Елена Чепко: «В больницах, вузах, банках срочно должен появиться замруководителя по информационной безопасности»

Но ответственность, вплоть до уголовной, понесет его начальник.

Постоянный эксперт БК55, гендиректор юридической компании «Интел-сервис консалтинг» Елена Чепко рассказывает о важном изменении в законодательстве — многие предприниматели о нем ни сном, ни духом!

«В мае этого года президент РФ подписал Указ № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ».
Этот указ кардинально меняет подход к поддержанию уровня инфо-безопасности в российских компаниях.

Указ вступил в силу сразу после публикации, с 1 мая 2022 года.
Нововведения касаются информационной безопасности (будем дальше писать ИБ) целого ряда российских предприятий. Если точнее, то речь обо всех организациях, являющихся субъектами критической информационной инфраструктуры (субъекты КИИ).
По экспертным оценкам, это 90% всей российской экономики.
Чтобы понять, о каких именно организациях идет речь, обратимся к положениям Федерального закона от 26 июля 2017 года № 187 «О безопасности критической информационной инфраструктуры РФ».
Из него следует, что это все юридические лица, кто осуществляет свою деятельность в следующих критически важных сферах:
здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность, химическая промышленность.

Суть Указа вот в чем.
Всем организациям, являющимся субъектами КИИ, необходимо:
— установить определенную структуру ответственности за обеспечение ИБ на своем предприятии.
Речь идет о назначении в обязательном порядке ответственного лица за обеспечение ИБ на уровне замруководителя организации.
Однако персональную ответственность (вплоть до уголовной ст. 274.1 УК РФ) за обеспечение надлежащего уровня ИБ несет руководитель организации.

Итак, следует:
— создать структурное подразделение, ответственное за обеспечение ИБ, либо возложить такие функции на имеющееся.
То есть одной штатной единицы, ответственной за информационную безопасность в организации, теперь недостаточно.

Далее:
— обеспечить постоянный мониторинг рекомендаций по нейтрализации актуальных угроз ИБ (которые им направляют ФСБ и ФСТЭК России) с незамедлительной реализацией предписанных организационных и технических мер.

ИБ должна быть практической и результативной, а не формальной, «на бумаге». То есть следует учитывать потребности конкретной организации и ее задачи.

А вот требования едины как для организаций бизнеса, так и для бюджетных.
Все попавшие под Указ организации должны незамедлительно реализовывать все требования ФСТЭК и ФСБ в области ИБ.
Например, разрешено привлекать к услугам по ИБ только те организации, которые имеют лицензию ФСТЭК России (Реестр лицензиатов ФСТЭК России размещён на официальном сайте регулирующего органа в открытом доступе).

К деятельности по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты теперь можно привлекать только аккредитованные центры государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

И наконец, нельзя использовать средства защиты из недружественных стран.
Но это чуть позже, с 1 января 2025 года. Попавшие под Указ организации не смогут использовать даже средства тех организаций, которые прямо или косвенно подконтрольны таким государствам.