Первого мая Президент России подписал указ № 250, направленный на обеспечение информационной безопасности ряда ключевых компаний России. К таким компаниям относятся некоторые органы власти, предприятия с государственным участием, субъекты критической информационной инфраструктуры (КИИ), стратегические и системообразующие организации. Рассмотрим подробнее положения принятого указа и выясним, что именно нужно делать компаниям.
Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее — Указ) официально вступил в силу со дня его опубликования, т. е. выполнять его требования необходимо уже с 1 мая 2022 г. Указ нацелен на повышение уровня информационной безопасности критически важных организаций РФ.
Какие организации подпадают под действие Указа? Ряд мер по повышению уровня безопасности информационных ресурсов необходимо выполнить следующим органам (организациям):
- федеральным органам исполнительной власти;
- высшим исполнительным органам государственной власти субъектов РФ;
- государственным фондам;
- государственным корпорациям и государственным компаниям, созданным РФ на основании федерального закона (например, «Росатом», «Газпром», «Русгидро», РЖД и другие);
- стратегическим предприятиям и стратегическим акционерным обществам, перечень которых утверждён Указом Президента РФ от 04.08.2004 № 1009 «Об утверждении перечня стратегических предприятий и стратегических акционерных обществ»;
- юридическим лицам, являющимся субъектами КИИ, т. е. подпадающим под действие Федерального закона от 26.07.2017 № 187-ФЗ;
- системообразующим организациям российской экономики. По состоянию на 20 апреля 2020 г. в перечень таких организаций входило 646 юридических лиц, включая, например, ПАО «Газпром», ООО «Мэйл.ру», АО «ЭР-телеком холдинг», ПАО «Уралкалий», ПАО «Детский мир», ООО «Группа компаний “Русагро”», АО «Гознак», ПАО «Авиакомпания “ЮТэйр”» (группа компаний) и т. д. К июлю 2020 года в перечне было уже порядка 1300 системообразующих организаций. На данный момент ведётся учёт по динамичным отраслевым спискам, находящимся в зоне ответственности профильных министерств, а также утверждены критерии и порядок включения организаций в перечень.
Далее для упрощения мы будем называть вышеперечисленные органы и предприятия одним общим словом — организации.
Что нужно делать организациям в связи с выходом Указа? Рекомендуется произвести следующие действия.
- Установить определённую структуру ответственности за обеспечение ИБ:
- На должностное лицо уровня заместителя руководителя организации нужно возложить полномочия по обеспечению ИБ; на самого руководителя — персональную ответственность за обеспечение ИБ. Стоит предположить, что одним из оптимальных решений будет повышение нынешних руководителей подразделений ИБ или лиц ответственных за ИБ до соответствующих должностей — как минимум, в целях сокращения времени на их погружение в состояние ИБ организации, а также оперативного взаимодействия с контролирующими органами.
- Создать структурное подразделение, ответственное за обеспечение ИБ, либо возложить такие функции на существующее подразделение. Таким образом, просто одной штатной единицы, ответственной за ИБ в организации, теперь будет недостаточно. С учётом кадрового дефицита специалистов по ИБ стоит ожидать ещё большей востребованности квалифицированных кандидатов.
Для таких структурных изменений Правительству РФ поручено к началу июня 2022 г. подготовить типовые положения о заместителе руководителя и о структурном подразделении, обеспечивающим ИБ.
Отметим, что для лиц, которые обеспечивают ИБ значимых объектов КИИ, устанавливаются дополнительные требования к их квалификации (п. 12 приказа ФСТЭК России от 21.12.2017 № 235). При этом не допускается возложение на структурное подразделение не связанных с ИБ функций (п. 13 того же приказа).
- Провести инвентаризацию договоров с подрядными организациями, оказывающими услуги по ИБ, т. к. для таких мероприятий нужно привлекать исключительно организации имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации (выдаёт ФСТЭК России). Учитывать это требование нужно и при принятии дальнейших решений о привлечении подрядчиков. Реестр лицензиатов ФСТЭК России размещён на официальном сайте регулирующего органа в открытом доступе.
- К деятельности по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты теперь можно привлекать только аккредитованные центры государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). На момент написания настоящих комментариев требования к аккредитации центров ГосСОПКА не разработаны. В соответствии с Указом такая аккредитация должна быть организована ФСБ России, при этом будут установлены переходный период и временные рамки, в течение которых можно будет взаимодействовать с неаккредитованными центрами ГосСОПКА, имеющими соглашение о взаимодействии с Национальным координационным центром по компьютерным инцидентам ФСБ России (НКЦКИ).
Таким образом, при необходимости подключения организации к центру ГосСОПКА уже в ближайшем будущем понадобится проверять наличие у них соответствующей аккредитации. После выпуска документов, регулирующих такую аккредитацию, уже взаимодействующим с центрами ГосСОПКА организациям необходимо будет уточнить у центров их планы по аккредитации. В случае отказа или непрохождения центром ГосСОПКА аккредитации придётся осуществить подключение к другому центру ГосСОПКА — аккредитованному.
На протяжении последних двух месяцев НКЦКИ фиксирует многократный рост компьютерных атак, что также находит отражение в требованиях Указа и рекомендациях регулирующих органов. Вследствие этого для своевременного предотвращения компьютерных атак возрастает потребность в постоянном мониторинге состояния ИБ инфраструктуры. При отсутствии собственных ресурсов организаций на такой непрерывный мониторинг будет увеличиваться потребность в подключении к центрам ГосСОПКА.
На момент написания комментариев обязательные требования по подключению организаций к центрам ГосСОПКА отсутствуют. Однако ряд субъектов КИИ (организаций) принимает такое решение в случае необходимости и (или) при наличии решения об обязательном подключении к ГосСОПКА от вышестоящих организаций, госорганов, министерств.
- Организациям из перечня ключевых необходимо провести оценку уровня защищённости своих информационных систем до 1 июля 2022 г. и представить её результаты в Правительство РФ. Перечень ключевых органов (организаций) будет определён Правительством РФ в месячный срок со дня выхода Указа. Порядок, правила и критерии оценки уровня защищённости на текущий момент не определены. К оценке необходимо привлекать подрядные организации — лицензиаты ФСБ России и ФСТЭК России.
Перечень необходимых лицензий подрядной организации нужно определить на основании видов обрабатываемой информации в ИС (наличия сведений составляющих государственную тайну). При отсутствии гостайны в области работ достаточно лицензии ФСТЭК России по технической защите конфиденциальной информации, а при наличии — необходимо привлекать организации, которые имеют лицензии ФСБ России и ФСТЭК России на оказание услуг по защите гостайны.
Отметим, что по тексту Указа определена только оценка уровня защищённости ИС организаций. При этом объектами КИИ в соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ могут быть не только ИС, но и информационно-телекоммуникационные сети, автоматизированные системы управления. Включение иных объектов информационной инфраструктуры, отличных от ИС, в границы оценки уровня защищённости остаётся под вопросом. Предполагаем, что Правительство РФ также в дальнейшем разъяснит перечень объектов, в отношении которых надо будет проводить такую оценку уровня защищённости.
- Организациям необходимо обеспечить постоянный мониторинг рекомендаций по нейтрализации актуальных угроз ИБ, которые им направляют ФСБ России и ФСТЭК России, с незамедлительной реализацией предписанных организационных и технических мер. Также организациям стоит быть готовыми к предоставлению доступа (в том числе удалённого) ФСБ России к информационным ресурсам в целях осуществления мониторинга защищённости. По результатам такого мониторинга потребуется исполнение указаний ФСБ России, при их наличии. Отметим, что в соответствии со ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ субъекты КИИ и ранее должны были оказывать содействие ФСБ России в деятельности связанной с компьютерными инцидентами и атаками.
Что насчёт импортозамещения? Ещё 30 марта текущего года были введены ограничения на приобретение иностранного оборудования и программного обеспечения для субъектов КИИ, которые осуществляют закупки по Федеральному закону от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц», в соответствии с Указом Президента от 30.03.2022 № 166 (с комментариями аналитического центра ООО «УЦСБ» к упомянутому документу можно ознакомиться по ссылке). С 1 января 2025 г. организациям запрещается использовать средства защиты информации, произведённые в недружественных государствах либо организациями под их юрисдикцией, прямо или косвенно подконтрольными им либо аффилированными с ними.
Сейчас в перечень иностранных государств и территорий, совершающих в отношении России, российских компаний и граждан недружественные действия, включено 21 государство, а также все государства — члены Европейского Союза. Например, оборудование американского производства потенциально будет запрещено к использованию. На первый взгляд, средства защиты из Израиля или Китая под такие запреты не подпадают, однако при выборе иностранных решений для защиты информации необходимо не только обращать внимание на страну-производителя, но также проверять аффилированность компании (состав собственников, членов органов управления, лиц имеющих право распоряжаться общим количеством голосов).
Резюмируя, можно сказать, что организациям сейчас нужно провести работы по распределению ответственности за обеспечение ИБ на должностных лиц. В дальнейшем, при необходимости, понадобится привести распорядительные документы о должностных обязанностях ко введённым Правительством РФ нормам. Также необходимо осуществлять мониторинг нормотворческой деятельности Правительства РФ по части выполнения распоряжений Указа и, в случае включения организации в состав ключевых органов (организаций), оперативно провести работы по оценке защищённости информационных ресурсов.
Организациям рекомендовано начать инвентаризацию эксплуатируемого оборудования с выявлением иностранного аппаратного и программного обеспечения, средств защиты информации, с планированием перехода на преимущественное использование отечественных разработок. Также необходимо провести работы по анализу привлекаемых подрядных организаций в области ИБ на наличие у них необходимых лицензий, в дальнейшем — на наличие аккредитации у центров ГосСОПКА. Компаниям в текущей ситуации необходимо быть готовыми к оперативному взаимодействию с регулирующими органами (ФСБ России, ФСТЭК России) и выполнению их указаний.