Просто о сложном: о чем указ Президента РФ № 250
О новых требованиях к компаниям поговорили Алексей Лукацкий, бизнес-консультант по безопасности, и Рустэм Хайретдинов, директор по росту BI.ZONE. Основные тезисы разговора приводим ниже.
По экспертным оценкам, указ затрагивает не менее 500 тысяч организаций, что составляет 90–95% всей российской экономики. Под его действие подпадают основные игроки экономических сфер: государственные структуры, системообразующие организации, стратегические предприятия, а также юридические лица, которые выступают субъектами критической информационной инфраструктуры (КИИ).
При этом нет точного реестра с предприятиями, которым обязательно соблюдать требования. Облегчить задачу могут утвержденные правительством списки стратегических и системообразующих предприятий
Реестра предприятий КИИ в публичном доступе нет. Поэтому организация может самостоятельно оценить себя по 13 сферам деятельности, чтобы понять, подпадает ли она под действие указа.
Критически важные сферы деятельности в соответствии с Федеральным законом от 26.07.2017 № 187‑ФЗ:
- Здравоохранение.
- Наука.
- Транспорт.
- Связь.
- Энергетика.
- Банковская сфера и иные сферы финансового рынка.
- Топливно‑энергетический комплекс.
- Атомная энергетика.
- Оборонная промышленность.
- Ракетно‑космическая промышленность.
- Горнодобывающая промышленность.
- Металлургическая промышленность.
- Химическая промышленность.
Алексей Лукацкий
Точных разъяснений в указе нет. Однако, если предприятие прямо не включено в какой‑то список, но при этом является частью группы компаний, холдинга или корпорации, стоит уточнить в головной организации, распространяются ли на него эти требования.
Зачастую именно это структурное подразделение отвечает за эксплуатацию средств защиты и базовую функциональность в области кибербезопасности, включая антивирусы, сканеры уязвимости и т. д. Идеальный вариант — отдельное подразделение, отвечающее за кибербезопасность. Но подойдет и специалист в непрофильном подразделении. В скором времени ожидается постановление правительства, которое определит требования к ответственному подразделению, его возможной штатной численности, функциям и ролям.
Рустэм Хайретдинов
Итоговое решение принимает каждая конкретная организация. Для принятия решения можно скачать в интернете методики, которые помогут с этим, либо обратиться в профильные компании по кибербезопасности для помощи в выстраивании этого процесса. Например, можно подключить virtual CISO (Chief Information Security Officer). В этом случае компания нанимает профессионала из компании, которая предлагает аутсорс-услуги в сфере кибербезопасности. Внешний эксперт поможет ответственному лицу создать и настроить все нужные процессы внутри организации.
Cложно предсказать, как организации будут менять сложившуюся и существующую годами структуру внутреннего управления. Вероятно, на это будут готовы далеко не все. Однако в указе есть пункт про персональную ответственность руководителя организации за обеспечение киберзащиты компании. И это изменит отношение к значимости вопроса кибербезопасности.
Алексей Лукацкий
Это одна из инноваций в указе. Он прямо говорит о том, что ответственный за кибербезопасность должен занимать должность не ниже заместителя гендиректора, поднимая тем самым кибербезопасность в компании на иной уровень. Кроме того, скоро ожидается постановление правительства, которое определит должностные обязанности, границы ответственности, а также требования к образованию и обучению кандидата. Такое постановление поможет определить, кого именно назначить на эту должность.
В случае холдинга, состоящего из нескольких юридических лиц, ответственный должен быть назначен в каждой дочерней компании.
Указ в очередной раз напоминает, что привлекаться могут только подрядные организации, имеющие лицензию ФСТЭК на осуществление деятельности по защите конфиденциальной информации (а возможно, и лицензию ФСБ). Если раньше компанию было сложно наказать за то, что она обращалась к подрядчику без лицензии, то теперь это сделать будет легко.
Под требование о проведении анализа защищенности до 1 июля подпадают не все — правительство определило перечень более чем из 70 компаний, которые должны его провести. 7 июня Министерство цифрового развития разослало по ключевым организациям типовое техническое задание на выполнение работ по оценке уровня защищенности информационной инфраструктуры. Речь идет не о полноценном аудите, а базовом самоконтроле, после чего могут быть предприняты более практические меры.
Такой самоконтроль необходим в первую очередь для самой компании: так она всегда будет понимать, что происходит у нее внутри. Например, для одной компании может оказаться сюрпризом, что у нее нет безопасников, для другой — что не хватает решений по безопасности или преобладают иностранные решения.
Алексей Лукацкий
Почти в каждом пункте указа говорится о том, что компании нужно выстроить процесс, связанный с обнаружением, предотвращением и ликвидацией компьютерных атак. Это подразумевает возрастающую роль государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Компаниям, если они этого еще не сделали, стоит подключиться к порталу ГосСОПКА и в автоматизированном режиме начать передавать информацию об инцидентах либо воспользоваться услугами коммерческих SOC, которые готовы выполнить функцию корпоративного центра ГосСОПКА и обеспечить передачу информации об инциденте за заказчика.
Многие российские IT‑вендоры не были готовы к тому, чтобы оперативно заменить иностранных, и у них есть нерешенные задачи по производительности, масштабируемости и управляемости. Также остается открытым вопрос, каким образом делить страны на дружественные и недружественные для использования средств защиты, учитывая существование стран в серой зоне и дружественных стран, которые не поставляют в Россию подобные средства.
Алексей Лукацкий
Согласно закону о безопасности КИИ, устанавливать какие‑либо требования для субъектов КИИ возможно только на уровне федерального закона или постановления правительства, поэтому для предприятий КИИ прямых рисков неисполнения указа пока нет. А для государственных заказов невыполнение прямого распоряжения Президента влечет за собой различные дисциплинарные виды воздействия. Для коммерческих предприятий действует Кодекс об административных правонарушениях, который подразумевает ответственность за невыполнение обязательных требований по защите информации. При этом следует помнить, что в 2022 году введен мораторий на большое количество надзорных мероприятий. Поэтому принятие указа не означает моментального наказания тех, кто не соблюдает требования. Ожидается, что до конца года у организаций будет возможность подготовиться и выполнить базовые требования, а далее регуляторы начнут более активно проверять выполнение пунктов указа.
Если компания международная, она может подпасть под локальные корпоративные требования и не иметь возможности сменить операционную систему. В таком случае компании следует обратиться к совету директоров или риск‑комитету и описать риски, связанные с невыполнением этого указа, либо использовать дополнительные средства защиты.
Помимо указа готовится множество подзаконных актов. Речь идет как минимум о двух постановлениях правительства, упомянутых в указе, правилах аккредитации со стороны Федеральной службы безопасности, ее методичках по реагированию на инциденты кибербезопасности для организаций, подпавших под действие указа. Дополнительно по результатам последнего заседания Совета безопасности РФ будет выпущено еще немалое количество документов, которые могут сильно переформатировать всю область кибербезопасности в России.
Рустэм Хайретдинов