Просто о сложном: о чем указ Президента РФ № 250
О новых требованиях к компаниям поговорили Алексей Лукацкий, бизнес-консультант по безопасности, и Рустэм Хайретдинов, директор по росту BI.ZONE. Основные тезисы разговора приводим ниже.
По экспертным оценкам, указ затрагивает не менее 500 тысяч организаций, что составляет 90–95% всей российской экономики. Под его действие подпадают основные игроки экономических сфер: государственные структуры, системообразующие организации, стратегические предприятия, а также юридические лица, которые выступают субъектами критической информационной инфраструктуры (КИИ).
При этом нет точного реестра с предприятиями, которым обязательно соблюдать требования. Облегчить задачу могут утвержденные правительством списки стратегических и системообразующих предприятий
Реестра предприятий КИИ в публичном доступе нет. Поэтому организация может самостоятельно оценить себя по 13 сферам деятельности, чтобы понять, подпадает ли она под действие указа.
Критически важные сферы деятельности в соответствии с Федеральным законом от 26.07.2017 № 187‑ФЗ:
- Здравоохранение.
- Наука.
- Транспорт.
- Связь.
- Энергетика.
- Банковская сфера и иные сферы финансового рынка.
- Топливно‑энергетический комплекс.
- Атомная энергетика.
- Оборонная промышленность.
- Ракетно‑космическая промышленность.
- Горнодобывающая промышленность.
- Металлургическая промышленность.
- Химическая промышленность.
Алексей Лукацкий
Точных разъяснений в указе нет. Однако, если предприятие прямо не включено в какой‑то список, но при этом является частью группы компаний, холдинга или корпорации, стоит уточнить в головной организации, распространяются ли на него эти требования.
Зачастую именно это структурное подразделение отвечает за эксплуатацию средств защиты и базовую функциональность в области кибербезопасности, включая антивирусы, сканеры уязвимости и т. д. Идеальный вариант — отдельное подразделение, отвечающее за кибербезопасность. Но подойдет и специалист в непрофильном подразделении. В скором времени ожидается постановление правительства, которое определит требования к ответственному подразделению, его возможной штатной численности, функциям и ролям.
Рустэм Хайретдинов
Итоговое решение принимает каждая конкретная организация. Для принятия решения можно скачать в интернете методики, которые помогут с этим, либо обратиться в профильные компании по кибербезопасности для помощи в выстраивании этого процесса. Например, можно подключить virtual CISO (Chief Information Security Officer). В этом случае компания нанимает профессионала из компании, которая предлагает аутсорс-услуги в сфере кибербезопасности. Внешний эксперт поможет ответственному лицу создать и настроить все нужные процессы внутри организации.