Первого мая 2022 года был принят двести пятидесятый указ Президента РФ, небольшой документ на 4 страницы, очень сильно меняющий требования к защите информации. Несложно догадаться, что предпосылкой для данного указа стала геополитическая ситуация, вызвавшая переход в «недружественный» лагерь и полный уход с рынка основных мировых поставщиков решений в сфере информационной безопасности. Также повысились риски кибератак против инфраструктуры Российской Федерации. 

Документ касается:

— федеральных органов исполнительной власти и высших исполнительных органов государственной власти субъектов РФ;

— государственных фондов (пенсионных, фондов медицинского страхования);- госкорпораций и организаций в их составе;

— предприятий созданных на основании федерального закона;- стратегических предприятий и акционерных обществ;

— системообразующих организаций российской экономики;

— субъектов КИИ не зависимо от наличия значимых объектов.

Указ возлагает персональную ответственность на руководителей предприятий за обеспечение информационной безопасности и обязует возложить полномочия по обеспечению информационной безопасности на заместителя руководителя. Таким образом, в организациях, подпадающих под действие указа, должна появиться должность замдиректора по ИБ. Нельзя просто возложить эти обязанности на действующего заместителя по безопасности и режиму, так как к заместителю по ИБ предъявляются требования в виде профильного профессионального образования либо переподготовке не менее 360 часов в области информационной безопасности.

Видится два способа обеспечить выполнение этого требования – отправлять действующего заместителя по безопасности на переподготовку, либо вести новую ставку заместителя по ИБ  и искать профильного специалиста. Неизвестно какой из двух вариантов проще, специалисты по ИБ на рынке труда в дефиците, а действующие заместители по безопасности чаще всего военные или полицейские пенсионеры крайне далекие и от ИБ и от технических средств защиты информации.

Далее требуется создать подразделение, которое осуществляет функции по обеспечению ИБ, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить эти функции на существующее подразделение. Чаще всего обязанности по обеспечению ИБ возлагают на отдел ИТ. Это может быть ошибкой. Часто специалисты в области ИТ не обладают необходимыми навыками для обеспечения ИБ, это первое. Второе – у отдела ИТ становится слишком много полномочий и средств для влияния на работу предприятия. Сотрудники отдела ИТ, если на них возложено еще и обеспечение ИБ, смогут компрометировать и изменять любые данные бесконтрольно, устранять следы любого вмешательства, замалчивать инциденты чтобы не допустить депремирования. Именно по этому функции отделов ИТ и ИБ стоит разделять, как и разделять их подчинение. Таким образом, рекомендуется создать отдельное подразделение по ИБ укомплектованное профильными специалистами, в подчинении заместителя по ИБ. Если такое подразделение уже есть, то проследить, что в его обязанности входят упомянутые в указе обнаружение, предупреждение и ликвидация последствий атак, реагирование на инциденты. Если организация маленькая и не может позволить себе отдел по ИБ, то эти функции можно возложить на заместителя по ИБ и обойтись одним человеком с профильным образованием.

Второй вариант – аутсорсинг. Указ допускает привлекать в случае необходимости сторонние организации для обеспечения ИБ. Заместитель по ИБ в этом случае все равно будет нужен, но сторонние профессионалы полностью заменят отдел ИБ. Требование к таким организациям только одно – действующая лицензия на техническую защиту конфиденциальной информации.

Стоит еще упомянуть, что в организациях, которых касается указ, часто обрабатывается государственная тайна, и соответственно есть режимные подразделения по защите гостайны. Возлагать функции по защите конфиденциальной информации на подразделение по защите гостайны нельзя, это надо учитывать.

Также указ приказывает в случае необходимости подключаться к авторизированным центрам ГосСОПКА. Это решение должен принимать заместитель по ИБ.

Обеспечение доступа контролирующих органов, скорее всего, чем-то неожиданным не станет, так, как уже было сказано, в подпадающих под действие указа организациях часто обрабатывается гостайна, а это подразумевает постоянный контроль регуляторов. Если же нет, то необходимо проследить, что в числе утвержденных в организации документов в сфере ИБ был «Регламент по взаимодействию с госрегулятором» и назначен ответственный за его исполнение.

Указ утверждает перечень организаций, которым необходимо осуществить мероприятия по контролю уровня защищенности с привлечением сторонних организаций (это важно) и предоставить отчет в правительство РФ. Указ не подразумевает проведение таких мероприятий своими силами, а значит, в любом случае придется привлекать сторонних специалистов. В пакет такого контроля входит аудит, пентест, проверка соответствия требованиям законодательства, полноты организационно-распорядительной документации и т.д. Полученный в ходе этой проверки отчет от организации-исполнителя отправляется организацией-заказчиком в правительство РФ.

Ну и самая тяжелая для исполнения часть указа – запрет с 1 января 2025 года использовать иностранные средства защиты информации, точнее средства произведенные в недружественных государствах. А это почти все государства, кроме Китая. Под это требование попадают и межсетевые экраны (Cisco), и антивирусы, и операционные системы, если они их средствами реализуются требования по ЗИ (идентификация и аутентификация, например). Выход один. Переходить на отечественные или китайские продукты, в случае с аппаратным обеспечением и на отечественные ОС и антивирусы, в случае с программным обеспечением. И если с антивирусным ПО проблем не возникает, спасибо Касперскому, то отечественные ОС представляют собой весьма печальное (и дорогое) зрелище. Тут можно выйти из положения переложив функции защиты информации реализуемой ОС на отечественное СЗИ от НСД, например Secret Net, Страж, и т.д.

Приведем примерный алгоритм действий для организации, которая попала под действие указа № 250 согласно тексту указа, откинув все лишнее.

1. Создание ставки заместителя руководителя по ИБ либо переобучение действующего.
2. Создание отдела ИБ, либо возложение обязанностей на другой отдел или лицо, либо привлечение сторонней организации.
3. Проведение оценки текущего состояния системы защиты информации с привлечением сторонней организации.
4. Отправка отчета в правительство РФ.
5. Устранение замечаний.
6. До 2025 года переход на отечественные средства защиты информации.

Это требования непосредственно указа. Теперь же распишем рекомендации более детально, это сильно облегчит соблюдение требований указа и повысит общий уровень ИБ в организации.

1. Разработать и утвердить политику организации в области информационной безопасности.
2. Определить цели обеспечения информационной безопасности.
3. Сформулировать перечень недопустимых событий и негативных последствий (ущерба) для организации.
4. Провести оценку возможности возникновения и реализации недопустимых событий путем моделирования целевых атак.
5. Регулярно проводить мероприятия по недопущению и отслеживанию недопустимых событий и негативных последствий.
6. Регулярно проводить контроль эффективности (результативности) мероприятий по недопущению и отслеживанию недопустимых событий и негативных последствий.
7. Реализовать организационные и технические меры в области ИБ, требования о реализации которых направляются ФСТЭК России и ФСБ России.
8. Организовать работы по формированию навыков и повышению осведомленности работников организации в сфере ИБ.
9. Организовать контроль за соблюдением нормативных правовых актов в области ИБ.
10. Организовать контроль пользователей организации в части соблюдения ими конфиденциальности информации и правил работы с носителями информации.
11. Спланировать мероприятия по обеспечению ИБ в подведомственных организациях, филиалах, представительствах (при их наличии).
12. Провести контроль состояния ИБ, включая оценку защищенности, в подведомственных организациях, филиалах, представительствах (при их наличии).
13. Проводить регулярные практические учения по противодействию компьютерным атакам.
14. Проводить регулярный анализ и оценку новых угроз, способов и методов проведения компьютерных атак.
15. Построить непрерывный процесс выявления и устранения угроз безопасности информации, уязвимостей информационных систем, программного обеспечения и программно-аппаратных средств.
16. Провести оценку практической возможности использования нарушителями недостатков (уязвимостей) средств защиты информации и программного обеспечения.
17. Выстроить непрерывный процесс обнаружения, предотвращения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Выполнения этих шагов указ не требует, но проведение их тем желательнее, чем значимее и крупнее организация.