Кто, что должен выполнить по первомайскому Указу Президента по ИБ (Указ 250)
Посмотрим на зоны ответственности и мероприятия по исполнению Указа Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»:
Органы и организации
Стоит отметить, что по аналогии с Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», используя нормы Русского языка можно манкировать пониманием того, на кого распространяется данный Указ. Здесь данная проблема не рассматривается и под органами и организациями понимаются те из них, которые определены в п. 1 рассматриваемого Указа.
Итак, органы и организации должны:
- Возложить на руководителя персональную ответственность за обеспечение ИБ.
- Определить заместителя, на которого будут возложены полномочия по обеспечению ИБ и обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- Создать отдельное структурное подразделение, ответственное за обеспечение ИБ и обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты (или возложить данные функции на некое уже существующее подразделение).
- Оценить уровень защищённости своих информационных систем (в случае отнесения к ключевым органам или организациям (см. ниже)). Для указанной оценки допускается привлечение лицензиатов ФСТЭК России и ФСБ России.
- Повести инвентаризацию используемых средств защиты информации, определить бенефициаров таких средств, разработать план перехода к 01.01.2025 на использование отечественных средств защиты инфляции.
- Иметь ввиду, что для осуществления мероприятий по обеспечению ИБ и обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты допускается привлекать (в случае необходимости) только лицензиатов ФСТЭК России и (или) ФСБ России и аккредитованные центры ГосСОПКА, соотвественно.
- Быть готовыми предоставить по первому требованию ФСБ России доступ к своим информационным ресурсам (в т. ч. удалённый), доступ к которым обеспечивается посредством сети «Интернет».
Внимание! Не ко всем!
- Выполнять все меры защиты информации в соответствии с поступающей от ФСТЭК России и (или) ФСБ России в адрес органа или организации на регулярной основе информации.
ФСБ России
В рамках рассматриваемого Указа ФСБ России должна:
Вероятно, на этот счёт будет соответствующий нормативный правовой акт, содержащий требования к центрам ГосСОПКА, выступающим соискателями аккредитации, и порядок прохождения самой аккредитации.
- Установить период, в течение которого центры ГосСОПКА могут оказывать соответствующие услуги органам и (или) организациям по старым (действующим) правилам.
- Разработать порядок осуществления мониторинга защищённости информационных ресурсов органов и организаций.
- Обеспечить мониторинг появляющихся угроз в информационной сфере и разработку организационных и технических мер, направленных на их нивелирование, с последующей регулярной рассылкой в адрес органов и организаций.
ФСТЭК России
ФСТЭК России напрямую поручения в рамках рассматриваемого Указа не даются, но, тем не менее, регулятор должен обеспечить мониторинг появляющихся угроз в информационной сфере и разработку организационных и технических мер, направленных на их нивелирование, с последующей регулярной рассылкой в адрес органов и организаций.
Центры ГосСОПКА
Если центр ГосСОПКА заинтересован в оказании услуг по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты для органов и (или) организаций, определённых в рассматриваемом Указе, то необходимо пройти соответствующую аккредитацию, порядок которой определит ФСБ России.
С недавнего времени в услугах по реагированию на компьютерные инциденты заинтересованы и операторы персональных данных. Нужна ли аккредитация и в этом случае?
Правительство Российской Федерации
Своими поручениями по дополнительным мерам по ИБ Президент не обошёл вниманием и Правительство (что, может быть и зря), как следствие ожидаем:
- Типовое положение о заместителе организации, ответственного за обеспечение ИБ.
- Типовое положение о подразделении, ответственном за обеспечение ИБ.
- Перечень ключевых органов и организаций, которым необходимо оценить уровень защищённости своих информационных систем.
Все новое — это хорошо забытое старое, КСИИ возвращается в новой ипостаси?
И ещё, интересно, про АСУ и ИТС (такие знакомые по КИИ) забыли умышленно?
Выводы
ГосСОПКА — наше все.
Скорее всего, исполнение данного Указа, за редким исключением, приведёт к излишней бюрократической нагрузке органов и организаций, угодивших под его исполнение, и полемикам о том, кто попал, а кто нет под его действие. Во всяком случае, на ранних стадиях его реализации.