Журнал "Information Security/ Информационная безопасность" #3, 2022

4 • ПРАВО И НОРМАТИВЫ Меры обеспечения информационной безопасности по Указу Президента РФ № 250 В начале мая 2022 г. был опубликован Указ Президента Российской Федерации от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" (далее – Указ Президента № 250) 1 . Официально Указ Президента № 250 вступил в силу со дня его опубликования, то есть выполнять его требования необходимо уже с 1 мая 2022 г. Ряд мер по повышению уровня без- опасности информационных ресурсов необходимо выполнить следующим орга- низациям: l федеральным органам исполнитель- ной власти; l высшим исполнительным органам государственной власти субъектов РФ; l государственным фондам; l государственным корпорациям и госу- дарственным компаниям; l стратегическим предприятиям и страте- гическим акционерным обществам (пере- чень обществ утвержден Указом Президента РФ от 04.08.2004 № 1009 "Об утверждении перечня стратегических предприятий и стра- тегических акционерных обществ" 2 ); l системообразующим организациям российской экономики; l юридическим лицам, являющимся субъектами КИИ. Для выполнения требований Указа Президента № 250 организациям требу- ется определить структуру ответствен- ности за обеспечение информационной безопасности, например: l на должностное лицо уровня заме- стителя руководителя организации нужно возложить полномочия по обес- печению ИБ; l на самого руководителя – персональ- ную ответственность за обеспечение ИБ; l создать структурное подразделение, ответственное за обеспечение ИБ, либо возложить такие функции на существую- щее подразделение. Таким образом, одной штатной еди- ницы, ответственной за ИБ в организа- ции, теперь недостаточно. Для таких структурных изменений к началу июня 2022 г. со стороны Прави- тельства РФ должны были быть подго- товлены типовые положения о замести- теле руководителя и о структурном под- разделении, обеспечивающем ИБ. Одна- ко на момент написания этой статьи упомянутые выше положения офици- ально опубликованы не были. Теперь к деятельности по обнаруже- нию, предупреждению и ликвидации последствий компьютерных атак, а также по реагированию на компьютерные инци- денты можно будет привлекать в каче- стве подрядчика только аккредитован- ные центры государственной системы обнаружения, предупреждения и ликви- дации последствий компьютерных атак (ГосСОПКА). В конце мая 2022 г. проектом приказа ФСБ России "Об определении переход- ного периода" 3 было предложено уста- новить переходный период, в течение которого можно будет взаимодейство- вать с неаккредитованными центрами ГосСОПКА, в 360 календарных дней со дня официального опубликования упо- мянутого приказа. По проекту приказа ФСБ России "О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам (НКЦКИ), утвержденное приказом ФСБ России от 24 июля 2018 г." 4 задачи и функции аккредитации центров ГосСОПКА и опре- деление порядка будут возложены на НКЦКИ. Организациям, внесенным в пере- чень ключевых органов (организаций), по Указу Президента № 250 необхо- димо было провести оценку уровня защищенности своих информацион- ных систем до 1 июля 2022 г. и предо- ставить ее результаты в Правитель- ство РФ. Перечень ключевых органов (организаций) должен был быть опре- делен Правительством РФ в месячный срок со дня выхода Указа Президента № 250. Однако распоряжение Прави- тельства РФ от 22.06.2022 № 1661-р 5 , определяющее указанный перечень, официально было опубликовано толь- ко 24 июня 2022 г. Поэтому формаль- но до отчетной даты ключевым орга- нам (организациям) оставалась всего неделя. Типовые формы технического задания на выполнение работ по оценке уровня Обзор изменений в законодательстве майском обзоре изменений законодательства в ИБ за 2022 г. разберем требования нашумевшего Указа Президента РФ № 250, поговорим о планах ФСТЭК России по актуализации методики оценки угроз безопасности информации и банка данных угроз, об отмене ГОСТа с требованиями к органам по аттестации объектов информатизации, рассмотрим требования к средствам удостоверяющих центров и многое другое. В Анастасия Заведенская, независимый эксперт по информационной безопасности Май-2022 1 http://publication.pravo.gov.ru/Document/View/0001202205010023 2 http://government.ru/docs/all/49574/ 3 https://regulation.gov.ru/projects#npa=127992 4 https://regulation.gov.ru/projects#npa=127995 5 https://sozd.duma.gov.ru/bill/84826-8