Горячая линия Разъяснения, рекомендации и новости по Указу Президента РФ от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации"
15.07.22 Положение Правительства о заме по ИБ и о структурном подразделении
Правительство Российской Федерации утвердило Постановление № 1272 "Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)".
В начале мая был опубликован Указ Президента, направленный на повышение устойчивости и безопасности функционирования информационных ресурсов Российской Федерации. Попадающим под действия указа организациям необходимо провести оценку уровня защищенности своих информационных систем и до 1 июля 2022 г. представить доклад в Правительство Российской Федерации.
Это и подтолкнуло нас собрать материал, связанный с данным Указом в единый аналитический архив и организовать Горячую линию. Итак, поехали!
Кто подпадает под Указ:
-
федеральные органы исполнительной власти;
-
высшие исполнительные органы государственной власти субъектов Российской Федерации;
-
государственные фонды;
-
государственные корпорации (компании);
-
юридические лица, являющиеся субъектами критической информационной инфраструктуры Российской Федерации;
-
иные организации, созданные на основании федеральных законов.
Календарь событий:
-
01.01.25C 1 января 2025 г. органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.
-
15.07.22Правительство Российской Федерации утвердило Постановление № 1272 "Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)".Читать в VB.Log
-
22.06.22Правительство РФ в Распоряжении № 1661-р от 22.06.2022 утвердило перечень организаций, которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем до 01.07.2022. Всего в перечне 72 организации.
-
10.06.22Сформирован перечень организаций, которые должны до 01.07.2022 провести оценку защищенности своих информационных систем с привлечением лицензиатов ФСТЭК и ФСБ (п. 3б Указа). В 58 организаций отправлены письма Минцифры от 7 июня. Из документа следует, что до 1 июля они должны провести оценку уровня защищенности своих информационных систем от киберугроз. Для оценки компании могут привлечь любые профильные организации - лицензиатов ФСТЭК и ФСБ.
-
03.06.22Минцифры опубликовало типовые требования к процедуре оценки защищенности, шаблон и пример заполнения отчета – для организаций, перечень которых должно отдельно сформировать Правительство РФ.
-
31.05.22ФСБ России опубликовала проект приказа о возложении на НКЦКИ задачи по аккредитации центров ГосСОПКИ.
-
31.05.22ФСБ России планирует утвердить переходный период длиною в год, в течение которого центрам ГосСОПКА разрешено работать в контексте Указа без дополнительной аккредитации.
-
Федеральной службе безопасности Российской Федерации необходимо определить порядок осуществления мониторинга защищенности информационных ресурсов, принадлежащих органам (организациям) либо используемых ими, и осуществлять такой мониторинг.
Перечень первоочередных мероприятий
Несмотря на то, что Указ не вводит явных сроков по исполнению большинства поручений (кроме оценки уровня защищенности для определенных Правительством РФ организацийдо 01.07.2022и импортаземещения СЗИдо 01.01.2025), дополнительные мероприятия проводить нужно. Вот их состав:
-
Аудит и инвентаризация текущих активов – ИТ/ИБ инфраструктуры, обрабатываемых данных, ИС, применяемых мер ИБ, штатной структуры.
-
Оценка уровня защищенности (для организаций из отдельного перечня - с учетом проектов документов, опубликованных Минцифрой).
-
Оценка задач, которые могут быть возложены на отдел по ИБ с определением потребностей в количестве сотрудников, требованиями к их квалификации/опыту работы. Встраивание подразделения в текущую штатную структуру.
-
Оценка задач, которые могут быть возложены на заместителя руководителя по ИБ, разграничение зоны его ответственности.
-
Возложение на руководителя организации персональной ответственности за обеспечение ИБ.
-
Уточнение способов взаимодействия с регуляторами (в идеале – налаживание контактов для оперативного взаимодействия).
-
Инвентаризация имеющихся и планируемых контрактов/договоров с подрядчиками по ИБ – должны остаться только лицензиаты ФСТЭК/ФСБ. А в течение года – работающие на уровне подрядчиков центры ГосСОПКИ должны стать аккредитованными.
-
Обеспечить мониторинг и реализацию рекомендаций по нейтрализации актуальных угроз ИБ, которые направляются ФСБ России и ФСТЭК России.
-
Формирование дорожной карты мероприятий по построению/актуализации системы ИБ с учетом:
- результатов оценки защищенности;
- требований ФСБ России к мониторингу из Указа;
- меняющейся штатной структуры организации;
- текущих возможностей по импортозамещению;
- дополнительных требований регуляторов, рассылаемых в последние несколько месяцев.
Компания VolgaBlob готова помочь в реализации описанного набора мероприятий, обладая для этого необходимыми лицензиями и опытом.
Часто задаваемые вопросы
Кто должен выполнять положения Указа?
-
федеральные органы исполнительной власти;
-
высшие исполнительные органы государственной власти субъектов Российской Федерации;
-
государственные фонды;
-
государственные корпорации (компании);
-
юридические лица, являющиеся субъектами критической информационной инфраструктуры Российской Федерации;
-
иные организации, созданные на основании федеральных законов.
Кому нужно пройти процедуру оценки уровня защищенности?
К 01.07.2022 - только организациям из специального перечня (об этом в явном виде указано в п. 4 Указа. Сам перечень подготовило Правительство РФ – п. 3б Указа).
Прочим организациям, приведенным в Указе, можно рекомендовать регулярно проводить процедуру оценки уровня защищенности в рамках осуществления мероприятий по ИБ.
Как проводить процедуру оценки уровня защищенности?
Минцифры опубликовало типовые требования к процедуре оценки уровня защищенности, шаблон и пример заполнения отчета.
Можно ли изменять ТЗ Минцифры по оценке уровня защищенности?
Компания VolgaBlob направляла в Минцифры следующий запрос:
Ниже цитата из ответа ведомства за подписью Директора Департамента обеспечения кибербезопасности В.Н. Бенгина:
Что делать с импортозамещением СЗИ?
Первоначально 30.03.2022 были введены ограничения на приобретение иностранного оборудования и программного обеспечения для субъектов КИИ, которые осуществляют закупки по Федеральному закону от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц», в соответствии с Указом Президента от 30.03.2022 № 166.
Организациям необходимо провести анализ ИБ-инфраструктуры. Далее выделить средства защиты, производимые организациями из недружественных стран, составить план перехода к 01.01.2025 на альтернативные СЗИ (с учетом требований к ИБ).
Какие ближайшие шаги нужны сделать организациям из списка в Указе?
-
Аудит и инвентаризация текущих активов – ИТ/ИБ инфраструктуры, обрабатываемых данных, ИС, применяемых мер ИБ, штатной структуры.
-
Оценка уровня защищенности (для организаций из отдельного перечня - с учетом проектов документов, опубликованных Минцифрой).
-
Оценка задач, которые могут быть возложены на отдел по ИБ с определением потребностей в количестве сотрудников, требованиями к их квалификации/опыту работы. Встраивание подразделения в текущую штатную структуру.
-
Оценка задач, которые могут быть возложены на заместителя руководителя по ИБ, разграничение зоны его ответственности.
-
Возложение на руководителя организации персональной ответственности за обеспечение ИБ.
-
Уточнение способов взаимодействия с регуляторами (в идеале – налаживание контактов для оперативного взаимодействия).
-
Инвентаризация имеющихся и планируемых контрактов/договоров с подрядчиками по ИБ – должны остаться только лицензиаты ФСТЭК/ФСБ. А в течение года – работающие на уровне подрядчиков центры ГосСОПКИ должны стать аккредитованными.
-
Обеспечить мониторинг и реализацию рекомендаций по нейтрализации актуальных угроз ИБ, которые направляются ФСБ России и ФСТЭК России.
-
Формирование дорожной карты мероприятий по построению/актуализации системы ИБ с учетом:
- результатов оценки защищенности;
- требований ФСБ России к мониторингу из Указа;
- меняющейся штатной структуры организации;
- текущих возможностей по импортозамещению;
- дополнительных требований регуляторов, рассылаемых в последние несколько месяцев.
Есть ли рассылки с требованиями по ИБ, которые Указ обязуется незамедлительно реализовывать?
Что меняется в части использования для мониторинга коммерческих SOC?
В 2023 году (если учитывать предоставленную SOC отсрочку) все SOC, оказывающие услуги мониторинга и передачи информации в ГосСОПКА, должны будут пройти процедуру аккредитации. В настоящий момент взаимодействие с ними может осуществляться по установленному ранее порядку. В соответствии с Указом такая аккредитация должна быть организована ФСБ России.
SOC должны обеспечивать должностным лицам органов федеральной службы безопасности беспрепятственный доступ (в том числе удаленный) к принадлежащим органам (организациям) либо используемым ими информационным ресурсам, доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети "Интернет", в целях осуществления мониторинга, предусмотренного подпунктом "в" пункта 5 Указа, а также обеспечивать исполнение указаний, данных органами федеральной службы безопасности по результатам такого мониторинга.
Что надо знать об ответственном по информационной безопасности?
Должен быть создан отдел по ИБ или эта задача должна быть возложена на иное подразделение.
Заместитель руководителя назначается ответственным за ИБ. Руководитель несет персональную ответственность за ИБ.
Для лиц, которые обеспечивают ИБ значимых объектов КИИ, устанавливаются дополнительные требования к их квалификации (п. 12 приказа ФСТЭК России от 21.12.2017 № 235). П