Как компаниям исполнить требования Указа Президента Российской Федерации от 1 мая 2022 г. N 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации.
В современном мире кибербезопасность – это жизненно необходимая функция обеспечения интересов человека, общества и государства. Российское общество в последнее время переживает потрясения от сложных, тщательно подготовленных, хорошо финансируемых кибератак, угрожающих безопасной деятельности всех субъектов бизнеса, включая объекты критической инфраструктуры. В первую очередь в зоне риска оказались государственные учреждения, производственные компании, крупнейшие СМИ, финансовые организации, социально значимые порталы и сети.
Проблемы, связанные с обеспечением кибербезопасности бизнеса, были и остаются сложными, многоплановыми и взаимосвязанными. Они требуют постоянного взаимодействия с государством и обществом, регулярного совершенствования методов и средств, позволяющих достоверно оценивать угрозы кибербезопасности и своевременно и качественно реагировать на них.
В связи с этим 1 мая был принят Указ Президента N250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Его действие распространяется на:
- Все государственные и около государственные компании, компании с государственным участием и их подрядчики;
- Стратегические предприятия, в том числе коммерческие, стратегические акционерные общества и системообразующие организации российской экономики;
- Компании, являющиеся субъектами критической информационной инфраструктуры Российской Федерации.
Спецификой организаций и объясняются столь масштабные требования, четко регламентирующие процессы обеспечения информационной безопасности в Указе Президента РФ.
Кому пора принимать меры?
Давайте разберемся, на какие компании, отрасли и сегменты бизнеса распространяется действие Указа.
В первую очередь речь идет про федеральные органы исполнительной власти, высшие исполнительные органы государственной власти субъектов Российской Федерации, государственные фонды и корпорации, а также иные организации, созданные на основании федеральных законов;
Если говорить про стратегические акционерные общества и системообразующие организаций российской экономики, то здесь действие Указа затрагивает крупные коммерческие компании, вносящие большой вклад в экономику и обеспечивающие большое количество рабочих мест. Сюда относятся такие отрасли как ритейл, промышленность, нефтегазовый сектор, энергетика, транспорт, медицина;
И, конечно, под действие Указа попадают компании, являющиеся субъектами критической информационной инфраструктуры. Причем не важно – признаны объекты значимыми или нет.
Следует отметить, что субъектам критической информационной инфраструктуры (КИИ) согласно Указу Президента РФ с 31.03.22 при проектировании своих информационных систем уже запрещено использование иностранное ПО и оборудование, а существующее иностранное ПО должно быть полностью заменено на отечественные аналоги к 01.01.2025.
В самое ближайшее время от правительства стоит ожидать разъяснения и подзаконные акты, регламентирующие и детализирующие выполнение требований Указа. 22 июня уже вышло распоряжение правительства РФ №1661 со списком организаций, которые должны выполнить требования в первую очередь, и следующим шагом видится расширение этого перечня.
Как приступить к реализации Указа? С чего начать?
В крупных компаниях уже давно существуют выделенные подразделения, отвечающие за кибербезопасность и соответствие требованиям отраслевых регуляторов. Как правило, они уже имеют серьезную эшелонированную защиту и могут превентивно выявлять готовящиеся кибератаки на ранних стадиях. Но что делать компаниям, не имеющим в структуре подразделение или сотрудника, отвечающего за кибербезопасность?
К счастью, для таких компаний, подпадающих под действия Указа, не запрещается выполнять требования с привлечением субподрядчиков/исполнителей. Конечно, к компетенциям исполнителям предъявляются серьезные запросы по наличию лицензий и опыта, но все же такие компании на рынке существуют в необходимом количестве, что заметно облегчает исполнение всех требований Указа.
Безусловно компании, не имеющие в своей структуре отдельного подразделения по информационной безопасности, могут создать его самостоятельно и организовать все необходимые процессы для выполнения требований Указа. И вот как это лучше сделать.
Исполнение требований. Необходимые шаги
Первое и основное с чего стоит начать самостоятельно или с привлечением субподрядчика — это аудит и оценка уровня защищенности, после них вы получите полную картину соответствия текущего уровня информационной безопасности. Также после аудита станет понятно, какой процент иностранного ПО и оборудования используется в организации, чтобы уже сейчас начать планировать переход на решения отечественных производителей.
Кроме того, на данном этапе нелишним будет проведение пентеста. Это поможет оценить вероятность компрометации корпоративной инфраструктуры компании и выявить те недостатки и уязвимости, эксплуатация которых может негативно повлиять на корпоративную инфраструктуру и ее процессы с точки зрения информационной безопасности
По итогам аудита необходимо разработать комплект организационно распорядительной документации, описывающий все нормы, регламенты и полномочия создаваемого нового структурного подразделения, отвечающего за информационную безопасность. Такая документация должна содержать алгоритмы и четкий план действий сотрудников при наступлении всех потенциально возможных событий, связанных с информационной безопасностью организации.
Третьим и, по сути, финальным этапом станет разработка и реализация технического задания (road map), включающего в себя детальный пошаговый план создания подразделения, внедрения всех необходимых процессов и технологий, отвечающих требованиям регуляторов, закупка необходимого оборудования и ПО. При наличии в организации иностранных решений по информационной безопасности в техническое задание должен быть включен отдельный план-график по переходу на отечественные аналоги.
Что еще важно не упустить из виду?
Если вы решите обратиться за помощью к субподрядчику, вам будет полезно знать, что к таким организациям предъявляются некоторые требования. Ключевое и обязательное требование — иметь актуальную лицензию на осуществление деятельности по технической защите конфиденциальной информации. А также быть аккредитованным центром государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСопка) — в случае необходимости подключения компании к ГосСопке
При выборе поставщиков и контрагентов в также стоит смотреть, могут ли подрядчики обеспечить полный цикл функционирования решения или сервиса, начиная от поставки и внедрения и заканчивая дальнейшем сопровождением и кастомизацией под ваши персональные задачи и специфику бизнеса. Такие компании не привязаны к конкретному решению, имеют универсальный опыт в проектировании и дальнейшем сопровождении сложных нетиповых информационных систем. При проектировании информационных систем они смогут заложить в архитектуру решения возможность гибкой настройки и возможности «горячей» замены ее компонентов, без остановки бизнес-процессов. Также подрядчик должен иметь полноценный опыт в разработке комплекса организационно распорядительных документов, не только регламентирующих работу подразделения, но и соответствующих требованиям регуляторов
Подводя итог отмечу, что российский бизнес с точки зрения разработчиков решений или провайдеров услуг достаточно уверенно адаптировался к международным санкциям и продолжает успешно развиваться.
Огромную роль в процессе перехода на отечественные решения сыграла первая волна санкций еще в 2014 году, когда и заказчики, и разработчики впервые задумались над развитием отечественных аналогов. Поэтому в настоящий момент, когда практически все западные разработчики ушли с нашего рынка, многие компании уже были готовы как к частичному, так и полному переходу на отечественные решения.
21.07.2022