Указ № 250 и его влияние на кибербезопасность в России
Дмитрий Манин, руководитель юридического отдела «Телеком биржи» рассказывает о том:

  • почему появился Указ 250,
  • на кого распространяется его действие,
  • что должны сделать организации, подпавшие под Указ,
  • какие еще законы регулируют ИБ в России.
14 марта 2024 года
Дмитрий Манин
Руководитель юридического отдела «Телеком биржи»
В России развитие направлений ИТ – в том числе, и кибербезопасность – во многом зависят от политики государства, которая может быть как в виде протекционистских мер, так и в формате регуляторных требований. Ключевые тренды в кибербезопасности, действующие и поныне, во многом определил Указ Президента № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», подписанный 1 мая 2022 года. Обновление требований, предусмотренное данным Указом, напрямую коснулось свыше полумиллиона компаний.

Почему появился Указ №250?
С одной стороны, кибератаки усложняются, число успешных атак на бизнес растет. С другой стороны, импортозамещение с февраля 2022-го проводилось второпях и при тотальном дефиците нужных ИТ-решений. Компании выбирали «из того, что есть», а вендор, спешно восполняющий дефицит софта и железа, не всегда успевал провести комплексные тесты и дать должную киберзащиту своим продуктам.

Государство все активнее берет ИБ под свой контроль, и кроме аудита безопасности ИТ-инфраструктуры, бизнесу придется соблюдать строгие требования. И обращать внимание на перспективы и возможные изменения в сегменте ИБ.
Чем отметился 2023 год, и почему российский бизнес стал серьезнее относиться к информационной безопасности
Ситуация требовала изменения подходов к кибербезопасности. Иностранные решения для систем кибербезопасности на российском рынке стали недоступны — вендоры прекратили работу в РФ, ограничив доступ к обновлениям. Поэтому корпоративным заказчикам — как государственным органам, так и госструктурам — пришлось оперативно переводить ИТ-инфраструктуру на альтернативные решения.

Цифровизация российских компаний продолжается, растут требования к кибербезопасности — ведь успешная хакерская атака может нарушить рабочие процессы, а в ряде случаев даже полностью парализовать деятельность компании или госструктуры. В это же время, продолжала нарастать активность киберпреступников, увеличивалось количество атак, возросло число крупных утечек данных.

Дмитрий Манин
Руководитель юридического отдела
«Телеком биржи»
На кого распространяется действие Указа?
Действие Указа распространяется на органы государственной власти, госкомпании, системообразующие предприятия и субъекты критической информационной инфраструктуры (см. врезку).

На практике все оказывается непросто. Субъекты КИИ могут не знать, о том, что они являются таковыми, соответственно, даже и не подозревать, что попадают под действие Указа. Напомним, что перечень объектов КИИ относится к категории закрытой информации. Кроме того, требования могут быть распространены на поставщиков услуг и сервисов организациям, являющимся субъектами КИИ, на дочерние структуры организаций, попавших под действие Указа, и т. д.

Субъектом критической информационной инфраструктуры (КИИ), согласно Федеральному Закону № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», является предприятие, на которых есть хотя бы один объект, отнесенные к критической информационной инфраструктуре. Такими объектами могут быть информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления. Такие объекты присутствуют у разных корпоративных заказчиков — от госуправления до науки, от ракетно-космического сектора до энергетики, от металлургии до химической промышленности, от «оборонки» до банковской сферы и т. д. Под действия 187-ФЗ попадают, например, телеком-провайдеры, городской водоканал, промышленные компании, банки, страховые организации и т. д.

Получение ответов на вопросы, попадает ли компания под действия Указа и соблюдены ли структурами, поставляющими ей продукты или услуги, соответствующие требования, на практике является непростой задачей. Некоторые компании решают эти проблемы самостоятельно, но во многих случаях требуется обращение за консалтингом в профильные фирмы, специализирующиеся на кибербезопасности.
Что должны сделать организации, подпавшие под действие Указа?
В Указе перечислен перечень требований к компаниям и госорганизациям, подпадающим под его действие. Заметим, что теперь там руководство несет личную ответственность за обеспечение кибербезопасности.
  • 1
    Согласно требованиям Указа, в таких организациях обязательным становится создание подразделения, отвечающего за кибербезопасность, глава которого подчиняется напрямую генеральному директору. Это положение детализировано Постановлением Правительства Р Ф № 1272 от 15 июля 2022 г.
  • 2
    Указ обязал соответствующие организации обеспечить мониторинг рекомендаций, направленных на нейтрализацию актуальных угроз, список которых рассылает ФСБ и ФСТЭК.
    Security Operations Center) — центры мониторинга и реагирования на киберугрозы
  • 3
    Указ упорядочил взаимодействие с внешними организациями, оказывающими услуги в области кибербезопасности. Теперь всем, подпадающим под действие Указа, можно привлекать в качестве поставщиков исключительно организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации, которые выдает ФСТЭК России. Реестр лицензий на деятельность по технической защите конфиденциальной информации создан согласно Постановлению Правительства № 79 от 3 февраля 2012 «О лицензировании деятельности по технической защите конфиденциальной информации» и находится в открытом доступе.
  • 4
    Указ требует от соответствующих организаций к 1 января 2025 в обязательном порядке выполнить переход на доверенные отечественные СИЗ.
Вопросы кибербезопасности регулирует ряд документов действующего федерального законодательства, которое в настоящее время активно совершенствуют и развивают. В законы вносят изменения, выходят Постановления Правительства РФ, рассматриваемая нами тематика отражена в новых Указах Президента и т.д. Например, в УК РФ добавлена Статья 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», устанавливающая уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта – в том числе, и систем киберзащиты – или нарушение порядка доступа к ним, причем наказание предусмотрено серьезное, включая лишение свободы на срок до десяти лет.
Как Указ повлиял на рынок?
Его принятие ускорило и упорядочило процессы обновления информационных систем, требующих внедрения российских решений кибербезопасности. Импортозамещение в российской кибербезопасности идет полным ходом, благодаря чему сегмент развивается заметно быстрее всего национального рынка ИТ.
Согласно предварительным оценкам, рост всего российского ИТ по итогам прошлого года составил порядка 12%, а в кибербезопасности этот показатель около 24%. В сегменте появляются новые российские продукты и сервисы, выросло количество стартапов, работающих в направлении обеспечения безопасности.

Как показывает практика, перевод систем кибербезопасности на новые российские решения, которые более современные, чем применяемые ранее, приводит к повышению уровня защиты на предприятиях и в организациях.
Обеспечение кибербезопасности требует как постоянной работы вендоров, интеграторов, отделов кибербезопасности в компаниях и ряда других структур, так и инициатив законодательной и исполнительной властей, что мы и наблюдаем. Регуляторы работают над выявлением и категоризацией объектов КИИ, ФСБ и ФСТЭК обновляют рекомендации актуальных киберугроз, совершенствуют законодательную базу, развивающую и конкретизирующую положение Указа.
Статья опубликована на 12news.ru
Подробнее об услугах Информационной безопасности, предлагаемых «Телеком биржей»