Указ №250 о мерах по обеспечению информационной безопасности в России вступил в силу полтора года назад. Однако ряд моментов, которые регулирует этот закон, все еще вызывает вопросы.
В статье рассмотрим основные аспекты указа, в том числе его действие на бизнес и госсектор, санкции за неисполнение указа, а также ПО, которое поможет его соблюдать.
Указ №250 кратко
Президент России поручил всем государственным органам и компаниям создать специальные отделы, которые будут заниматься защитой информации. Кроме того, с 2025 года эти учреждения и компании не могут использовать средства защиты информации, произведенные в странах, которые не дружественны России, или компаниями из этих стран.
Это требование касается федеральных и региональных властей, государственных фондов и корпораций, а также крупных и важных для экономики компаний. Новые подразделения должны будут обнаруживать и предотвращать кибератаки, а также устранять их последствия. Правительство России разработает правила для работы этих отделов. При необходимости госорганы и компании смогут нанимать для защиты информации внешние компании с соответствующей лицензией. Кроме того, для борьбы с кибератаками можно привлекать только специально аккредитованные центры.
Также предусмотрено, что сотрудники ФСБ должны иметь свободный доступ, включая удаленный, к информационным ресурсам этих органов и компаний для контроля их безопасности.
На кого распространяется
Сферы деятельности, на которые распространяется указ по информационной безопасности указаны ниже.
- топливно-энергетический комплекс;
- транспорт;
- оборонная промышленность;
- металлургическая промышленность;
- банковская сфера и иные сферы финансового рынка;
- атомная энергетика;
- связь;
- здравоохранение;
- горнодобывающая промышленность;
- химическая промышленность;
- наука;
- энергетика;
- ракетно-космическая промышленность.
Указ №250 о кибербезопасности охватывает широкий круг учреждений и компаний. По оценкам экспертов под его действие попадают около 500 тысяч различных организаций.
Ответственность за кибербезопасность может быть поручена IT-департаменту
Обычно данное подразделение занимается управлением средствами защиты и основными задачами в сфере кибербезопасности, такими как антивирусные программы, инструменты для обнаружения уязвимостей и прочее. Лучшим решением будет создание специализированного отдела по кибербезопасности. Однако подходящим вариантом может стать и назначение специалиста в отдел, который изначально не специализируется на этом. Ожидается, что в ближайшее время будет издано правительственное постановление, устанавливающее критерии для такого подразделения, в том числе требования к его составу, задачам и полномочиям.
Давайте разберем подробнее, что конкретно должны выполнять попадающие под действие указа организации.
№1. Структурное подразделение и ответственное лицо
Организации, на которые распространяется указ №250 2022 года о информационной безопасности, столкнулись с необходимостью изменить свою структуру. Это означало создание нового подразделения или назначение ответственного за информационную безопасность, если такового не было. В случаях, когда эти обязанности возлагались на IT-отдел, требовалось пересмотреть и обновить множество внутренних документов, включая приказы и инструкции.
Также важным аспектом стало назначение заместителя руководителя, отвечающего за информационную безопасность. Эта должность предполагает прямое подчинение руководителю и необходимость следования его указаниям в области защиты информации, что потребовало пересмотра приоритетов во многих организациях.
№2. Взаимодействие с подрядчиками
Взаимодействие с подрядчиками по информационной безопасности изменилось после введения указа №250. Согласно указу, теперь для проведения аудитов информационной безопасности и устранения последствий кибератак можно привлекать только аккредитованные центры, утвержденные корпоративным центром Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
ФСБ установила трехлетний период адаптации к этому требованию, начиная с декабря 2022 года. В течение этого времени компании могут проводить действия по кибербезопасности на основе соглашений, заключенных непосредственно с ФСБ.
№3. Импортозамещение
Указ президента 2022 года ставит перед компаниями задачу полностью отказаться от иностранных средств защиты информации, созданных в недружественных России странах, в течение более 2,5 лет - с мая 2022 года до января 2025 года. На момент написания статьи большинство этого срока уже прошло, но многие организации всё ещё сталкиваются с трудностями при переходе на отечественное программное обеспечение.
Обратите внимание
К решениям, которые включены в реестр отечественного ПО имеют сертификат ФСТЭК относятся, в частности, ПО Staffcop и «Стахановец».
Staffcop Enterprise — это комплексное решение для защиты информации в компаниях, позволяющее проводить детальные расследования. С его помощью можно контролировать доступ к данным на рабочих компьютерах, настраивать разрешенные носители информации и блокировать передачу данных между различными устройствами. Эта система также позволяет следить за всеми операциями с файлами, включая их передачу, копирование и перемещение, а также контролировать использование Интернета и переписку сотрудников.
Staffcop Enterprise обеспечивает сбор и анализ данных о действиях сотрудников, позволяя быстро выявлять связанные события и определять виновных в случае утечки информации. Программа обеспечивает комплексный контроль за действиями сотрудников, предупреждая возможные утечки и помогая оперативно реагировать на инциденты, соответствуя требованиям законодательства о защите персональных данных.
Еще одно решение для вышеуказанных задач – ПО «Стахановец». Это программное решение, разработанное специально для менеджеров, HR-директоров и IT-профессионалов.
«Стахановец» обладает следующими функциями для обеспечения безопасности информации.
- Предупреждение утечки данных. Он способен выявлять потенциальные риски, связанные с действиями сотрудников, что помогает предотвратить утечку информации.
- Мониторинг интернет-активности. «Стахановец» отслеживает посещаемые сотрудниками сайты и используемые программы, фиксируя время, проведенное на каждом ресурсе.
- Оповещения о подозрительных действиях. Программа уведомляет об опасных или подозрительных действиях сотрудников и может блокировать их выполнение.
- Контроль коммуникаций. ПО перехватывает и анализирует электронную почту, сообщения в мессенджерах и переписку в социальных сетях, обеспечивая дополнительный уровень надзора за обменом информацией.
Что будет, если не соблюдать указ
Если игнорировать или затягивать с выполнением указанных директив, возможно привлечение к ответственности по административному и уголовному законодательству РФ.
Кроме того, в случае продолжения использования программных продуктов, инструментов и сервисов от поставщиков из стран, внесённых в список недружественных государств, может последовать усиление надзора со стороны ФСБ. Подобные действия также возможны в отношении организаций, предоставляющих услуги в области кибербезопасности без соответствующей лицензии ФСТЭК.
Если организация не следует требованиям указа и происходит инцидент, связанный с информационной безопасностью, это может привести к негативным последствиям как для самой организации, так и для лица, ответственного за кибербезопасность.
Это подчеркивает важность соблюдения требований указа, чтобы предотвратить возможные проблемы в будущем.
Итог: что важно запомнить?
Указ №250 по кибербезопасности оказал значительное влияние на данную область. Эксперты, опрошенные Cyber Media, подчеркивают, что главная цель документа - сфокусировать внимание организаций на ключевых аспектах информационной безопасности, что успешно достигнуто.
С принятием указа возникли ожидаемые трудности с импортозамещением средств защиты информации и обучением специалистов для их эффективного применения.
Но при этом, указ стал стимулом для развития этих областей: как в плане роста предложения образовательных курсов для профессионалов в сфере информационной безопасности, так и в разработке национального программного обеспечения.
