С мая 2022 года в российских госорганах, компаниях с госучастием, а также любых организациях, отнесённых к владельцам критически важных информационных систем, действуют новые правила по обеспечению информационной безопасности. Это связано с участившимися взломами сайтов и баз данных госучреждений, утечками информации за пределы круга доверенных лиц, а также повышенным интересом к компьютерной инфраструктуре госорганов, научных и оборонных предприятий со стороны иностранных спецслужб и хакерских группировок.
Новые правила коснутся госорганов, ведомств и корпораций, транспортных компаний, больниц, финансовых и некоторых образовательных организаций, которые обрабатывают персональные данные и другую важную информацию.
Специальным Указом Президента установлены следующие мероприятия, реализация которых намечена на ближайшие месяцы:
- Руководитель будет нести персональную ответственность за информационную безопасность в организации, ответственным за ИБ назначается один из заместителей руководителя. Это потребует не только внесения изменений в штатную документацию госорганов и компаний, но и, возможно, кадровых перестановок в них.
- Учитывая требования к специалистам по безопасности, есть вероятность, что новоиспечённых ответственных за информационную безопасность придётся дополнительно обучить по соответствующим программам. Это от 100 до 500 учебных часов, а значит, чтобы уложиться в отведённые сроки, сотрудникам придется посвятить лето учёбе, а не отпуску.
- В каждой организации, будь то госорган, учреждение или любая компания-субъект КИИ, вопросами обеспечения информационной безопасности будет заниматься специальный отдел. Указ допускает как создание отдельного подразделения, которому и поручаются все компетенции по ИБ, так и передача полномочий и ответственности за безопасность в уже существующие отдел. Причём спецотдел может состоять даже из одного сотрудника — специалиста по информационной безопасности, однако юридически в кадровой документации он должен быть регламентирован именно как подразделение организации.
- Разработка положений о вышеуказанных подразделениях по ИБ и заместителях руководителя, ответственных за ИБ, находится в компетенции Правительства РФ. При этом есть риск, что это будет слишком рамочный документ с общими формулировками, которые должны учитывать все многообразие видов деятельности организаций: начиная от районных больниц и муниципалитетов, и заканчивая режимными объектами и высшими органами власти.
- Все организации, упомянутые в Указе, обязаны неукоснительно исполнять все требования ФСБ и ФСТЭК, касающиеся обеспечения информационной безопасности, а также обнаруживать и ликвидировать последствия компьютерных атак. Из содержания указа следует, что компаниям и учреждениями придётся подключиться к системе ГосСОПКА, а это в свою очередь связано с реализацией еще ряда требований. Кроме того, необходимо вести мониторинг, используя специальные методики, содержание которых засекречено, а значит, придётся оформить лицензию ФСБ на работу с гостайной. Либо ФСБ придётся разработать отдельные методики для реализации требований нового Указа.
Другой вариант: привлечь к обеспечению информационной безопасности компании фирму с лицензией ФСТЭК на защиту информации. Однако это требует дополнительного финансирования (это не каждой фирме по карману). К тому же, постоянный мониторинг безопасности сторонних организаций вправе вести только компании, аккредитованные в ФСБ, а таких явно недостаточно, чтобы удовлетворить будущий спрос. - Организации обязаны предоставить ФСБ неограниченный доступ к информационной инфраструктуре, в том числе удалённый. Суть требования заключается в том, чтобы не чинить препятствий сотрудникам ведомства в случае возникновения и расследования инцидентов (например, утечки данных, взлома, несанкционированного уничтожения информации и т. д.) Предоставление удалённого доступа само по себе создает «дыру» в безопасности объекта, а значит, маловероятно массовое выполнение данного требования.
- Правительство определяет список организаций, которые в обязательном порядке должны оценить степень защищённости своей информационной системы с привлечением фирмы с лицензией ФСБ и ФСТЭК, а затем представить данные отчётов в Правительство. Срок исполнения — до 1 июля 2022 года.
- С 1 января 2025 года все органы и организации, подпадающие под действия Указа, обязаны выполнить запрет на использование средств защиты информации (оборудование и ПО), которые разработаны и (или) созданы в недружественных государствах либо в организациях, находящихся под контролем таких государств. Несмотря на то, что переход на отечественное ПО и средства технической защиты данных декларируется уже который год, в стране даже на стратегически важных предприятиях продолжают использовать зарубежные технические и программные средства разработки США и Европы. Теперь придётся показать реальное импортозамещение, только уже в сжатые сроки.
Как видим, у компаний с лицензиями ФСБ и ФСТЭК на защиту информации и на допуск к гостайне предстоит много работы. Мы поможем оформить нужную лицензию быстро и с гарантией, чтобы вы успели получить выгодные контракты. Звоните!