Новый Указ Президента может сделать безопасников заместителями генеральных директоров

В день труда, когда вся Россия отдыхает, наш Президент подписал новый, не побоюсь этого слова, революционный Указ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», который коренным образом должен поменять процессы обеспечения ИБ на российских предприятиях. Тезисно, данный указ говорит о следующем:

Он распространяется на органы госвласти, высшие исполнительные органы госвласти, государственные фонды, госкорпорации, иные предприятия, созданные на основании ФЗ, стратегические предприятия, стратегические акционерные общества (последние два утверждены Указом Президента от 4 августа 2004 года №1009), системообразующие организации экономики и субъекты критической информационной инфраструктуры (без привязки к владению значимыми или незначимыми объектами). По скромным оценкам таких организаций до ста тысяч — несколько тысяч государевых контор, 20 тысяч только финансовых организаций, 20 тысяч транспортных компаний (это не считая 2 миллионов ИП, у которых есть свой грузовик), 5 тысяч больниц и т.п.

Почему не внесли поправки в федеральный закон (149-й и 187-й)? Понятно, что принять Указ гораздо проще, но все-таки? Например, по части КИИ Президент не уполномочен своими Указами такие вещи принимать. Видимо, в военное время не только значение синуса может достигать четырех, но и юридические нормы можно не очень соблюдать.

Заместитель руководителя попавшего под Указ предприятия назначается ответственным за ИБ, а сам руководитель несет персональную ответственность за ИБ. Тут стоит вспомнить про статьи 274.1 УК РФ и 13.12 КоАП, по которым, правда, правоприменения пока для ИБшников почти нет, но гарантировать его отсутствие в будущем я бы не стал.

У ИБшников появляется возможность стать заместителем генерального директора / руководителя организации ???? И это не шутка. Либо текущий зам станет отвечать за непонятную ему проблему и нести ответственность по 274.1 / 13.12, либо на эту должность назначат имеющегося ИБшника, подняв его в статусе.

Правительство должно утвердить положение о таком замруководителя. Скорее всего возникнет вопрос о необходимости обучения такого ответственного; если не по программе на 512 часов, то хотя бы на 100. Летний сезон у учебных центров в случае принятия такой нормы предстоит жаркий.

Должен быть создан отдел по ИБ или эта задача должна быть возложена на иное подразделение. Да, отдел может состоять из всего одного человека, но оформлен он должен быть именно в самостоятельное подразделение.

Правительство должно утвердить положение о таком подразделении, но как оно это сделает я пока представляю с трудом, так как под действие Указа попал и Газпром с Почтой России и ломбард с микрофинансовой организацией. Очевидно, что у них не может быть одинаковой структуры и обязанностей. Возможно, Правительство спустит все на ФСТЭК, которой придется снова отдуваться за всех.

Все попавшие под Указ организации должны незамедлительно (так и написано) реализовывать всех требования ФСТЭК и ФСБ, которые они активно рассылают в последнее время.

Для обеспечения ИБ можно привлекать внешние компании, но только лицензиатов ТЗКИ. Если раньше можно было закрывать глаза на отсутствие лицензии ФСТЭК у подрядчиков, то теперь это уже не удастся сделать (по крайней мере так явно). Это означает, что либерализации рынка ИБ и возможности выйти на него небольшим компаниям не предвидится ????

В законопроекте об уведомлении РКН и ФСБ об утечках ПДн говорится о подключении всех операторов ПДн к ГосСОПКЕ. В этом Указе такой прямой нормы нет, но опосредованно, через постоянные отсылки к необходимости обнаруживать, предотвращать и ликвидировать последствия компьютерных атак, это также следует. Тем более, что по Указу ФСБ должна определить порядок мониторинга ИБ всеми организациями, попавшими под Указ. Учитывая, что у ФСБ уже есть такие методики (с ограничительной пометкой), то есть вероятность, что эти методики наконец-то рассекретят (мне в свое время не удалось их получить официальным путем, даже несмотря на официальный запрос от лицензиата ФСБ). Есть, конечно, вероятность, что ФСБ и сейчас потребует от всех получения лицензий ФСБ на гостайну, но требовать такого от почти сотни тысяч субъектов, попавших под новый Указ?.. Нууу, такое…
Можно привлекать для мониторинга ИБ внешние центры (SOC), коих существует у нас немало (с два десятка точно наберется), но теперь они все должны быть официально аккредитованы в ФСБ по новым правилам, которые ФСБ должна разработать. Старые соглашения о взаимодействии центров ГосСОПКИ и НКЦКИ будут действовать в течение срока, который ФСБ же и должна определить.
ФСБ получает беспрепятственный доступ (в том числе удаленный) ко всей инфраструктуре попавших под Указ предприятий. Боятся этого не стоит — это просто формулировка. Она существовала и в законодательстве по КИИ и всего лишь означала, что если у вас произойдет инцидент ИБ и к вам придет разбираться и проводить расследование ФСБ, то чинить препятствие им вы не имеете права. Сейчас, правда, добавили еще про удаленный доступ, но тут пока сложно что-то сказать. Я не думаю, что эта норма будет как-то активно применяться, так как открывать дыру в периметре никто не захочет (а еще и нести ответственность за нее).
Правительство должно определить список организаций, которые должны провести оценку защищенности своих информационных систем с привлечением лицензиатов ФСТЭК и ФСБ (никакой самодеятельности). До 1-го июля этого года эти организации должны оценить свою защищенности и представить результаты в Правительство.
С 1-го января 2025 все попавшие под Указ организации не смогут использовать средства защиты из недружественных государств, а также от иных организаций, которые прямо или косвенно подконтрольны таким государствам. Отдельные депутаты необдуманно заявляют, что надо распространить эту норму не только на недружественные, но и вообще на все зарубежные средства защиты, включая пока еще молчащие китайские и израильские, а также вполне дружественные ближневосточные и южноамериканские. И многие заказчики, несмотря на слова Президента о том, что надо поддержать те немногочисленные иностранные компании, что еще остались в России, последуют стратегии «лучше перебдеть».

Если честно, то на мой взгляд, этот Указ опять ни к чему не приведет и в госорганах будут возведены только потемкинские деревни. Нельзя ИБ навязать сверху, да еще и без переходного периода, не выделив бюджета на нее, и не имея кадров для ее реализации.

Предпосылки к принятию этого указа вполне понятны:

Что-то с ИБ у нас совсем все плохо — то всякие ИТ-армии нас атакуют, то иностранные ИТ-компании активно кооптируют в ряды хакеров своих сотрудников и не против, чтобы они атаковали российские организации, то специалисты по ИБ по всему миру не только активно продают «утечки» из российских организаций и репостят «успехи» недружественных России хакеров, но и не видят в этом ничего зазорного.

ФСТЭК, похоже, не очень справилась со своей задачей, поэтому возникла задача усилить ее за счет ФСБ и ГосСОПКИ.

17-й приказ о «строительстве защитных стен» показал свою неэффективность (особенно в условиях отсутствия контроля со стороны регулятора), поэтому решили, что надо сделать акцент на мониторинг и реагирование.

Руководство организации, которое раньше манкировало задачей ИБ, теперь будет за нее отвечать и нести персональную ответственность.

ФСБ, под шумок, получило максимально возможные полномочия по ИБ без какой-либо ответственности за нее.

Все задолбали своими отмазками по поводу невозможности импортозамещения, поэтому дали 3 года, чтобы все иностранные средства защиты импортозаместили.