Новые обязанности по информационной безопасности с 2022 года

В связи с санкциями-2022 Президент России В. Путин Указом от 01.05.2022 № 250 ввёл с 2022 года новые обязанности по обеспечению информационной безопасности критической инфраструктуры. Из этой статьи узнаете, что они включают.

Для кого установили

С 1 мая 2022 года действует Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ № 250).

Он касается не только руководителей государственных органов разного уровня и иных госструктур, но и стратегических предприятий и АО, системообразующих организаций российской экономики, а также юридических лиц – субъектов критической информационной инфраструктуры РФ.

СПРАВКА

Субъекты критической информационной инфраструктуры (п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ) это:

  • госорганы и учреждения, российские юрлица и ИП, которым на праве собственности, аренды или ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, работающие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности;
  • российские юридические лица и ИП, которые обеспечивают взаимодействие указанных систем или сетей.

Перечень новых обязанностей

Для повышения устойчивости и безопасности функционирования информационных ресурсов руководителям таких организаций с 01.05.2022 нужно:

  • возложить на заместителя полномочия по обеспечению информационной безопасности организации, в т. ч. по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты;
  • создать структурное подразделение по обеспечению информационной безопасности организации, в т. ч. по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить данные функции на уже существующее подразделение;
  • при необходимости привлекать сторонние фирмы к обеспечению информационной безопасности организации – исключительно имеющие лицензии на техническую защиту конфиденциальной информации;
  • при необходимости привлекать фирмы для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты –исключительно аккредитованные центрами госсистемы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ;
  • обеспечивать должностным лицам ФСБ беспрепятственный доступ (в т. ч. удаленный) к принадлежащим организации либо используемым через Интернет инфоресурсам для мониторинга защищенности информационных ресурсов, а также исполнять их указания, данные по результатам такого мониторинга;
  • обеспечивать незамедлительную реализацию организационных и технических мер, решения о необходимости которых принимает ФСБ и Федеральная служба по техническому и экспортному контролю и которое они регулярно направляют в организацию с учетом меняющихся угроз в информационной сфере.

Кто несёт ответственность

Указом № 250 на руководителя возложена персональная ответственность за обеспечение информационной безопасности его организации.

Что утверждает Правительство РФ

Это два типовых положения:

  • о заме руководителя, ответственного за обеспечение информационной безопасности организации;
  • структурном подразделении, обеспечивающем информационную безопасность организации.

Кроме того, кабмин определяет перечень ключевых органов и организаций, которым необходимо оценить уровень защищенности своих инфосистем с привлечением сторонних фирм, имеющих соответствующие лицензии ФСБ и ФСТЭК.

В случае включения в такой перечень нужно провести оценку уровня защищенности своих информационных систем и до 01.07.2022 представить доклад в Правительство РФ.

Запрет на иностранные средства защиты

Указ № 250 также установил с 1 января 2025 года запрет использовать средства защиты информации из недружественных стран либо производители которых находятся под юрисдикцией таких государств, прямо или косвенно подконтрольные им либо аффилированные с ними.