Какой будет информационная безопасность КИИ в РФ по Указу № 250

4 мая 2022 года был опубликован Указ Президента России №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Документ призван усилить защиту в сфере критической информационной инфраструктуры (КИИ), а его требования затрагивают полмиллиона российских организаций. Объясняем, в чем суть указа и какие перемены произойдут в компаниях.

В соответствии с документом потребуется пересмотреть должность сотрудника, который обеспечивает информационную безопасность.

Теперь за ИБ должен отвечать специалист, напрямую подчиняющийся совету высших должностных лиц компании, например, правлению или дирекции. Должность руководителя отдела защиты информации не отвечает требованиям Указа. После публикации документа контролировать соблюдение мер ИБ предстоит заместителю гендиректора.
Ранее государство не обязывало организации иметь свой отдел ИБ. Согласно требованиям Указа №250 и Постановления №1272 каждая из компаний, попадающих под действие нормативных документов, должна иметь структурное подразделение, отвечающее за информационную защиту.

Еще одно положение документа, которое скажется на деятельности организаций, — запрет на применение средств информационной защиты, разработанных в недружественных государствах.

Начиная с 2025 года компании не смогут пользоваться иностранными защитными системами. Список недружественных государств периодически обновляется, поэтому в ближайшее время организациям предстоит перейти на программное и аппаратное обеспечение российского производства.

Указ не содержит принципиально новых требований, скорее, он подсвечивает ряд положений, которые уже фигурируют в опубликованных документах.

Основные тезисы:

• Руководитель компании лично отвечает за соблюдение мер кибербезопасности.

Документ акцентирует внимание на том, что персональную ответственность в рамках административного и уголовного законодательства несет первое лицо компании.

• Реальная, а не бумажная ИБ.

Аттестационные мероприятия и следование чек-листам не уберегут от реальных злоумышленников. Ресурсы организации должны позволять фактически выявлять уязвимости в системе информационной защиты, оценивать угрозы и своевременно реагировать на кибератаки.

• Эффективные меры информационной безопасности — приоритет компании.

Указ №250 ставит вопрос кибербезопасности на верхний уровень приоритетов.
Теперь за обеспечение ИБ должен отвечать человек, относящийся к первым лицам компании и обладающий определенным образованием и компетенциями.

Одно из обязательных требований, отраженных в документе, — формирование специального отдела обеспечения информационной защиты. В идеале, такой департамент должен существовать не только на бумаге, а фактически обеспечивать безопасность.
Каждая организация должна иметь собственную стратегию ИБ. Реализацию этой стратегии и контроль ее выполнения можно передать на аутсорсинг внешней организации. Указ 250 разрешает такой формат взаимодействия при условии, что привлекаемые подрядчики соответствуют следующим требованиям:

• Организации, выполняющие функцию защиты ИБ, должны иметь лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК).
• Мониторингом ИБ разрешено заниматься организациям, аккредитованным ФСБ и признанным центрами Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
• Оценку уровня защищенности можно доверить компаниям с лицензиями ФСТЭК и ФСБ.

Нормативные акты, связанные с 250 Указом:

• Постановление Правительства Российской Федерации от 15.07.2022 №1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)».
• Постановление Правительства Российской Федерации от 13.05.2022 №860 «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений».
• Распоряжение Правительства Российской Федерации от 22.06.2022 №1661-р «Об утверждении перечня ключевых органов (организаций), которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСБ России и ФСТЭК России».
• Указ Президента Российской Федерации от 30.03.2022 №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».
• Типовое техническое задание на выполнение работ по оценке уровня защищенности информационной инфраструктуры.

Изначально предполагалось, что документ будет касаться небольшого числа организаций. По факту под его действие попадают все компании, относящиеся к КИИ:

• Органы государственной власти
• Высшие исполнительные органы власти
• Государственные фонды и корпорации
• Стратегические предприятия и акционерные общества
• Системообразующие организации российской экономики
• Субъекты КИИ

Субъект критической информационной инфраструктуры (КИИ) — это любая компания, которая действует в сфере финансов, транспорта, энергетики, топлива, науки, промышленности, здравоохранения и связи. По сути, это все значимые организации, которые напрямую или косвенно влияют на российскую экономику, национальную безопасность и обороноспособность страны.

Опыт и навыки, которыми должен обладать специалист, отвечающий за ИБ, регламентированы Постановлением Правительства Российской Федерации от 15.07.2022 № 1272.
Список основных обязанностей специалиста по информационной безопасности:

• Анализ и устранение уязвимостей в системе ИБ.
• Поиск и формирование списка недопустимых событий.
• Контроль эффективности принятых мер.
• Проведение регулярных обучений по кибербезопасности.
• Мониторинг инцидентов ИБ для быстрого реагирования.

Также Постановлением №1272 утверждено, что замруководителя по ИБ, должен обладать высшим профессиональным образованием по одному из направлений:

• «Информационная безопасность»
• «Компьютерная безопасность»
• «ИБ телекоммуникационных систем»
• «ИБ автоматизированных систем»
• «Информационно-аналитические системы безопасности»
• «Безопасность ИТ в правоохранительных органах»

Человек, отвечающий за ИБ, должен закончить специалитет или магистратуру, так как диплом бакалавра не соответствует требованиям Указа. Если нужного образования нет, ему понадобится пройти курсы профессиональной переподготовки.

В соответствии с приказом Министерства образования и науки РФ №1316 от 19.10.2020 г. программа профессиональной переподготовки в сфере ИБ должен быть не меньше 360 часов.
Повышать квалификацию и повторно проходить обучение необходимо раз в 5 лет, что достаточно затратно по времени. Кроме того, в учебных учреждениях чаще всего предлагаются программы переподготовки, рассчитанные на 500 и более часов.
В России действует около 200 организаций, обучающих по программам информационной безопасности и кибербезопасности. С их перечнем можно ознакомиться на официальном сайте ФСТЭК.
По Указу № 250 согласовывать программу переподготовки не нужно, можно выбрать любой курс длительностью не менее 360 часов. Однако Приказ Минобразования №1316 обязывает образовательные учреждения утверждать содержание курсов со Службой внешней разведки РФ и ФСБ.

Сам по себе документ не является федеральным законом, поэтому субъекты КИИ пока не несут прямых рисков несоблюдения требований Указа. Их деятельность по-прежнему регламентируется только постановлениями правительства РФ или федеральными нормативными правовыми актами.
Строго придерживаться Указа №250 следует государственным структурам, к ним могут применяться дисциплинарные меры воздействия в случае неисполнения требований документа.
Ответственность коммерческих организаций в вопросе информационной безопасности контролируется Кодексом об административных правонарушениях.
В соответствии с 250 Указом обязательства за соблюдение ИБ лежат на руководителе компании. К нему могут применяться и административные, и уголовные меры ответственности.