14.06.2024
Владимир Путин расширил указ, касающийся мер по обеспечению информационной безопасности Российской Федерации. Согласно новому постановлению, начиная с 1 января 2025 года, государственным органам, а также стратегическим и системообразующим организациям, запрещается использовать услуги и сервисы информационной безопасности, предоставляемые недружественными государствами. В предыдущей версии указа говорилось о запрете использования систем защиты информации из недружественных стран и их компании. Прекращение использования таких систем также было намечено на 2025 год. Теперь указ дополнен запретом на пользование «сервисами (работами, услугами) по обеспечению информационной безопасности, предоставляемыми (выполняемыми, оказываемыми) этими организациями».
Указ Президента № 250 об информационной безопасности содержит несколько важных блоков информации для компании:
какие организации попадают под действие;
какое должностное лицо и структурное подразделение должны отвечать за информационную безопасность;
кому поручить аудит ИБ в организации.
Следующий блок указа Президента о информационной безопасности 2022 года адресован Правительству РФ. Последнему предписывается создать положение об ответственном за ИБ заместителе руководителя организации и обеспечивающем безопасность структурном подразделении организации. Адресованная Федеральной службе безопасности часть 250 указа Президента РФ предписывает организовать аккредитацию центров, функционал которых будет включать обнаружение кибератак, а также ликвидацию их последствий. Службе также надлежит определить критерии проверки уровня защищенности инфоресурсов организаций и контролировать их соответствие требуемому уровню защищенности. Соответствующий приказ ведомство утвердило в мае 2023 года. Наконец, заключительное положение указа № 250 ИБ содержит требование о неиспользовании средств защиты информации из недружественных РФ стран с января 2025 года. Запрет распространяется на ПО, разработанное в таких странах, или на случаи, когда его компания-создатель находится под их юрисдикцией.
Указом от 13 июня № 500 предлагается внести в указ 2022 года уточнения, касающиеся широкого круга российских компаний. Во-первых, должны быть установлены требования к аккредитованным центрам, которые будут привлекаться для реагирования на инциденты в ведомствах и субъектах критической информационной инфраструктуры (КИИ). Такие центры, как следует из указа 2022 года, привлекаются «в случае необходимости» для предупреждения кибератак и устранения их последствий. Другая поправка дополняет уже действующий запрет на использование средств защиты из недружественных стран: компаниям, на которые распространяется указ, с 2025 года также запрещается пользоваться сервисами (работами или услугами) по кибербезопасности от компаний из таких государств. Поправки вступают в силу 13 июня. Первое изменение незначительное и не затронет большинство организаций, попадающих под действие указа. Второе изменение более существенное и касается любой организации, попадающей под действия указа. Если в первоначальной версии указа речь шла о запрете использования только программного обеспечения, то новая версия говорит еще и о запрете услуг. Хотя фактически последние два года в России такие услуги не оказывались, формально они были доступны. Это могли быть различные облачные сервисы для обеспечения безопасности, сервисы консалтингового характера, работы по анализу защищенности, проведению тестирований на проникновение и так далее.