Новый Указ Президента может сделать безопасников заместителями генеральных директоров

Законодательство

В день труда, когда вся Россия отдыхает, наш Президент подписал новый, не побоюсь этого слова, революционный Указ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», который коренным образом должен поменять процессы обеспечения ИБ на российских предприятиях. Тезисно, данный указ говорит о следующем:

  • Он распространяется на органы госвласти, высшие исполнительные органы госвласти, государственные фонды, госкорпорации, иные предприятия, созданные на основании ФЗ, стратегические предприятия, стратегические акционерные общества (последние два утверждены Указом Президента от 4 августа 2004 года №1009), системообразующие организации экономики и субъекты критической информационной инфраструктуры (без привязки к владению значимыми или незначимыми объектами). По скромным оценкам таких организаций до ста тысяч — несколько тысяч государевых контор, 20 тысяч только финансовых организаций, 20 тысяч транспортных компаний (это не считая 2 миллионов ИП, у которых есть свой грузовик), 5 тысяч больниц и т.п.

Почему не внесли поправки в федеральный закон (149-й и 187-й)? Понятно, что принять Указ гораздо проще, но все-таки? Например, по части КИИ Президент не уполномочен своими Указами такие вещи принимать. Видимо, в военное время не только значение синуса может достигать четырех, но и юридические нормы можно не очень соблюдать.

  • Заместитель руководителя попавшего под Указ предприятия назначается ответственным за ИБ, а сам руководитель несет персональную ответственность за ИБ. Тут стоит вспомнить про статьи 274.1 УК РФ и 13.12 КоАП, по которым, правда, правоприменения пока для ИБшников почти нет, но гарантировать его отсутствие в будущем я бы не стал.

У ИБшников появляется возможность стать заместителем генерального директора / руководителя организации 🙂 И это не шутка. Либо текущий зам станет отвечать за непонятную ему проблему и нести ответственность по 274.1 / 13.12, либо на эту должность назначат имеющегося ИБшника, подняв его в статусе.

  • Правительство должно утвердить положение о таком замруководителя. Скорее всего возникнет вопрос о необходимости обучения такого ответственного; если не по программе на 512 часов, то хотя бы на 100. Летний сезон у учебных центров в случае принятия такой нормы предстоит жаркий.
  • Должен быть создан отдел по ИБ или эта задача должна быть возложена на иное подразделение. Да, отдел может состоять из всего одного человека, но оформлен он должен быть именно в самостоятельное подразделение.
  • Правительство должно утвердить положение о таком подразделении, но как оно это сделает я пока представляю с трудом, так как под действие Указа попал и Газпром с Почтой России и ломбард с микрофинансовой организацией. Очевидно, что у них не может быть одинаковой структуры и обязанностей. Возможно, Правительство спустит все на ФСТЭК, которой придется снова отдуваться за всех.
  • Все попавшие под Указ организации должны незамедлительно (так и написано) реализовывать всех требования ФСТЭК и ФСБ, которые они активно рассылают в последнее время.
  • Для обеспечения ИБ можно привлекать внешние компании, но только лицензиатов ТЗКИ. Если раньше можно было  закрывать глаза на отсутствие лицензии ФСТЭК у подрядчиков, то теперь это уже не удастся сделать (по крайней мере так явно). Это означает, что либерализации рынка ИБ и возможности выйти на него небольшим компаниям не предвидится 🙁
  • В законопроекте об уведомлении РКН и ФСБ об утечках ПДн говорится о подключении всех операторов ПДн к ГосСОПКЕ. В этом Указе такой прямой нормы нет, но опосредованно, через постоянные отсылки к необходимости обнаруживать, предотвращать и ликвидировать последствия компьютерных атак, это также следует. Тем более, что по Указу ФСБ должна определить порядок мониторинга ИБ всеми организациями, попавшими под Указ. Учитывая, что у ФСБ уже есть такие методики (с ограничительной пометкой), то есть вероятность, что эти методики наконец-то рассекретят (мне в свое время не удалось их получить официальным путем, даже несмотря на официальный запрос от лицензиата ФСБ). Есть, конечно, вероятность, что ФСБ и сейчас потребует от всех получения лицензий ФСБ на гостайну, но требовать такого от почти сотни тысяч субъектов, попавших под новый Указ?.. Нууу, такое…
  • Можно привлекать для мониторинга ИБ внешние центры (SOC), коих существует у нас немало (с два десятка точно наберется), но теперь они все должны быть официально аккредитованы в ФСБ по новым правилам, которые ФСБ должна разработать. Старые соглашения о взаимодействии центров ГосСОПКИ и НКЦКИ будут действовать в течение срока, который ФСБ же и должна определить.
  • ФСБ получает беспрепятственный доступ (в том числе удаленный) ко всей инфраструктуре попавших под Указ предприятий. Боятся этого не стоит — это просто формулировка. Она существовала и в законодательстве по КИИ и всего лишь означала, что если у вас произойдет инцидент ИБ и к вам придет разбираться и проводить расследование ФСБ, то чинить препятствие им вы не имеете права. Сейчас, правда, добавили еще про удаленный доступ, но тут пока сложно что-то сказать. Я не думаю, что эта норма будет как-то активно применяться, так как открывать дыру в периметре никто не захочет (а еще и нести ответственность за нее).
  • Правительство должно определить список организаций, которые должны провести оценку защищенности своих информационных систем с привлечением лицензиатов ФСТЭК и ФСБ (никакой самодеятельности). До 1-го июля этого года эти организации должны оценить свою защищенности и представить результаты в Правительство.
  • С 1-го января 2025 все попавшие под Указ организации не смогут использовать средства защиты из недружественных государств, а также от иных организаций, которые прямо или косвенно подконтрольны таким государствам. Отдельные депутаты необдуманно заявляют, что надо распространить эту норму не только на недружественные, но и вообще на все зарубежные средства защиты, включая пока еще молчащие китайские и израильские, а также вполне дружественные ближневосточные и южноамериканские. И многие заказчики, несмотря на слова Президента о том, что надо поддержать те немногочисленные иностранные компании, что еще остались в России, последуют стратегии «лучше перебдеть».

Если честно, то на мой взгляд, этот Указ опять ни к чему не приведет и в госорганах будут возведены только потемкинские деревни. Нельзя ИБ навязать сверху, да еще и без переходного периода, не выделив бюджета на нее, и не имея кадров для ее реализации.

Предпосылки к принятию этого указа вполне понятны:

  • Что-то с ИБ у нас совсем все плохо — то всякие ИТ-армии нас атакуют, то иностранные ИТ-компании активно кооптируют в ряды хакеров своих сотрудников и не против, чтобы они атаковали российские организации, то специалисты по ИБ по всему миру не только активно продают «утечки» из российских организаций и репостят «успехи» недружественных России хакеров, но и не видят в этом ничего зазорного.
  • ФСТЭК, похоже, не очень справилась со своей задачей, поэтому возникла задача усилить ее за счет ФСБ и ГосСОПКИ.
  • 17-й приказ о «строительстве защитных стен» показал свою неэффективность (особенно в условиях отсутствия контроля со стороны регулятора), поэтому решили, что надо сделать акцент на мониторинг и реагирование.
  • Руководство организации, которое раньше манкировало задачей ИБ, теперь будет за нее отвечать и нести персональную ответственность.
  • ФСБ, под шумок, получило максимально возможные полномочия по ИБ без какой-либо ответственности за нее.
  • Все задолбали своими отмазками по поводу невозможности импортозамещения, поэтому дали 3 года, чтобы все иностранные средства защиты импортозаместили.
  • Так как поддержать весь рынок ИБ из сотен компаний невозможно, то решили поддержать только крупняк, способный получить нужные лицензии, договориться с ФСБ и пройти аккредитацию.

ИБ взяли на знамя и это хорошо. Главное, чтобы не на древко, а то будет больно!

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Пятаков Максим

    Алексей, все таки в Указе в п. 5 говорится не про мониторинг ИБ, а только про мониторинг защищенности. И ФСБ определит порядок этого мониторинга и сама служба будет осуществлять этот мониторинг.

    Ответить
    1. Алексей Лукацкий автор

      По документам ФСБ контроль (мониторинг) уровня защищенности — это анализ и оценка функционирования системы защиты информации информационной системы, изменения угроз безопасности информации, защищенности информации, содержащейся в информационной системе. А что это как не мониторинг ИБ?

      Ответить
  2. Александр

    Про заглавный тезис — в большинстве значимых организаций зам по безопасности и так есть

    Ответить
    1. Алексей Лукацкий автор

      Отвечает ли он за ИБ, вот в чем вопрос. Или он считает, что за нее отвечает ИТ-директор. В 75% организаций ИБ именно под ИТ

      Ответить
  3. Анатолий

    «Я не думаю, что эта норма будет как-то активно применяться, так как открывать дыру в периметре никто не захочет (а еще и нести ответственность за нее).»
    А как же СОРМ и 571-ый Приказ Минцифры?

    Ответить
    1. Алексей Лукацкий автор

      Ну СОРМ касается очень небольшого числа компаний и имеет очень специфическую реализацию. Тут же подразумевается, что для удаленного доступа при расследовании инцидентов может понадобиться полный доступ ко всей инфраструктуре.

      Ответить
  4. Евгений

    Почитал указ, не совсем понял про больницы. Я правильно понимаю, что учреждение здравоохранения является юрлицом являющимся субъектом КИИ?

    Ответить
    1. Алексей Лукацкий автор

      Да, конечно. Сфера здравоохранения — одна из 13 в КИИ

      Ответить
  5. Василий

    В Указе не говорится про создание должностей зам.руководителей (в отличие от подразделений), а только о возложении полномочий по ИБ. Тем самым данная норма не является основанием для создания дополнительной должности, если она в шдс отсутствует

    Ответить
    1. Алексей Лукацкий автор

      Да, но будут ли действующие замы по безопасности навешивать на себя еще и эту головную боль?

      Ответить
  6. Владислав

    Добрый день, Алексей.
    У Вас несколько иначе описана область распространения, «системообразующие организации экономики И субъекты критической информационной инфраструктуры», в оригинале же «стратегических акционерных обществ и системообразующих организаций российской экономики, юридических лиц, являющихся субъектами критической информационной инфраструктуры Российской Федерации». Из указа мы понимаем, что если в составе компании, пусть и в составе системообразующих организаций российской экономики, отсутствует состав КИИ согласно 187 ФЗ, то на эту организацию требования не распространяются. В вашей интерпретации наличие состава признаков КИИ не имеет значения. Прошу поправить если я что-то не учёл. Спасибо.

    Ответить
    1. Алексей Лукацкий автор

      Наличие состава не имеет отношения. Последняя часть предложения «являющихся» относится только к юрлицам, а не ко всему предложению

      Ответить
      1. Владислав

        Алексей, большое спасибо за оперативный ответ.
        Сложно представить реальный масштаб данного указа, учитывая информацию из вашего следующего поста, на предмет точного определения СЗИ.

        Ответить
        1. Алексей Лукацкий автор

          На самом деле, не так страшен черт… Почти на все предприятия, упомянутые в Указе, исключая быть может в явном виде системообразующие и стратегические (если они не относились к КИИ, госухе и ОПК), уже распространялись требования ФСТЭК по защите. Опасность перехода на отечественное уже существует два года. ГосСОПКА была для КИИ обязательной, как и для рада госорганов. То есть по сути Указ всего лишь заставил всех еще раз обратить внимание на ранее игнорируемые ими требования.

          Ответить
          1. Владислав

            Так или иначе, мой интерес вызван как раз по отношению компаний входящих в состав системообразующих, а по ним как раз предстоит большой объём работы. Еще раз большое спасибо.

          2. Алексей Лукацкий автор

            Беглый взгляд на список из 246 системообразующих предприятий подсказывает, что минимум половина из них, а то и 2/3, были КИИ

          3. Владислав

            Под последним комментарием отсутствовала возможность ответа, поэтому пишу ответ под этим комментарием. Да, Вы абсолютно правы, но нас ФЗ 187 миновал. Из состава системообразующих, таких компаний не мало, хоть и меньшинство.