Указ об усилении информационной безопасности под контролем ФСБ

Дата публикации: 29 января 2024

Вадим Владимирович Петров
Ведущий эксперт по защите информации

222

С мая 2022 года в российских госорганах, компаниях с госучастием, а также любых организациях, отнесенных к владельцам критически важных информационных систем, действуют новые правила по обеспечению информационной безопасности. Это связано с участившимися взломами сайтов и баз данных госучреждений, утечками информации за пределы круга доверенных лиц, а также повышенным интересом к компьютерной инфраструктуре госорганов, научных и оборонных предприятий со стороны иностранных спецслужб и хакерских группировок.

Новые правила коснутся госорганов, ведомств и корпораций, транспортных компаний, больниц, финансовых и некоторых образовательных организаций, которые обрабатывают персональные данные и другую важную информацию.

Специальным Указом Президента установлены следующие мероприятия, реализация которых намечена на ближайшие месяцы:

• Руководитель будет нести персональную ответственность за информационную безопасность в организации, ответственным за ИБ назначается один из заместителей руководителя. Это потребует не только внесения изменений в штатную документацию госорганов и компаний, но и, возможно, кадровых перестановок в них.
 
• Учитывая требования к специалистам по безопасности, есть вероятность, что новоиспеченных ответственных за информационную безопасность придется дополнительно обучить по соответствующим программам. Это от 100 до 500 учебных часов, а значит, чтобы уложиться в отведенные сроки, сотрудникам придется посвятить лето учебе, а не отпуску.
 
• В каждой организации, будь то госорган, учреждение или любая компания-субъект КИИ, вопросами обеспечения информационной безопасности будет заниматься специальный отдел. Указ допускает как создание отдельного подразделения, которому и поручаются все компетенции по ИБ, так и передача полномочий и ответственности за безопасность в уже существующие отдел. Причем спецотдел может состоять даже из одного сотрудника — специалиста по информационной безопасности, однако юридически в кадровой документации он должен быть регламентирован именно как подразделение организации.
 
• Разработка положений о вышеуказанных подразделениях по ИБ и заместителях руководителя, ответственных за ИБ, находится в компетенции Правительства РФ. При этом есть риск, что это будет слишком рамочный документ с общими формулировками, которые должны учитывать все многообразие видов деятельности организаций: начиная от районных больниц и муниципалитетов, и заканчивая режимными объектами и высшими органами власти.
 
• Все организации, упомянутые в Указе, обязаны неукоснительно исполнять все требования ФСБ и ФСТЭК, касающиеся обеспечения информационной безопасности, а также обнаруживать и ликвидировать последствия компьютерных атак. Из содержания указа следует, что компаниям и учреждениями придется подключиться к системе ГосСоПКА, а это в свою очередь связано с реализацией еще ряда требований. Кроме того, необходимо вести мониторинг, используя специальные методики, содержание которых засекречено, а значит, придется оформить лицензию ФСБ на работу с гостайной. Либо ФСБ придется разработать отдельные методики для реализации требований нового Указа.
  Другой вариант: привлечь к обеспечению информационной безопасности компании фирму с лицензией ФСТЭК на защиту информации. Однако это требует дополнительного финансирования (это не каждой фирме по карману). К тому же, постоянный мониторинг безопасности сторонних организаций вправе вести только компании, аккредитованные в ФСБ, а таких явно недостаточно, чтобы удовлетворить будущий спрос.
 
• Организации обязаны предоставить ФСБ неограниченный доступ к информационной инфраструктуре, в том числе удаленный. Суть требования заключается в том, чтобы не чинить препятствий сотрудникам ведомства в случае возникновения и расследования инцидентов (например, утечки данных, взлома, несанкционированного уничтожения информации и т.д.) Предоставление удаленного доступа само по себе создает «дыру» в безопасности объекта, а значит, маловероятно массовое выполнение данного требования.
 
• Правительство определяет список организаций, которые в обязательном порядке должны оценить степень защищенности своей информационной системы с привлечением фирмы с лицензией ФСБ и ФСТЭК, а затем представить данные отчетов в Правительство. Срок исполнения — до 1 июля 2022 года.
 
• С 1 января 2025 года все органы и организации, подпадающие под действия Указа, обязаны выполнить запрет на использование средств защиты информации (оборудование и ПО), которые разработаны и (или) созданы в недружественных государствах либо в организациях, находящихся под контролем таких государств. Несмотря на то, что переход на отечественное ПО и средства технической защиты данных декларируется уже который год, в стране даже на стратегически важных предприятиях продолжают использовать зарубежные технические и программные средства разработки США и Европы. Теперь придется показать реальное импортозамещение, только уже в сжатые сроки.

Как видим, у компаний с лицензиями ФСБ и ФСТЭК на защиту информации и на допуск к гостайне предстоит много работы. Мы поможем оформить нужную лицензию быстро и с гарантией, чтобы вы успели получить выгодные контракты. Звоните!

Нужна консультация по новости?

Проконсультироваться