Указ №250 определил новые ключевые тренды в кибербезопасности
Ключевые тренды в кибербезопасности, действующие и поныне, во многом определил Указ Президента № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», подписанный 1 мая 2022 года. Обновление требований, предусмотренное данным Указом, напрямую коснулось свыше полумиллиона компаний.
Почему появился Указ №250?
Ситуация требовала изменения подходов к кибербезопасности. Иностранные решения для систем кибербезопасности на российском рынке стали недоступны – вендоры прекратили работу в РФ, ограничив доступ к обновлениям. Поэтому корпоративным заказчикам – как государственным органам, так и госструктурам – пришлось оперативно переводить ИТ-инфраструктуру на альтернативные решения.
Цифровизация российских компаний продолжается, растут требования к кибербезопасности – ведь успешная хакерская атака может нарушить рабочие процессы, а в ряде случаев даже полностью парализовать деятельность компании или госструктуры. В это же время, продолжала нарастать активность киберпреступников, увеличивалось количество атак, возросло число крупных утечек данных.
На кого распространяется действие Указа?
Действие Указа распространяется на органы государственной власти, госкомпании, системообразующие предприятия и субъекты критической информационной инфраструктуры (см. врезку).
На практике все оказывается непросто. Субъекты КИИ могут не знать, о том, что они являются таковыми, соответственно, даже и не подозревать, что попадают под действие Указа. Напомним, что перечень объектов КИИ относится к категории закрытой информации. Кроме того, требования могут быть распространены на поставщиков услуг и сервисов организациям, являющимся субъектами КИИ, на дочерние структуры организаций, попавших под действие Указа, и т.д.
Субъектом критической информационной инфраструктуры (КИИ), согласно Федеральному Закону № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», является предприятие, на которых есть хотя бы один объект, отнесенные к критической информационной инфраструктуре. Такими объектами могут быть информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления. Такие объекты присутствуют у разных корпоративных заказчиков – от госуправления до науки, от ракетно-космического сектора до энергетики, от металлургии до химической промышленности, от «оборонки» до банковской сферы и т.д. Под действия 187-ФЗ попадают, например, телеком-провайдеры, городской водоканал, промышленные компании, банки, страховые организации и т.д.
Получение ответов на вопросы, попадает ли компания под действия Указа и соблюдены ли структурами, поставляющими ей продукты или услуги, соответствующие требования, на практике является непростой задачей. Некоторые компании решают эти проблемы самостоятельно, но во многих случаях требуется обращение за консалтингом в профильные фирмы, специализирующиеся на кибербезопасности.
Инфографика: К каким организациям относится Указ 250
Что должны сделать организации, подпавшие под действие Указа?
В Указе перечислен перечень требований к компаниям и госорганизациям, подпадающим под его действие. Заметим, что теперь там руководство несет личную ответственность за обеспечение кибербезопасности.
Во-первых, согласно требованиям Указа, в таких организациях обязательным становится создание подразделения, отвечающего за кибербезопасность, глава которого подчиняется напрямую генеральному директору. Это положение детализировано Постановлением Правительства РФ № 1272 от 15 июля 2022 г.
Во-вторых, Указ обязал соответствующие организации обеспечить мониторинг рекомендаций, направленных на нейтрализацию актуальных угроз, список которых рассылает ФСБ и ФСТЭК.
В-третьих, Указ упорядочил взаимодействие с внешними организациями, оказывающими услуги в области кибербезопасности. Теперь всем, подпадающим под действие Указа, можно привлекать в качестве поставщиков исключительно организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации, которые выдает ФСТЭК России. Реестр лицензий на деятельность по технической защите конфиденциальной информации создан согласно Постановлению Правительства №79 от 3 февраля 2012 «О лицензировании деятельности по технической защите конфиденциальной информации» и находится в открытом доступе.
Наконец, в-четвертых, Указ требует от соответствующих организаций к 1 января 2025 в обязательном порядке выполнить переход на доверенные отечественные СИЗ.
Инфографика: Список необходимых действий для организаций согласно Указу 250
Вопросы кибербезопасности регулирует ряд документов действующего федерального законодательства, которое в настоящее время активно совершенствуют и развивают. В законы вносят изменения, выходят Постановления Правительства РФ, рассматриваемая нами тематика отражена в новых Указах Президента и т.д. Например, в УК РФ добавлена Статья 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», устанавливающая уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта – в том числе, и систем киберзащиты – или нарушение порядка доступа к ним, причем наказание предусмотрено серьезное, включая лишение свободы на срок до десяти лет.
Инфографика: законы, влияющие на рынок информационной безопасности
Как Указ повлиял на рынок?
Указ оказал огромное влияние на российский сегмент кибербезопасности. Его принятие ускорило и упорядочило процессы обновления информационных систем, требующих внедрения российских решений кибербезопасности. Импортозамещение в российской кибербезопасности идет полным ходом, благодаря чему сегмент развивается заметно быстрее всего национального рынка ИТ. Согласно предварительным оценкам, рост всего российского ИТ по итогам прошлого года составил порядка 12%, а в кибербезопасности этот показатель около 24%. В сегменте появляются новые российские продукты и сервисы, выросло количество стартапов, работающих в направлении обеспечения безопасности.
Как показывает практика, перевод систем кибербезопасности на новые российские решения, которые более современные, чем применяемые ранее, приводит к повышению уровня защиты на предприятиях и в организациях. Обеспечение кибербезопасности требует как постоянной работы вендоров, интеграторов, отделов кибербезопасности в компаниях и ряда других структур, так и инициатив законодательной и исполнительной властей, что мы и наблюдаем. Регуляторы работают над выявлением и категоризацией объектов КИИ, ФСБ и ФСТЭК обновляют рекомендации актуальных киберугроз, совершенствуют законодательную базу, развивающую и конкретизирующую положение Указа.
Автор: Дмитрий Манин
Руководитель юридического отдела «Телеком биржи»
© Издание 12NEWS (ИП Маринин А.Л.), 2024
