В заключение
Отмечу, что реальная обстановка в сфере кибербезопасности требует ответственного и реального понимания положения дел, а также усиления самоконтроля с оглядкой на актуальную регуляторную повестку.
Для правильной оценки и последующей реализации данного Постановления, его следует рассматривать совместно с подпунктами "а", "б", "е" пункта 1 и 2 пунктом Указа Президента РФ №250, в соответствии с которыми:
1. задача по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты персонализируется для конкретного органа (организации);
2. предписывается создать в конкретном органе (организации) для решения упомянутой задачи специальное подразделение;
3. орган (организация) обязывается обеспечивать незамедлительную реализацию организационных и технических мер, решения о необходимости осуществления которых принимаются Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю в пределах их компетенции и направляются на регулярной основе в органы (организации) с учетом меняющихся угроз в информационной сфере.
4. ответственность за обеспечение информационной безопасности возлагается персонально на руководителя органов (организаций).
Главная цель Постановления Правительства – определение квалификационных и функциональных требований к заместителю руководителя органа (организации), ответственному за обеспечение информационной безопасности в органе (организации) и конкретизация функциональных задач типовому структурному подразделению органа (организации), обеспечивающему информационную безопасность органа (организации).
Определены требования к руководителям ИБ
1. Квалификационные требования к заместителю руководителя, в соответствии с ПП №1272, весьма высоки и требуют высокого уровня его подготовки в области информационной безопасности. Так, в соответствии с п. 6 ПП № 1272, ответственное лицо должно иметь высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения информационной безопасности. Если ответственное лицо имеет высшее образование по другому направлению подготовки (специальности), он должен пройти обучение по программе профессиональной переподготовки по направлению: «Информационная безопасность», а это не менее 500 часов подготовки (360 аудиторных часов и примерно 120 часов самостоятельной работы). Добавим: срок обучения по этому курсу – 2 месяца с отрывом от производства.
2. В соответствии с пунктом 2 Постановления «Ответственное лицо определяется руководителем органа (организации)». Это означает, что оно либо назначается из числа уже имеющихся руководителей высшего звена, что с учетом профиля его деятельности предъявленных квалификационных требований весьма редкий случай, либо на эту должность поднимается уже имеющийся специалист из числа руководителей департаментов или управлений информационной безопасности, либо принимается на работу специалист, имеющий соответствующую квалификацию и известный на рынке в среде специалистов по информационной безопасности.
В каких организациях должны появиться эти руководители?
Очевидно, что в организациях, определенных Распоряжением Правительства РФ от 22.06.2022 N 1661-р «Об утверждении перечня ключевых органов (организаций), которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСБ России и ФСТЭК России».
Всего в распоряжении указано 72 организации, из них 5 кредитных:
– Публичное акционерное общество "Банк ВТБ".
– Открытое акционерное общество "Российский Сельскохозяйственный банк".
– Публичное акционерное общество "Промсвязьбанк".
– Публичное акционерное общество "Сбербанк России".
– Публичное акционерное общество "Российский национальный коммерческий банк".
Является ли этот список исчерпывающим?
В соответствии с п.1 Указа Президента РФ от 1 мая 2022 года № 250 такие лица должны быть назначены в федеральных органах исполнительной власти, высших исполнительных органах государственной власти субъектов Российской Федерации, государственных фондах, государственных корпорациях (компаниях) и иных организациях, созданных на основании федеральных законов, в стратегических предприятиях, стратегических акционерных обществах и системообразующих организациях российской экономики, в юридических лицах, являющихся субъектами критической информационной инфраструктуры Российской Федерации. С учетом постоянно идущего расширения поверхности атак на российские информационные ресурсы, список, определенный Правительством РФ, очевидно будет расширятся.
Рекомендации
К возможному пополнению группы «ключевых» организаций следует готовиться заранее. В качестве первых шагов для «потенциальных кандидатов» мы рекомендуем:
1. привести в соответствие с «Типовым положением о структурном подразделении органа (организации), обеспечивающем информационную безопасность органа (организации) определенным Постановлением Правительства РФ от 15 июля 2022 года № 1272, положение об имеющемся структурном подразделении информационной безопасности (департаменте, управлении, отделе) с учетом задачи обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также реагированию на компьютерные инциденты;
2. начать процесс повышения квалификации для потенциальных руководителей.
3. определенно необходимо усилить контроль за практической готовностью организации к защите от кибератак, как внешних, так и внутренних.
В заключение
Отмечу, что реальная обстановка в сфере кибербезопасности требует ответственного и реального понимания положения дел, а также усиления самоконтроля с оглядкой на актуальную регуляторную повестку.
Курило Андрей
Советник по вопросам ИБ
ФБК и FBK CyberSecurity
ФБК и FBK CyberSecurity
Другие материалы