Наверх
Gendalf Gendalf

Указ №250 о мерах по обеспечению информационной безопасности в России вступил в силу полтора года назад. Однако ряд моментов, которые регулирует этот закон, все еще вызывает вопросы.

В статье рассмотрим основные аспекты указа, в том числе его действие на бизнес и госсектор, санкции за неисполнение указа, а также ПО, которое поможет его соблюдать.

Указ №250 кратко

Президент России поручил всем государственным органам и компаниям создать специальные отделы, которые будут заниматься защитой информации. Кроме того, с 2025 года эти учреждения и компании не могут использовать средства защиты информации, произведенные в странах, которые не дружественны России, или компаниями из этих стран.

Это требование касается федеральных и региональных властей, государственных фондов и корпораций, а также крупных и важных для экономики компаний. Новые подразделения должны будут обнаруживать и предотвращать кибератаки, а также устранять их последствия. Правительство России разработает правила для работы этих отделов. При необходимости госорганы и компании смогут нанимать для защиты информации внешние компании с соответствующей лицензией. Кроме того, для борьбы с кибератаками можно привлекать только специально аккредитованные центры.

Также предусмотрено, что сотрудники ФСБ должны иметь свободный доступ, включая удаленный, к информационным ресурсам этих органов и компаний для контроля их безопасности.

На кого распространяется

Сферы деятельности, на которые распространяется указ по информационной безопасности указаны ниже.

  • топливно-энергетический комплекс;
  • транспорт;
  • оборонная промышленность;
  • металлургическая промышленность;
  • банковская сфера и иные сферы финансового рынка;
  • атомная энергетика;
  • связь;
  • здравоохранение;
  • горнодобывающая промышленность;
  • химическая промышленность;
  • наука;
  • энергетика;
  • ракетно-космическая промышленность.

Указ №250 о кибербезопасности охватывает широкий круг учреждений и компаний. По оценкам экспертов под его действие попадают около 500 тысяч различных организаций.

Ответственность за кибербезопасность может быть поручена IT-департаменту

Обычно данное подразделение занимается управлением средствами защиты и основными задачами в сфере кибербезопасности, такими как антивирусные программы, инструменты для обнаружения уязвимостей и прочее. Лучшим решением будет создание специализированного отдела по кибербезопасности. Однако подходящим вариантом может стать и назначение специалиста в отдел, который изначально не специализируется на этом. Ожидается, что в ближайшее время будет издано правительственное постановление, устанавливающее критерии для такого подразделения, в том числе требования к его составу, задачам и полномочиям.

Давайте разберем подробнее, что конкретно должны выполнять попадающие под действие указа организации.

№1. Структурное подразделение и ответственное лицо

Организации, на которые распространяется указ №250 2022 года о информационной безопасности, столкнулись с необходимостью изменить свою структуру. Это означало создание нового подразделения или назначение ответственного за информационную безопасность, если такового не было. В случаях, когда эти обязанности возлагались на IT-отдел, требовалось пересмотреть и обновить множество внутренних документов, включая приказы и инструкции.

Также важным аспектом стало назначение заместителя руководителя, отвечающего за информационную безопасность. Эта должность предполагает прямое подчинение руководителю и необходимость следования его указаниям в области защиты информации, что потребовало пересмотра приоритетов во многих организациях.

№2. Взаимодействие с подрядчиками

Взаимодействие с подрядчиками по информационной безопасности изменилось после введения указа №250. Согласно указу, теперь для проведения аудитов информационной безопасности и устранения последствий кибератак можно привлекать только аккредитованные центры, утвержденные корпоративным центром Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

ФСБ установила трехлетний период адаптации к этому требованию, начиная с декабря 2022 года. В течение этого времени компании могут проводить действия по кибербезопасности на основе соглашений, заключенных непосредственно с ФСБ.

№3. Импортозамещение

Указ президента 2022 года ставит перед компаниями задачу полностью отказаться от иностранных средств защиты информации, созданных в недружественных России странах, в течение более 2,5 лет - с мая 2022 года до января 2025 года. На момент написания статьи большинство этого срока уже прошло, но многие организации всё ещё сталкиваются с трудностями при переходе на отечественное программное обеспечение.

horse.png

Обратите внимание

К решениям, которые включены в реестр отечественного ПО имеют сертификат ФСТЭК относятся, в частности, ПО Staffcop и «Стахановец».

Staffcop Enterprise — это комплексное решение для защиты информации в компаниях, позволяющее проводить детальные расследования. С его помощью можно контролировать доступ к данным на рабочих компьютерах, настраивать разрешенные носители информации и блокировать передачу данных между различными устройствами. Эта система также позволяет следить за всеми операциями с файлами, включая их передачу, копирование и перемещение, а также контролировать использование Интернета и переписку сотрудников.

Staffcop Enterprise обеспечивает сбор и анализ данных о действиях сотрудников, позволяя быстро выявлять связанные события и определять виновных в случае утечки информации. Программа обеспечивает комплексный контроль за действиями сотрудников, предупреждая возможные утечки и помогая оперативно реагировать на инциденты, соответствуя требованиям законодательства о защите персональных данных.

Еще одно решение для вышеуказанных задач – ПО «Стахановец». Это программное решение, разработанное специально для менеджеров, HR-директоров и IT-профессионалов.

«Стахановец» обладает следующими функциями для обеспечения безопасности информации.

  1. Предупреждение утечки данных. Он способен выявлять потенциальные риски, связанные с действиями сотрудников, что помогает предотвратить утечку информации.
  2. Мониторинг интернет-активности. «Стахановец» отслеживает посещаемые сотрудниками сайты и используемые программы, фиксируя время, проведенное на каждом ресурсе.
  3. Оповещения о подозрительных действиях. Программа уведомляет об опасных или подозрительных действиях сотрудников и может блокировать их выполнение.
  4. Контроль коммуникаций. ПО перехватывает и анализирует электронную почту, сообщения в мессенджерах и переписку в социальных сетях, обеспечивая дополнительный уровень надзора за обменом информацией.

Что будет, если не соблюдать указ

Если игнорировать или затягивать с выполнением указанных директив, возможно привлечение к ответственности по административному и уголовному законодательству РФ.

Кроме того, в случае продолжения использования программных продуктов, инструментов и сервисов от поставщиков из стран, внесённых в список недружественных государств, может последовать усиление надзора со стороны ФСБ. Подобные действия также возможны в отношении организаций, предоставляющих услуги в области кибербезопасности без соответствующей лицензии ФСТЭК.

Если организация не следует требованиям указа и происходит инцидент, связанный с информационной безопасностью, это может привести к негативным последствиям как для самой организации, так и для лица, ответственного за кибербезопасность.

Это подчеркивает важность соблюдения требований указа, чтобы предотвратить возможные проблемы в будущем.

Итог: что важно запомнить?

Указ №250 по кибербезопасности оказал значительное влияние на данную область. Эксперты, опрошенные Cyber Media, подчеркивают, что главная цель документа - сфокусировать внимание организаций на ключевых аспектах информационной безопасности, что успешно достигнуто.

С принятием указа возникли ожидаемые трудности с импортозамещением средств защиты информации и обучением специалистов для их эффективного применения.

Но при этом, указ стал стимулом для развития этих областей: как в плане роста предложения образовательных курсов для профессионалов в сфере информационной безопасности, так и в разработке национального программного обеспечения.


Поделиться  

Рейтинг статьи:

4.9

(на основе 12 голосов)