Кто, что должен выполнить по первомайскому Указу Президента по ИБ?

Посмотрим на зоны ответственности и мероприятия по исполнению Указа Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»:

1. Органы и организации
2. ФСБ России
3. ФСТЭК России
4. Центры ГосСОПКА
5. Правительство Российской Федерации

Органы и организации

Стоит отметить, что по аналогии с Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критическойинформационной инфраструктуры Российской Федерации», используя нормы Русского языка можно манкировать пониманием того, на кого распространяется данный Указ. Здесь данная проблема не рассматривается и под органами и организациями понимаются те из них, которые определены в п. 1 рассматриваемого Указа.

Итак, органы и организации должны:

• Возложить на руководителя персональную ответственность за обеспечение ИБ.
• Определить заместителя, на которого будут возложены полномочия по обеспечению ИБ и обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
• Создать отдельное структурное подразделение, ответственное за обеспечение ИБ и обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты (или возложить данные функции на некое уже существующее подразделение).
• Оценить уровень защищённости своих информационных систем (в случае отнесения к ключевым органам или организациям (см. ниже)).
• Для указанной оценки допускается привлечение лицензиатов ФСТЭК России и ФСБ России.
• Повести инвентаризацию используемых средств защиты информации, определить бенефициаров таких средств, разработать план перехода к 01.01.2025 на использование отечественных средств защиты инфляции.
• Иметь ввиду, что для осуществления мероприятий по обеспечению ИБ и обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты допускается привлекать (в случае необходимости) только лицензиатов ФСТЭК России и (или) ФСБ России и аккредитованные центры ГосСОПКА, соотвественно.
• Быть готовыми предоставить по первому требованию ФСБ России доступ к своим информационным ресурсам (в т.ч. удалённый), доступ к которым обеспечивается посредством сети «Интернет».

Внимание! Не ко всем!

• Выполнять все меры защиты информации в соответсвии с поступающей от ФСТЭК России и (или) ФСБ России в адрес органа или организации на регулярной основе информации.

ФСБ России

В рамках рассматриваемого Указа ФСБ России должна:

• Организовать аккредитацию центров ГосСОПКА.

Вероятно, на этот счёт будет соответствующий нормативный правовой акт, содержащий требования к центрам ГосСОПКА, выступающим соискателями аккредитации, и порядок прохождения самой аккредитации.

• Установить период, в течение которого центры ГосСОПКА могут оказывать соответствующие услуги органам и (или) организациям по старым (действующим) правилам.
• Разработать порядок осуществления мониторинга защищённости информационных ресурсов органов и организаций.
• Обеспечить мониторинг появляющихся угроз в информационной сфере и разработку организационных и технических мер, направленных на их нивелирование, с последующей регулярной рассылкой в адрес органов и организаций.

ФСТЭК России

ФСТЭК России напрямую поручения в рамках рассматриваемого Указа не даются, но, тем не менее, регулятор должен обеспечить мониторинг появляющихся угроз в информационной сфере и разработку организационных и технических мер, направленных на их нивелирование, с последующей регулярной рассылкой в адрес органов и организаций.

Центры ГосСОПКА

Если центр ГосСОПКА заинтересован в оказании услуг по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты для органов и (или) организаций, определённых в рассматриваемом Указе, то необходимо пройти соответствующую аккредитацию, порядок которой определит ФСБ России.

Правительство Российской Федерации

Своими получениями по дополнительным мерам по ИБ Президент не обошёл вниманием и Правительство (что, может быть и зря), как следствие ожидаем:

• Типовое положение о заместителе организации, ответственного за обеспечение ИБ.
• Типовое положение о подразделении, ответственном за обеспечение ИБ.
• Перечень ключевых органов и организаций, которым необходимо оценить уровень защищённости своих информационных систем.
• Порядок оценки уровня защищённости информационных систем ключевых органов и организаций.

Выводы

Скорее всего, исполнение данного Указа, за редким исключением, приведёт к излишней бюрократической нагрузке органов и организаций, угодивших под его исполнение, и полемикам о том, кто попал, а кто нет под его действие. Во всяком случае, на ранних стадиях его реализации.

1Софт предлагает помочь госсектору пройти этот путь максимально проще. Мы поможем в части орагнизации:

• оценки уровеня защищённости информационных систем;
• проведения консультаций и поставки необходимого программного обеспечения для предупреждения и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты;
• проведения инвентаризации используемых средств защиты информации.

Так как, 1Софт - навигатор в мире софта.