Для кого установили
С 1 мая 2022 года действует Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ № 250).
Он касается не только руководителей государственных органов разного уровня и иных госструктур, но и стратегических предприятий и АО, системообразующих организаций российской экономики, а также юридических лиц – субъектов критической информационной инфраструктуры РФ.
СПРАВКА
Субъекты критической информационной инфраструктуры (п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ) это:
- госорганы и учреждения, российские юрлица и ИП, которым на праве собственности, аренды или ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, работающие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности;
- российские юридические лица и ИП, которые обеспечивают взаимодействие указанных систем или сетей.
Перечень новых обязанностей
Для повышения устойчивости и безопасности функционирования информационных ресурсов руководителям таких организаций с 01.05.2022 нужно:
- возложить на заместителя полномочия по обеспечению информационной безопасности организации, в т. ч. по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты;
- создать структурное подразделение по обеспечению информационной безопасности организации, в т. ч. по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить данные функции на уже существующее подразделение;
- при необходимости привлекать сторонние фирмы к обеспечению информационной безопасности организации – исключительно имеющие лицензии на техническую защиту конфиденциальной информации;
- при необходимости привлекать фирмы для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты –исключительно аккредитованные центрами госсистемы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ;
- обеспечивать должностным лицам ФСБ беспрепятственный доступ (в т. ч. удаленный) к принадлежащим организации либо используемым через Интернет инфоресурсам для мониторинга защищенности информационных ресурсов, а также исполнять их указания, данные по результатам такого мониторинга;
- обеспечивать незамедлительную реализацию организационных и технических мер, решения о необходимости которых принимает ФСБ и Федеральная служба по техническому и экспортному контролю и которое они регулярно направляют в организацию с учетом меняющихся угроз в информационной сфере.
Кто несёт ответственность
Указом № 250 на руководителя возложена персональная ответственность за обеспечение информационной безопасности его организации.Что утверждает Правительство РФ
Это два типовых положения:
- о заме руководителя, ответственного за обеспечение информационной безопасности организации;
- структурном подразделении, обеспечивающем информационную безопасность организации.
Кроме того, кабмин определяет перечень ключевых органов и организаций, которым необходимо оценить уровень защищенности своих инфосистем с привлечением сторонних фирм, имеющих соответствующие лицензии ФСБ и ФСТЭК.
В случае включения в такой перечень нужно провести оценку уровня защищенности своих информационных систем и до 01.07.2022 представить доклад в Правительство РФ.