Перейти к содержимому

Горячая линия
Разъяснения, рекомендации и новости по Указу Президента РФ от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации"

Информация на данной странице обновляется по мере публикации разъяснений, официальных позиций контролирующих органов и экспертных заключений.

15.07.22
Положение Правительства о заме по ИБ и о структурном подразделении

Правительство Российской Федерации утвердило Постановление № 1272 "Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)".

Читать в VB.Log
В начале мая был опубликован Указ Президента, направленный на повышение устойчивости и безопасности функционирования информационных ресурсов Российской Федерации. Попадающим под действия указа организациям необходимо провести оценку уровня защищенности своих информационных систем и до 1 июля 2022 г. представить доклад в Правительство Российской Федерации.
Это и подтолкнуло нас собрать материал, связанный с данным Указом в единый аналитический архив и организовать Горячую линию. Итак, поехали!

Кто подпадает под Указ:

Календарь событий:

  • 01.01.25
    C 1 января 2025 г. органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.
  • 15.07.22
    Правительство Российской Федерации утвердило Постановление № 1272 "Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)".
    Читать в VB.Log
  • 22.06.22
    Правительство РФ в Распоряжении № 1661-р от 22.06.2022 утвердило перечень организаций, которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем до 01.07.2022. Всего в перечне 72 организации.
  • 10.06.22
    Сформирован перечень организаций, которые должны до 01.07.2022 провести оценку защищенности своих информационных систем с привлечением лицензиатов ФСТЭК и ФСБ (п. Указа). В 58 организаций отправлены письма Минцифры от 7 июня. Из документа следует, что до 1 июля они должны провести оценку уровня защищенности своих информационных систем от киберугроз. Для оценки компании могут привлечь любые профильные организации - лицензиатов ФСТЭК и ФСБ.
  • 03.06.22
    Минцифры опубликовало типовые требования к процедуре оценки защищенности, шаблон и пример заполнения отчета – для организаций, перечень которых должно отдельно сформировать Правительство РФ.
  • 31.05.22
    ФСБ России опубликовала проект приказа о возложении на НКЦКИ задачи по аккредитации центров ГосСОПКИ.
  • 31.05.22
    ФСБ России планирует утвердить переходный период длиною в год, в течение которого центрам ГосСОПКА разрешено работать в контексте Указа без дополнительной аккредитации.
  • Федеральной службе безопасности Российской Федерации необходимо определить порядок осуществления мониторинга защищенности информационных ресурсов, принадлежащих органам (организациям) либо используемых ими, и осуществлять такой мониторинг.

Перечень первоочередных мероприятий

Несмотря на то, что Указ не вводит явных сроков по исполнению большинства поручений (кроме оценки уровня защищенности для определенных Правительством РФ организаций
до 01.07.2022
и импортаземещения СЗИ
до 01.01.2025
), дополнительные мероприятия проводить нужно. Вот их состав:
  • Аудит и инвентаризация текущих активов – ИТ/ИБ инфраструктуры, обрабатываемых данных, ИС, применяемых мер ИБ, штатной структуры.
  • Оценка уровня защищенности (для организаций из отдельного перечня - с учетом проектов документов, опубликованных Минцифрой).
  • Оценка задач, которые могут быть возложены на отдел по ИБ с определением потребностей в количестве сотрудников, требованиями к их квалификации/опыту работы. Встраивание подразделения в текущую штатную структуру.
  • Оценка задач, которые могут быть возложены на заместителя руководителя по ИБ, разграничение зоны его ответственности.
  • Возложение на руководителя организации персональной ответственности за обеспечение ИБ.
  • Уточнение способов взаимодействия с регуляторами (в идеале – налаживание контактов для оперативного взаимодействия).
  • Инвентаризация имеющихся и планируемых контрактов/договоров с подрядчиками по ИБ – должны остаться только лицензиаты ФСТЭК/ФСБ. А в течение года – работающие на уровне подрядчиков центры ГосСОПКИ должны стать аккредитованными.
  • Обеспечить мониторинг и реализацию рекомендаций по нейтрализации актуальных угроз ИБ, которые направляются ФСБ России и ФСТЭК России.
  • Формирование дорожной карты мероприятий по построению/актуализации системы ИБ с учетом:
    • результатов оценки защищенности;
    • требований ФСБ России к мониторингу из Указа;
    • меняющейся штатной структуры организации;
    • текущих возможностей по импортозамещению;
    • дополнительных требований регуляторов, рассылаемых в последние несколько месяцев.
Компания VolgaBlob готова помочь в реализации описанного набора мероприятий, обладая для этого необходимыми лицензиями и опытом.

Запросить консультацию
В номере должны быть только цифры
Invalid Input
Пожалуйста, введите ваше Имя и Фамилию
Некорректный адрес электронной почты

Часто задаваемые вопросы

Кто должен выполнять положения Указа?

Кому нужно пройти процедуру оценки уровня защищенности?

К 01.07.2022 - только организациям из специального перечня (об этом в явном виде указано в п. 4 Указа. Сам перечень подготовило Правительство РФ – п. 3б Указа).

Прочим организациям, приведенным в Указе, можно рекомендовать регулярно проводить процедуру оценки уровня защищенности в рамках осуществления мероприятий по ИБ.

Как проводить процедуру оценки уровня защищенности?

Минцифры опубликовало типовые требования к процедуре оценки уровня защищенности, шаблон и пример заполнения отчета.

Можно ли изменять ТЗ Минцифры по оценке уровня защищенности?

Компания VolgaBlob направляла в Минцифры следующий запрос:

Может ли лицензиат ФСТЭК России и ФСБ России, выступающий в качестве Исполнителя, адаптировать положения типового ТЗ, включая требования к численности, квалификации и опыту необходимого для выполнения работ персонала соразмерно с задачами конкретного проекта и спецификой инфраструктуры объекта защиты?

Ниже цитата из ответа ведомства за подписью Директора Департамента обеспечения кибербезопасности В.Н. Бенгина:

В рамках реализации мероприятий по оценке уровня защищенности информационной инфраструктуры согласно типовому техническому заданию, опубликованному на официальном сайте Минцифры России, лицензиаты ФСТЭК и ФСБ России, выступающие в качестве исполнителя по работам, могут адаптировать положения типового технического задания, включая требования к численности, квалификации и опыту необходимого для выполнения работ персонала соразмерно с задачами конкретного проекта и спецификой инфраструктуры объекта защиты.

Скачать письмо

Что делать с импортозамещением СЗИ?

Первоначально 30.03.2022 были введены ограничения на приобретение иностранного оборудования и программного обеспечения для субъектов КИИ, которые осуществляют закупки по Федеральному закону от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц», в соответствии с Указом Президента от 30.03.2022 № 166.

Организациям необходимо провести анализ ИБ-инфраструктуры. Далее выделить средства защиты, производимые организациями из недружественных стран, составить план перехода к 01.01.2025 на альтернативные СЗИ (с учетом требований к ИБ).

Какие ближайшие шаги нужны сделать организациям из списка в Указе?

  • Аудит и инвентаризация текущих активов – ИТ/ИБ инфраструктуры, обрабатываемых данных, ИС, применяемых мер ИБ, штатной структуры.
  • Оценка уровня защищенности (для организаций из отдельного перечня - с учетом проектов документов, опубликованных Минцифрой).
  • Оценка задач, которые могут быть возложены на отдел по ИБ с определением потребностей в количестве сотрудников, требованиями к их квалификации/опыту работы. Встраивание подразделения в текущую штатную структуру.
  • Оценка задач, которые могут быть возложены на заместителя руководителя по ИБ, разграничение зоны его ответственности.
  • Возложение на руководителя организации персональной ответственности за обеспечение ИБ.
  • Уточнение способов взаимодействия с регуляторами (в идеале – налаживание контактов для оперативного взаимодействия).
  • Инвентаризация имеющихся и планируемых контрактов/договоров с подрядчиками по ИБ – должны остаться только лицензиаты ФСТЭК/ФСБ. А в течение года – работающие на уровне подрядчиков центры ГосСОПКИ должны стать аккредитованными.
  • Обеспечить мониторинг и реализацию рекомендаций по нейтрализации актуальных угроз ИБ, которые направляются ФСБ России и ФСТЭК России.
  • Формирование дорожной карты мероприятий по построению/актуализации системы ИБ с учетом:
    • результатов оценки защищенности;
    • требований ФСБ России к мониторингу из Указа;
    • меняющейся штатной структуры организации;
    • текущих возможностей по импортозамещению;
    • дополнительных требований регуляторов, рассылаемых в последние несколько месяцев.

Есть ли рассылки с требованиями по ИБ, которые Указ обязуется незамедлительно реализовывать?

Рекомендуется мониторить соответствующий раздел сайта НКЦКИ для получения актуальной информации о требуемых со стороны организаций мероприятиях.

Что меняется в части использования для мониторинга коммерческих SOC?

В 2023 году (если учитывать предоставленную SOC отсрочку) все SOC, оказывающие услуги мониторинга и передачи информации в ГосСОПКА, должны будут пройти процедуру аккредитации. В настоящий момент взаимодействие с ними может осуществляться по установленному ранее порядку. В соответствии с Указом такая аккредитация должна быть организована ФСБ России.

SOC должны обеспечивать должностным лицам органов федеральной службы безопасности беспрепятственный доступ (в том числе удаленный) к принадлежащим органам (организациям) либо используемым ими информационным ресурсам, доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети "Интернет", в целях осуществления мониторинга, предусмотренного подпунктом "в" пункта 5 Указа, а также обеспечивать исполнение указаний, данных органами федеральной службы безопасности по результатам такого мониторинга.

Что надо знать об ответственном по информационной безопасности?

Должен быть создан отдел по ИБ или эта задача должна быть возложена на иное подразделение.

Заместитель руководителя назначается ответственным за ИБ. Руководитель несет персональную ответственность за ИБ.

Для лиц, которые обеспечивают ИБ значимых объектов КИИ, устанавливаются дополнительные требования к их квалификации (п. 12 приказа ФСТЭК России от 21.12.2017 № 235). П

Каких организаций-подрядчиков можно правлекать для работ по выполнению требований Указа?

Для оценки организации могут привлечь любые профильные организации - лицензиатов ФСТЭК и ФСБ. Перечень необходимых лицензий подрядной организации нужно определить на основании видов обрабатываемой информации в ИС (наличия сведений составляющих государственную тайну). Минимально необходимой (но в ряде случаев недостаточной) является лицензия ФСТЭК России по технической защите конфиденциальной информации.