Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»
Суть
Президент РФ поручил создать подразделения ИБ в органах и госкомпаниях, а также запретил им с 1 января 2025 г. использовать СрЗИ от недружественных стран. Документ касается федеральных и региональных властей, госфондов, госкорпораций, госкомпаний, стратегических, системообразующих предприятий, субъектов КИИ. В органе (организации) нужно создать структурное подразделение по обеспечению ИБ, в т. ч. по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. При необходимости нужно принимать решения о привлечении сторонних юрлиц к обеспечению ИБ органа (организации). Должностные лица органов ФСБ должны иметь беспрепятственный доступ (в т. ч. удаленный) к принадлежащим органам (организациям) либо используемым ими информресурсам, доступ к которым обеспечивается через Интернет для мониторинга их защищенности. Указ вступает в силу со дня его официального опубликования.
Ссылки
- Официальный интернет-портал правовой информации [PDF]
- Сохранённый текст в формате PDF
- Консультант+
- Гарант
Дополнительная информация
Внесённые изменения
- Указ Президента №500 от 13.06.2024 «О внесении изменений в Указ Президента РФ от 1 мая 2022 г. № 250 “О дополнительных мерах по обеспечению ИБ РФ”»
- С 1 января 2025 года вводится дополнительный запрет на использование сервисов (работ, услуг) по обеспечению ИБ, предоставляемых (выполняемых, оказываемых) недружественными странами. ФСБ России поручено установить требования к аккредитованным центрам ГосСОПКА, определить порядок их аккредитации и осуществлять контроль за их деятельностью.
Обзоры документа
Аналитический центр УЦСБ
В начале мая (01.05) опубликован Указ Президента РФ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ).
Указ нацелен на повышение уровня информационной безопасности (далее – ИБ) критически важных организаций РФ: органов государственной власти, государственных фондов, госкорпораций, иных предприятий, созданных на основании федеральных законов, стратегических предприятий и акционерных обществ, системообразующих организаций экономики, субъектов критической информационной инфраструктуры (далее – КИИ).
Согласно Указу персональная ответственность за обеспечение целевого уровня ИБ в организации возлагается на заместителя руководителя организации (Правительство РФ планирует утвердить положение о таком заместителе). При этом задачи, решаемые в рамках обеспечения такого уровня ИБ, необходимо возложить на отдельное подразделение. Для решения этих задач необходимо создать отдельное подразделение или возложить ответственность за решение задач на уже существующее в организации подразделение.
Кроме того, Указ вводит зоны ответственности и права для органов исполнительной власти:
- Федеральная служба безопасности России (далее – ФСБ России) определит порядок мониторинга ИБ организаций, входящих в область действия Указа; Для мониторинга ИБ могут привлекаться только аккредитованные центры Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА), порядок аккредитации определяет ФСБ России (об этом далее в обзоре);
- ФСБ России также получает беспрепятственный доступ к инфраструктуре указанных организаций (в том числе удаленный). Кроме того, Правительство РФ подготовило перечень ключевых организаций, которым необходимо до 1 июля 2022 года провести оценку текущего уровня защищенности и представить информацию о результатах такой оценки в Правительство РФ. В общем доступе перечень отсутствует, Правительством направлены отдельные уведомления каждой ключевой организации, попавшей в перечень.
К работам по оценке уровня защищенности могут привлекаться только организации, имеющие лицензию ФСТЭК России на проведение таких работ.
Гарант ПРАЙМ
Президент РФ поручил создать подразделения информбезопасности в органах и госкомпаниях, а также запретил им использовать средства защиты информации от недружественных стран.
Документ касается федеральных и региональных властей, госфондов, госкорпораций, госкомпаний, стратегических, системообразующих предприятий, субъектов критической информационной инфраструктуры. Так, с 1 января 2025 г. им запрещено использовать средства защиты информации, странами происхождения которых являются недружественные иностранные государства либо производителями которых являются организации, находящиеся под юрисдикцией таких государств, прямо или косвенно подконтрольные им либо аффилированные с ними.
В органе (организации) нужно создать структурное подразделение по обеспечению информационной безопасности, в т. ч. по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. Правительство РФ утвердит положение о таком подразделении. При необходимости нужно принимать решения о привлечении сторонних юрлиц к обеспечению информационной безопасности органа (организации). При этом речь идет о юрлицах, имеющих лицензии на деятельность по технической защите конфиденциальной информации. К мероприятиям по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты также можно привлекать сторонние организации, но только те, которые являются аккредитованными центрами госсистемы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информресурсы.
Должностные лица органов ФСБ должны иметь беспрепятственный доступ (в т. ч. удаленный) к принадлежащим органам (организациям) либо используемым ими информресурсам, доступ к которым обеспечивается через Интернет. Это нужно для мониторинга защищенности информресурсов, принадлежащих органам (организациям) либо используемых ими.
Указ вступает в силу со дня его официального опубликования.
Текст документа
Быстрый просмотр сохранённой копии