Новые требования к обеспечению информационной безопасности

1 мая 2022 г. вступил в силу Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», который ввел новые требования к обеспечению информационной безопасности информационных ресурсов России.

Указ распространяется на следующие организации:

• Федеральные органы исполнительной власти и высшие исполнительные органы государственной власти субъектов Российской Федерации
• Государственные фонды, корпорации и иные организации, созданные на основании федеральных законов
• Стратегические предприятия и стратегические акционерные общества¹
• Системообразующие организации российской экономики²
• Юридические лица, являющиеся субъектами критической информационной инфраструктуры³

Для соответствия новым требованиям Указа организациям потребуется:

• возложить на заместителя руководителя полномочия по обеспечению информационной безопасности и реагированию на кибератаки
• создать структурное подразделение по обеспечению информационной безопасности и реагированию на кибератаки
• при необходимости привлекать организации, которые обладают лицензией на осуществление деятельности по технической защите конфиденциальной информации, для обеспечения информационной безопасности
• при необходимости привлекать аккредитованные центры государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) для реагирования на компьютерные атаки
• обеспечить должностным лицам службы безопасности беспрепятственный доступ к информационным ресурсам организации для мониторинга защищенности информационных ресурсов и обеспечения исполнения указаний службы безопасности. Доступ также следует обеспечить и к ресурсам, которые организация использует через Интернет доступ
• прекратить с 1 января 2025 г. использование средств защиты информации, которые были созданы в «недружественных» иностранных государствах.

Указ также возложил личную ответственность на руководителей организаций за обеспечение информационной безопасности соответствующей организации.

В связи с новыми требованиями Правительством РФ до 1 июня 2022 г. будут созданы следующие документы:

• типовое положение о подразделении по обеспечению информационной безопасности и реагированию на кибератаки
• типовое положение о заместителе руководителя организации
• перечень организаций, которым потребуется оценить уровень защищенности информационных систем и до 1 июня предоставить доклад в Правительство Российской Федерации

Считаем, что указанные изменения положительно скажутся на системе защиты информации в РФ и снизят риски утечки персональных данных и приостановки работы производств, связанных с информационными инфраструктурами.

¹Указ Президента РФ от 4 августа 2004 г. № 1009 «Об утверждении Перечня стратегических предприятий и стратегических акционерных обществ»
² Актуальный перечень системообразующих организаций указан в отраслевых списках профильных министерств.
³п. 8 ст. 2 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»