Новый Указ Президента может сделать безопасников заместителями генеральных директоров

В день труда, когда вся Россия отдыхает, наш Президент подписал новый, не побоюсь этого слова, революционный Указ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», который коренным образом должен поменять процессы обеспечения ИБ на российских предприятиях. Тезисно, данный указ говорит о следующем:

• Он распространяется на органы госвласти, высшие исполнительные органы госвласти, государственные фонды, госкорпорации, иные предприятия, созданные на основании ФЗ, стратегические предприятия, стратегические акционерные общества (последние два утверждены Указом Президента от 4 августа 2004 года №1009), системообразующие организации экономики и субъекты критической информационной инфраструктуры (без привязки к владению значимыми или незначимыми объектами). По скромным оценкам таких организаций до ста тысяч — несколько тысяч государевых контор, 20 тысяч только финансовых организаций, 20 тысяч транспортных компаний (это не считая 2 миллионов ИП, у которых есть свой грузовик), 5 тысяч больниц и т.п.

Почему не внесли поправки в федеральный закон (149-й и 187-й)? Понятно, что принять Указ гораздо проще, но все-таки? Например, по части КИИ Президент не уполномочен своими Указами такие вещи принимать. Видимо, в военное время не только значение синуса может достигать четырех, но и юридические нормы можно не очень соблюдать.

• Заместитель руководителя попавшего под Указ предприятия назначается ответственным за ИБ, а сам руководитель несет персональную ответственность за ИБ. Тут стоит вспомнить про статьи 274.1 УК РФ и 13.12 КоАП, по которым, правда, правоприменения пока для ИБшников почти нет, но гарантировать его отсутствие в будущем я бы не стал.

У ИБшников появляется возможность стать заместителем генерального директора / руководителя организации 🙂 И это не шутка. Либо текущий зам станет отвечать за непонятную ему проблему и нести ответственность по 274.1 / 13.12, либо на эту должность назначат имеющегося ИБшника, подняв его в статусе.

• Правительство должно утвердить положение о таком замруководителя. Скорее всего возникнет вопрос о необходимости обучения такого ответственного; если не по программе на 512 часов, то хотя бы на 100. Летний сезон у учебных центров в случае принятия такой нормы предстоит жаркий.
• Должен быть создан отдел по ИБ или эта задача должна быть возложена на иное подразделение. Да, отдел может состоять из всего одного человека, но оформлен он должен быть именно в самостоятельное подразделение.
• Правительство должно утвердить положение о таком подразделении, но как оно это сделает я пока представляю с трудом, так как под действие Указа попал и Газпром с Почтой России и ломбард с микрофинансовой организацией. Очевидно, что у них не может быть одинаковой структуры и обязанностей. Возможно, Правительство спустит все на ФСТЭК, которой придется снова отдуваться за всех.
• Все попавшие под Указ организации должны незамедлительно (так и написано) реализовывать всех требования ФСТЭК и ФСБ, которые они активно рассылают в последнее время.
• Для обеспечения ИБ можно привлекать внешние компании, но только лицензиатов ТЗКИ. Если раньше можно было  закрывать глаза на отсутствие лицензии ФСТЭК у подрядчиков, то теперь это уже не удастся сделать (по крайней мере так явно). Это означает, что либерализации рынка ИБ и возможности выйти на него небольшим компаниям не предвидится 🙁
• В законопроекте об уведомлении РКН и ФСБ об утечках ПДн говорится о подключении всех операторов ПДн к ГосСОПКЕ. В этом Указе такой прямой нормы нет, но опосредованно, через постоянные отсылки к необходимости обнаруживать, предотвращать и ликвидировать последствия компьютерных атак, это также следует. Тем более, что по Указу ФСБ должна определить порядок мониторинга ИБ всеми организациями, попавшими под Указ. Учитывая, что у ФСБ уже есть такие методики (с ограничительной пометкой), то есть вероятность, что эти методики наконец-то рассекретят (мне в свое время не удалось их получить официальным путем, даже несмотря на официальный запрос от лицензиата ФСБ). Есть, конечно, вероятность, что ФСБ и сейчас потребует от всех получения лицензий ФСБ на гостайну, но требовать такого от почти сотни тысяч субъектов, попавших под новый Указ?.. Нууу, такое…
• Можно привлекать для мониторинга ИБ внешние центры (SOC), коих существует у нас немало (с два десятка точно наберется), но теперь они все должны быть официально аккредитованы в ФСБ по новым правилам, которые ФСБ должна разработать. Старые соглашения о взаимодействии центров ГосСОПКИ и НКЦКИ будут действовать в течение срока, который ФСБ же и должна определить.
• ФСБ получает беспрепятственный доступ (в том числе удаленный) ко всей инфраструктуре попавших под Указ предприятий. Боятся этого не стоит — это просто формулировка. Она существовала и в законодательстве по КИИ и всего лишь означала, что если у вас произойдет инцидент ИБ и к вам придет разбираться и проводить расследование ФСБ, то чинить препятствие им вы не имеете права. Сейчас, правда, добавили еще про удаленный доступ, но тут пока сложно что-то сказать. Я не думаю, что эта норма будет как-то активно применяться, так как открывать дыру в периметре никто не захочет (а еще и нести ответственность за нее).
• Правительство должно определить список организаций, которые должны провести оценку защищенности своих информационных систем с привлечением лицензиатов ФСТЭК и ФСБ (никакой самодеятельности). До 1-го июля этого года эти организации должны оценить свою защищенности и представить результаты в Правительство.
• С 1-го января 2025 все попавшие под Указ организации не смогут использовать средства защиты из недружественных государств, а также от иных организаций, которые прямо или косвенно подконтрольны таким государствам. Отдельные депутаты необдуманно заявляют, что надо распространить эту норму не только на недружественные, но и вообще на все зарубежные средства защиты, включая пока еще молчащие китайские и израильские, а также вполне дружественные ближневосточные и южноамериканские. И многие заказчики, несмотря на слова Президента о том, что надо поддержать те немногочисленные иностранные компании, что еще остались в России, последуют стратегии «лучше перебдеть».

Если честно, то на мой взгляд, этот Указ опять ни к чему не приведет и в госорганах будут возведены только потемкинские деревни. Нельзя ИБ навязать сверху, да еще и без переходного периода, не выделив бюджета на нее, и не имея кадров для ее реализации.

Предпосылки к принятию этого указа вполне понятны:

• Что-то с ИБ у нас совсем все плохо — то всякие ИТ-армии нас атакуют, то иностранные ИТ-компании активно кооптируют в ряды хакеров своих сотрудников и не против, чтобы они атаковали российские организации, то специалисты по ИБ по всему миру не только активно продают «утечки» из российских организаций и репостят «успехи» недружественных России хакеров, но и не видят в этом ничего зазорного.
• ФСТЭК, похоже, не очень справилась со своей задачей, поэтому возникла задача усилить ее за счет ФСБ и ГосСОПКИ.
• 17-й приказ о «строительстве защитных стен» показал свою неэффективность (особенно в условиях отсутствия контроля со стороны регулятора), поэтому решили, что надо сделать акцент на мониторинг и реагирование.
• Руководство организации, которое раньше манкировало задачей ИБ, теперь будет за нее отвечать и нести персональную ответственность.
• ФСБ, под шумок, получило максимально возможные полномочия по ИБ без какой-либо ответственности за нее.
• Все задолбали своими отмазками по поводу невозможности импортозамещения, поэтому дали 3 года, чтобы все иностранные средства защиты импортозаместили.
• Так как поддержать весь рынок ИБ из сотен компаний невозможно, то решили поддержать только крупняк, способный получить нужные лицензии, договориться с ФСБ и пройти аккредитацию.

ИБ взяли на знамя и это хорошо. Главное, чтобы не на древко, а то будет больно!