Указ Президента № 250: на кого распространяются требования и как их выполнить

Внимание к информационной безопасности со стороны Государства постоянно растет. 1 мая 2022 вышел Указ Президента № 250, который не несет в себе кардинально новых требований к Информационной безопасности (ИБ), так как в том или ином виде они уже были обозначены в других нормативно-правовых актах. Но в Указе сделан акцент на выбор ответственного лица за ИБ организации и его компетенции, необходимость создания отдельного подразделения и использования отечественных средств защиты.

В это материале специалисты ITGLOBAL.COM Security рассказали, на кого распространяются требования Указа Президента № 250 и что необходимо сделать в первую очередь.

На какие организации распространяются требования

Требования Указа Президента № 250 могут затронуть около 500 тысяч организаций, в основном это:

• федеральные органы исполнительной власти;
• высшие исполнительные органы государственной власти субъектов РФ;
• государственные фонды;
• государственные корпорации;
• стратегические предприятия, стратегические акционерные общества;
• системообразующие организации российской экономики;
• субъекты критической информационной инфраструктуры (КИИ): здравоохранение, наука, транспорт, связь, энергетика, банки и финансы, топливная энергетика, атомная энергетика, оборонная промышленность, горная добыча, металлургия, химическая промышленность;
• иные организации, созданные на основании ФЗ.

Что нужно сделать в первую очередь

Назначить ответственного за ИБ

Раньше ответственность за реализацию информационной безопасности ложилась на руководителя организации и подразделение по ИБ. С 1 мая 2022, согласно Указу президента № 250, в организации должно появится отдельное должностное лицо, которое будет напрямую подчиняться первому лицу организации и входить в коллегиальный орган (совет директоров, правление или дирекцию).

Отвечать за ИБ не сможет руководитель отдела по информационной безопасности. Теперь это должен быть заместитель генерального директора, вице-губернатор, заместитель министра или заместитель председателя правления. Человек должен обладать знаниями и навыками, которые указаны в Постановлении Правительства № 1272.

Кроме большого пула знаний по ИБ, заместитель должен понимать, как работает бизнес, на чем организация зарабатывает деньги или какие госуслуги оказывает муниципальное предприятие.

Ответственный за ИБ должен знать:

• основные процессы организации и специфику обеспечения их ИБ;
• влияние ИТ на деятельность организации;
• обеспечение ИБ;
• современные информационные и телекоммуникационные технологии;
• нормативные правовые акты в области ИБ и ЗИ.

В Постановлении Правительства № 1272 сказано, что ответственный за информационную безопасность должен иметь высшее образование либо пройти курсы профессиональной переподготовки по направлению информационной безопасности:

• высшее профильное образование (специалитет или магистратура) по направлениям ИБ (бакалавриат не подойдет);
• профессиональная переподготовка в области информационной безопасности не менее 360 часов.

Учитывая требования Указа Президента № 250 и Постановления Правительства № 1272 у организации сейчас есть только два варианта, из которых необходимо выбрать подходящий:

• поднять в статусе действующего ответственного по ИБ, так как у него скорее всего уже есть необходимое высшее образование, курсы переподготовки и сертификаты. Но тогда ему нужно будет дать место в коллегиальном органе и наделить большими полномочиями;
• отправить на курсы переподготовки действующего заместителя по ИБ, но тогда человеку необходимо будет уделить обучению много времени, а организации потратить от 300 000 рублей на оплату курсов. Такое обучение нужно проходить не менее одного раза в пять лет.

Создать отдел ИБ

Если раньше организация могла не создавать отдел по информационной безопасности, то сейчас, согласно Указу № 250 и Постановлению № 1272, хотя бы по документам такое подразделение должно быть.

С точки зрения реальной ИБ отдел тоже лучше создать. Он может состоять из нескольких специалистов, которые будут отвечать за установление требований к ИБ, архитектуру, стратегию и контроль ее исполнения и подчиняться заместителю руководителя по ИБ.

Реализацию стратегии информационной безопасности можно передать на аутсорсинг сторонней организации, но только если она имеет необходимые лицензии:

• организации, которые специализируются на защите информации, должны быть лицензиатами ФСТЭК России;
• организации, которые занимаются мониторингом информационной безопасности, должны быть аккредитованными ФСБ России в качестве центра ГосСОПКИ;
• организации, которые оценивают уровень защищенности, должны быть лицензиатом ФСТЭК России и ФСБ России.

Перейти от бумажной безопасности к реальной

В Указе Президента № 250 и Постановлении Правительства № 1272 сделан важный акцент на переход от бумажной ИБ к практической. Стандартные чек-листы и реализация типовых мер без оценки угроз уходят в прошлое.

Теперь ответственные должностные лица и сотрудники отдела информационной безопасности должны выявлять уязвимости и атаки, фиксировать инциденты ИБ и оперативно реагировать на них, а также выполнять ряд других мер, направленных на обеспечение информационной безопасности.

Добиться этого можно как раз с помощью правильной организации системы информационной безопасности в компании. А также не лишним будет проводить различные киберучения, с привлечением специализированных организаций или путем формирования собственной команды Red team.

Вот основной список обязанностей лиц, ответственных за ИБ:

• оценивать на практике возможности использования уязвимостей и угроз;
• формировать перечень и отслеживать недопустимые события;
• оценивать возможности возникновения и реализации недопустимых событий;
• контролировать эффективность действий;
• проводить регулярные киберучения;
• анализировать и оценивать новые угрозы;
• выявлять и устранять угрозы и уязвимости;
• мониторить и реагировать на инцидент ИБ.

Использовать российские средства защиты

Все организации, которые попали под Указ, с 1 января 2025 года не смогут закупать и использовать средства защиты из недружественных государств и организаций, которые им подконтрольны. Список недружественных стран определяет Правительство, он регулярно и непредсказуемо пополняется новыми странами. Поэтому сейчас лучше постепенно переходить с иностранных решений на российские средства защиты.

Вывод

Требования Указа Президента № 250 направлен в первую очередь на переход от «бумажной» информационной безопасности для галочки к реальным шагам, которые помогут предотвратить недопустимые события: крупные финансовые потери, публичные судебные разбирательства, остановка производственных процессов, потеря доли рынка или срыв контрактных обязательств.

Скорее всего в ближайшем будущем появятся еще больше нормативно-правовых актов, которые будут только ужесточать требования к ИБ российских компаний и государственных структур. Поэтому лучше уже сейчас начать выполнять требования регуляторов и правильно подойти к организации системы ИБ, чтобы защитить инфраструктуру компании и избежать утечек защищаемой информации.

Специалисты ITGLOBAL.COM Security могут облегчить задачу организациям, на которые распространяются требования Указа, и взять на себя задачи по защите информации и оценке уровня защищенности, так как у компании есть необходимые лицензии ФСТЭК и ФСБ России.