В день труда, когда вся Россия отдыхает, наш Президент подписал новый, не побоюсь этого слова, революционный Указ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», который коренным образом должен поменять процессы обеспечения ИБ на российских предприятиях. Тезисно, данный указ говорит о следующем:
- Он распространяется на органы госвласти, высшие исполнительные органы госвласти, государственные фонды, госкорпорации, иные предприятия, созданные на основании ФЗ, стратегические предприятия, стратегические акционерные общества (последние два утверждены Указом Президента от 4 августа 2004 года №1009), системообразующие организации экономики и субъекты критической информационной инфраструктуры (без привязки к владению значимыми или незначимыми объектами). По скромным оценкам таких организаций до ста тысяч — несколько тысяч государевых контор, 20 тысяч только финансовых организаций, 20 тысяч транспортных компаний (это не считая 2 миллионов ИП, у которых есть свой грузовик), 5 тысяч больниц и т.п.
Почему не внесли поправки в федеральный закон (149-й и 187-й)? Понятно, что принять Указ гораздо проще, но все-таки? Например, по части КИИ Президент не уполномочен своими Указами такие вещи принимать. Видимо, в военное время не только значение синуса может достигать четырех, но и юридические нормы можно не очень соблюдать.
- Заместитель руководителя попавшего под Указ предприятия назначается ответственным за ИБ, а сам руководитель несет персональную ответственность за ИБ. Тут стоит вспомнить про статьи 274.1 УК РФ и 13.12 КоАП, по которым, правда, правоприменения пока для ИБшников почти нет, но гарантировать его отсутствие в будущем я бы не стал.
У ИБшников появляется возможность стать заместителем генерального директора / руководителя организации 🙂 И это не шутка. Либо текущий зам станет отвечать за непонятную ему проблему и нести ответственность по 274.1 / 13.12, либо на эту должность назначат имеющегося ИБшника, подняв его в статусе.
- Правительство должно утвердить положение о таком замруководителя. Скорее всего возникнет вопрос о необходимости обучения такого ответственного; если не по программе на 512 часов, то хотя бы на 100. Летний сезон у учебных центров в случае принятия такой нормы предстоит жаркий.
- Должен быть создан отдел по ИБ или эта задача должна быть возложена на иное подразделение. Да, отдел может состоять из всего одного человека, но оформлен он должен быть именно в самостоятельное подразделение.
- Правительство должно утвердить положение о таком подразделении, но как оно это сделает я пока представляю с трудом, так как под действие Указа попал и Газпром с Почтой России и ломбард с микрофинансовой организацией. Очевидно, что у них не может быть одинаковой структуры и обязанностей. Возможно, Правительство спустит все на ФСТЭК, которой придется снова отдуваться за всех.
- Все попавшие под Указ организации должны незамедлительно (так и написано) реализовывать всех требования ФСТЭК и ФСБ, которые они активно рассылают в последнее время.
- Для обеспечения ИБ можно привлекать внешние компании, но только лицензиатов ТЗКИ. Если раньше можно было закрывать глаза на отсутствие лицензии ФСТЭК у подрядчиков, то теперь это уже не удастся сделать (по крайней мере так явно). Это означает, что либерализации рынка ИБ и возможности выйти на него небольшим компаниям не предвидится 🙁
- В законопроекте об уведомлении РКН и ФСБ об утечках ПДн говорится о подключении всех операторов ПДн к ГосСОПКЕ. В этом Указе такой прямой нормы нет, но опосредованно, через постоянные отсылки к необходимости обнаруживать, предотвращать и ликвидировать последствия компьютерных атак, это также следует. Тем более, что по Указу ФСБ должна определить порядок мониторинга ИБ всеми организациями, попавшими под Указ. Учитывая, что у ФСБ уже есть такие методики (с ограничительной пометкой), то есть вероятность, что эти методики наконец-то рассекретят (мне в свое время не удалось их получить официальным путем, даже несмотря на официальный запрос от лицензиата ФСБ). Есть, конечно, вероятность, что ФСБ и сейчас потребует от всех получения лицензий ФСБ на гостайну, но требовать такого от почти сотни тысяч субъектов, попавших под новый Указ?.. Нууу, такое…
- Можно привлекать для мониторинга ИБ внешние центры (SOC), коих существует у нас немало (с два десятка точно наберется), но теперь они все должны быть официально аккредитованы в ФСБ по новым правилам, которые ФСБ должна разработать. Старые соглашения о взаимодействии центров ГосСОПКИ и НКЦКИ будут действовать в течение срока, который ФСБ же и должна определить.
- ФСБ получает беспрепятственный доступ (в том числе удаленный) ко всей инфраструктуре попавших под Указ предприятий. Боятся этого не стоит — это просто формулировка. Она существовала и в законодательстве по КИИ и всего лишь означала, что если у вас произойдет инцидент ИБ и к вам придет разбираться и проводить расследование ФСБ, то чинить препятствие им вы не имеете права. Сейчас, правда, добавили еще про удаленный доступ, но тут пока сложно что-то сказать. Я не думаю, что эта норма будет как-то активно применяться, так как открывать дыру в периметре никто не захочет (а еще и нести ответственность за нее).
- Правительство должно определить список организаций, которые должны провести оценку защищенности своих информационных систем с привлечением лицензиатов ФСТЭК и ФСБ (никакой самодеятельности). До 1-го июля этого года эти организации должны оценить свою защищенности и представить результаты в Правительство.
- С 1-го января 2025 все попавшие под Указ организации не смогут использовать средства защиты из недружественных государств, а также от иных организаций, которые прямо или косвенно подконтрольны таким государствам. Отдельные депутаты необдуманно заявляют, что надо распространить эту норму не только на недружественные, но и вообще на все зарубежные средства защиты, включая пока еще молчащие китайские и израильские, а также вполне дружественные ближневосточные и южноамериканские. И многие заказчики, несмотря на слова Президента о том, что надо поддержать те немногочисленные иностранные компании, что еще остались в России, последуют стратегии «лучше перебдеть».
Если честно, то на мой взгляд, этот Указ опять ни к чему не приведет и в госорганах будут возведены только потемкинские деревни. Нельзя ИБ навязать сверху, да еще и без переходного периода, не выделив бюджета на нее, и не имея кадров для ее реализации.
Предпосылки к принятию этого указа вполне понятны:
- Что-то с ИБ у нас совсем все плохо — то всякие ИТ-армии нас атакуют, то иностранные ИТ-компании активно кооптируют в ряды хакеров своих сотрудников и не против, чтобы они атаковали российские организации, то специалисты по ИБ по всему миру не только активно продают «утечки» из российских организаций и репостят «успехи» недружественных России хакеров, но и не видят в этом ничего зазорного.
- ФСТЭК, похоже, не очень справилась со своей задачей, поэтому возникла задача усилить ее за счет ФСБ и ГосСОПКИ.
- 17-й приказ о «строительстве защитных стен» показал свою неэффективность (особенно в условиях отсутствия контроля со стороны регулятора), поэтому решили, что надо сделать акцент на мониторинг и реагирование.
- Руководство организации, которое раньше манкировало задачей ИБ, теперь будет за нее отвечать и нести персональную ответственность.
- ФСБ, под шумок, получило максимально возможные полномочия по ИБ без какой-либо ответственности за нее.
- Все задолбали своими отмазками по поводу невозможности импортозамещения, поэтому дали 3 года, чтобы все иностранные средства защиты импортозаместили.
- Так как поддержать весь рынок ИБ из сотен компаний невозможно, то решили поддержать только крупняк, способный получить нужные лицензии, договориться с ФСБ и пройти аккредитацию.
ИБ взяли на знамя и это хорошо. Главное, чтобы не на древко, а то будет больно!
Алексей, все таки в Указе в п. 5 говорится не про мониторинг ИБ, а только про мониторинг защищенности. И ФСБ определит порядок этого мониторинга и сама служба будет осуществлять этот мониторинг.
По документам ФСБ контроль (мониторинг) уровня защищенности — это анализ и оценка функционирования системы защиты информации информационной системы, изменения угроз безопасности информации, защищенности информации, содержащейся в информационной системе. А что это как не мониторинг ИБ?
Про заглавный тезис — в большинстве значимых организаций зам по безопасности и так есть
Отвечает ли он за ИБ, вот в чем вопрос. Или он считает, что за нее отвечает ИТ-директор. В 75% организаций ИБ именно под ИТ
«Я не думаю, что эта норма будет как-то активно применяться, так как открывать дыру в периметре никто не захочет (а еще и нести ответственность за нее).»
А как же СОРМ и 571-ый Приказ Минцифры?
Ну СОРМ касается очень небольшого числа компаний и имеет очень специфическую реализацию. Тут же подразумевается, что для удаленного доступа при расследовании инцидентов может понадобиться полный доступ ко всей инфраструктуре.
Почитал указ, не совсем понял про больницы. Я правильно понимаю, что учреждение здравоохранения является юрлицом являющимся субъектом КИИ?
Да, конечно. Сфера здравоохранения — одна из 13 в КИИ
В Указе не говорится про создание должностей зам.руководителей (в отличие от подразделений), а только о возложении полномочий по ИБ. Тем самым данная норма не является основанием для создания дополнительной должности, если она в шдс отсутствует
Да, но будут ли действующие замы по безопасности навешивать на себя еще и эту головную боль?
Добрый день, Алексей.
У Вас несколько иначе описана область распространения, «системообразующие организации экономики И субъекты критической информационной инфраструктуры», в оригинале же «стратегических акционерных обществ и системообразующих организаций российской экономики, юридических лиц, являющихся субъектами критической информационной инфраструктуры Российской Федерации». Из указа мы понимаем, что если в составе компании, пусть и в составе системообразующих организаций российской экономики, отсутствует состав КИИ согласно 187 ФЗ, то на эту организацию требования не распространяются. В вашей интерпретации наличие состава признаков КИИ не имеет значения. Прошу поправить если я что-то не учёл. Спасибо.
Наличие состава не имеет отношения. Последняя часть предложения «являющихся» относится только к юрлицам, а не ко всему предложению
Алексей, большое спасибо за оперативный ответ.
Сложно представить реальный масштаб данного указа, учитывая информацию из вашего следующего поста, на предмет точного определения СЗИ.
На самом деле, не так страшен черт… Почти на все предприятия, упомянутые в Указе, исключая быть может в явном виде системообразующие и стратегические (если они не относились к КИИ, госухе и ОПК), уже распространялись требования ФСТЭК по защите. Опасность перехода на отечественное уже существует два года. ГосСОПКА была для КИИ обязательной, как и для рада госорганов. То есть по сути Указ всего лишь заставил всех еще раз обратить внимание на ранее игнорируемые ими требования.
Так или иначе, мой интерес вызван как раз по отношению компаний входящих в состав системообразующих, а по ним как раз предстоит большой объём работы. Еще раз большое спасибо.
Беглый взгляд на список из 246 системообразующих предприятий подсказывает, что минимум половина из них, а то и 2/3, были КИИ
Под последним комментарием отсутствовала возможность ответа, поэтому пишу ответ под этим комментарием. Да, Вы абсолютно правы, но нас ФЗ 187 миновал. Из состава системообразующих, таких компаний не мало, хоть и меньшинство.
Алексей, доброго дня!
Просьба высказать своё мнение и помочь с трактованием Указа.
П. 3. абзац б и п. 4 Указа говорит «необходимости осуществления мероприятий по оценке уровня защищенности ИС», но возникают вопросы:
1. Что считать мероприятиями по оценке защищенности?
2. Как и в соответствии с чем проводить?
Не говорю уже о оформлении результатов после проведения мероприятий.
Там же будет список от Правительства и опросник, который надо будет заполнить до 1-го июля
Согласно п. 4 Указа к 1 июля необходимо осуществить уже мероприятия и представить доклад.
Какое отношение опросник имеет к оценке защищенности, немного не понял Вас.
А как вы еще пройдете процедуру закупки по 44/223-ФЗ и до 1 июля проведете инструментальный анализ защищенности и подготовите отчет, направив его следом в коридоры власти? Только опросник. Экспресс-оценка. Вполне себе метод при правильном построении опросника с перекрестными вопросами