Кто, что должен выполнить по первомайскому Указу Президента по ИБ

Кто, что должен выполнить по первомайскому Указу Президента по ИБ

Листок бюрократической защиты информации

Посмотрим на зоны ответственности и мероприятия по исполнению Указа Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»:

  1. Органы и организации.
  2. ФСБ России.
  3. ФСТЭК России.
  4. Центры ГосСОПКА.
  5. Правительство Российской Федерации.

Органы и организации

Стоит отметить, что по аналогии с Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критическойинформационной инфраструктуры Российской Федерации», используя нормы Русского языка можно манкировать пониманием того, на кого распространяется данный Указ. Здесь данная проблема не рассматривается и под органами и организациями понимаются те из них, которые определены в п. 1 рассматриваемого Указа.

Итак, органы и организации должны:

  • Возложить на руководителя персональную ответственность за обеспечение ИБ.
  • Определить заместителя, на которого будут возложены полномочия по обеспечению ИБ и обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
  • Создать отдельное структурное подразделение, ответственное за обеспечение ИБ и обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты (или возложить данные функции на некое уже существующее подразделение).
  • Оценить уровень защищённости своих информационных систем (в случае отнесения к ключевым органам или организациям (см. ниже)). Для указанной оценки допускается привлечение лицензиатов ФСТЭК России и ФСБ России.
  • Повести инвентаризацию используемых средств защиты информации, определить бенефициаров таких средств, разработать план перехода к 01.01.2025 на использование отечественных средств защиты инфляции. 
  • Иметь ввиду, что для осуществления мероприятий по обеспечению ИБ и обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты допускается привлекать (в случае необходимости) только лицензиатов ФСТЭК России и (или) ФСБ России и аккредитованные центры ГосСОПКА, соотвественно.
  • Быть готовыми предоставить по первому требованию ФСБ России доступ к своим информационным ресурсам (в т.ч. удалённый), доступ к которым обеспечивается посредством сети «Интернет».
Внимание! Не ко всем!
  • Выполнять все меры защиты информации в соответсвии с поступающей от ФСТЭК России и (или) ФСБ России в адрес органа или организации на регулярной основе информации.


ФСБ России

В рамках рассматриваемого Указа ФСБ России должна:

  • Организовать аккредитацию центров ГосСОПКА.
Вероятно, на этот счёт будет соответствующий нормативный правовой акт, содержащий требования к центрам ГосСОПКА, выступающим соискателями аккредитации, и порядок прохождения самой аккредитации.
  • Установить период, в течение которого центры ГосСОПКА могут оказывать соответствующие услуги органам и (или) организациям по старым (действующим) правилам.
  • Разработать порядок осуществления мониторинга защищённости информационных ресурсов органов и организаций.
  • Обеспечить мониторинг появляющихся угроз в информационной сфере и разработку организационных и технических мер, направленных на их нивелирование, с последующей регулярной рассылкой в адрес органов и организаций.

ФСТЭК России

ФСТЭК России напрямую поручения в рамках рассматриваемого Указа не даются, но, тем не менее, регулятор должен обеспечить мониторинг появляющихся угроз в информационной сфере и разработку организационных и технических мер, направленных на их нивелирование, с последующей регулярной рассылкой в адрес органов и организаций.

Центры ГосСОПКА

Если центр ГосСОПКА заинтересован в оказании услуг по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты для органов и (или) организаций, определённых в рассматриваемом Указе, то необходимо пройти соответствующую аккредитацию, порядок которой определит ФСБ России.

А много ли на данный момент тех, кого данные услуги интересуют вне рассматриваемого Указа и 187-ФЗ (взаимодействие с ГосСОПКА для операторов ПДн пока ещё в проекте)?

Правительство Российской Федерации

Своими получениями по дополнительным мерам по ИБ Президент не обошёл вниманием и Правительство (что, может быть и зря), как следствие ожидаем:

  • Типовое положение о заместителе организации, ответственного за обеспечение ИБ.
  • Типовое положение о подразделении, ответственном за обеспечение ИБ.
  • Перечень ключевых органов и организаций, которым необходимо оценить уровень защищённости своих информационных систем.
Все новое - это хорошо забытое старое, КСИИ возвращается в новой ипостаси?
И ещё, интересно, про АСУ и ИТС (такие знакомые по КИИ) забыли умышленно?

Выводы

ГосСОПКА - наше все.
Скорее всего, исполнение данного Указа, за редким исключением, приведёт к излишней бюрократической нагрузке органов и организаций, угодивших под его исполнение, и полемикам о том, кто попал, а кто нет под его действие. Во всяком случае, на ранних стадиях его реализации.

В начало

Вернуться в Telegram-канал «Листок бюрократической защиты информации»

Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org