1. Итак, во-первых, необходимо определить, относится ли Ваша организация к тому перечню, на который распространяется действие Указа.
Этот перечень приведен в п. 1 Указа. К таковым относятся: федеральные органы исполнительной власти, высшие исполнительные органы государственной власти субъектов РФ, государственные фонды, государственные корпорации (компании) и иные организации, созданные на основании федеральных законов, стратегические предприятия и стратегические акционерные общества и системообразующие организации российской экономики, а также юридические лица – субъекты КИИ. Далее по тексту для упрощения мы будем применять термин «организации».
Разбираемся с каждой из категорий. Если с определением организаций, которые относятся к категориям: «…федеральные органы исполнительной власти, высшие исполнительные органы государственной власти субъектов РФ, государственные фонды, государственные корпорации (компании) и иные организации, созданные на основании федеральных законов…», все понятно,
то по отношению к другим указанным в п. 1 Указа организациям могут возникать вопросы. Поскольку более детального разбора Указа мы не нашли, сделаем попытку разобраться самостоятельно.
Итак, к стратегическим предприятиям и стратегическим акционерным обществам мы отнесём организации, перечень которых утверждён Указом Президента РФ от 04.08.2004 № 1009 «Об утверждении перечня стратегических предприятий и стратегических акционерных обществ». Источник: https://base.garant.ru/187281/
С перечнем системообразующих предприятий, а также с критериями, по которым организации могут быть отнесены к таковым, можно ознакомиться здесь: http://www.consultant.ru/document/cons_doc_LAW_349267/.
Перечень организаций и критерии приведены в письме Минэкономразвития России от 23.03.2020 № 8952-РМ/Д18и «О перечне системообразующих организаций» (вместе с «Перечнем системообразующих организаций российской экономики», утв. протоколом заседания Правительственной комиссии по повышению устойчивости развития Российской экономики
от 20.03.2020 г. № 3). В тоже время, 16 апреля 2020 года Председатель Правительства России Михаил Мишустин предложил отказаться от единого перечня системообразующих предприятий. Первый вице-премьер России Андрей Белоусов прокомментировал, что работа будет вестись
по динамичным отраслевым спискам, которые будут находиться в зоне ответственности профильных министерств. Таким образом, если у вас нет однозначного ответа, и Ваша организация по приведенным критериям может быть отнесена к категории системообразующего предприятия, рекомендуем обратиться в профильное министерство
с соответствующим вопросом о статусе предприятия.
Множество вопросов возникает по поводу субъектов КИИ. Кстати, по поводу субъектов КИИ мы говорили также здесь (https://t.me/tobesoft_group_is/66), и если после проведенной ревизии ЕГРЮЛ и анализа иных документов (более подробно об этом – в нашей следующей статье), Вы все-таки попадаете в категорию «субъекты КИИ», то выполнять меры, предусмотренные Указом Вам необходимо, вне зависимости от размера и формы собственности предприятия.
Эти меры не относятся к индивидуальным предпринимателям, которые осуществляют деятельность в сферах, отнесенных к КИИ. Поскольку, в соответствии с п. 1 ст. 23 Гражданского кодекса РФ
(«…гражданин вправе заниматься предпринимательской деятельностью без образования юридического лица с момента государственной регистрации в качестве индивидуального предпринимателя…») и абз. 3 п. 2 ст. 11 Налогового кодекса РФ («…индивидуальные предприниматели – физические лица, зарегистрированные в установленном порядке и осуществляющие предпринимательскую деятельность без образования юридического лица…»), индивидуальные предприниматели не являются юридическими лицами, а действие Указа распространяется только на субъектов КИИ – юридических лиц.
Кроме того, необходимо ознакомиться с местными нормативно-правовыми актами, поскольку, следуя примеру Президента, руководители субъектов также выпускают распорядительные документы, направленные на повышение устойчивости и безопасности функционирования информационных ресурсов, которые прямо или косвенно пересекаются с перечнем мер Указа.
То есть, даже если Ваша организация не подпадает под действие Указа, часть мер может быть обязательна в соответствии с региональными распорядительными документами.
Дополнительного разъяснения требует момент с организациями, которым в соответствии
с пп. б) п. 3 Указа, необходимо в срок до 1 июля провести оценку уровня защищенности своих информационных систем. Как стало известно 10 июня, в перечень вошли 58 организаций, которым 7 июня Минцифры разослало соответствующее письмо. Может сложиться ложное представление о том, что если Ваша организация не получила такое письмо, то исполнять меры, предусмотренные Указом, необязательно. Это не так. Поскольку из всех перечисленных в Указе мер, на Вас, в таком случае, не распространяется только срок проведения оценки уровня защищенности. Все иные обязанности у Вас остаются.
2. Распределение ответственности в сфере ИБ.
Указом предусмотрены следующие меры:
- возложить на заместителя руководителя организации полномочия по обеспечению информационной безопасности, в т.ч. по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- создать в организации структурное подразделение, осуществляющее функции по обеспечению информационной безопасности, в т.ч. по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить данные функции на существующее структурное подразделение.
Из этих пунктов следует, что необходимо определить заместителя руководителя, который наиболее подходит для выполнения вышеуказанных функций и внутренним распорядительным документом наделить его соответствующими полномочиями. Также необходимо внести изменения в должностной регламент и служебный контракт (трудовой договор). Возможно, одним из наиболее целесообразных вариантов будет повысить имеющегося руководителя подразделения ИБ, поскольку таким образом, можно будет сэкономить время и средства на подготовку специалиста, а также на введение его в курс дела.
По второму пункту необходимо заметить, что теперь для соответствия требованиям наличия одного специалиста будет недостаточно. Необходимо именно наличие структурного подразделения со специалистами, прошедшими надлежащую подготовку и имеющими определенную квалификацию. С этой целью, возможно, придется внести изменения в штатное расписание, а также
в должностные регламенты и служебные контракты (трудовые договоры). Разработать инструкции, пересмотреть организационно-распорядительную документацию в сфере ИБ, действующую в организации.
Кроме того, если Ваша организация функционирует в сфере КИИ, а именно, обладает значимыми объектами КИИ, к требованиям по квалификации сотрудников такого подразделения устанавливаются дополнительные требования (см. п. 12 приказа ФСТЭК России от 21.12.2017 № 235):
- наличие у руководителя такого подразделения документа о наличии высшего профессионального образования по направлению подготовки в области ИБ или документа о профессиональной переподготовке (объем не менее 360 часов), а также стаж работы в сфере ИБ не менее 3-х лет;
- наличие у штатных работников подразделения документа о наличии высшего профессионального образования по направлению подготовки в области ИБ или документа о профессиональной переподготовке (объем не менее 72 часов);
- прохождение повышения квалификации по направлению ИБ не реже одного раза в 5 лет.
Пунктом 13 вышеуказанного Приказа запрещается возлагать на такое структурное подразделение исполнение функций, не связанных с обеспечение безопасности ЗОКИИ.
NB. Правительству РФ было поручено в месячный срок подготовить типовые положения о заместителе руководителя и структурном подразделении, обеспечивающих ИБ. Однако на момент написания настоящей статьи, таких документов в свободном доступе пока
не обнаружено:(
Рекомендуем воспользоваться шаблонами документов, существующими в настоящий момент с последующим изменением, после получения новых типовых.
При этом, важно помнить, что персональная ответственность за обеспечение ИБ организации Указом возложена на руководителя организации, а не на его заместителя или специалистов (п. 2 Указа).
3. Отслеживать актуальность угроз и мер защиты
Вновь образованным (назначенным) подразделениям необходимо обеспечивать незамедлительную реализацию организационных и технических мер, решения об осуществлении которых принимаются ФСБ и ФСТЭК, с учетом меняющихся угроз в сфере ИБ. А также принять во внимание необходимость обеспечить беспрепятственный доступ к информационным ресурсам организации должностным лицам ФСБ и выполнение полученных от них указаний.
4. Проанализировать подрядчиков.
Указом разрешено в случае необходимости привлекать к осуществлению мероприятий по обеспечению ИБ организации, имеющие соответствующие лицензии на деятельность по технической защите информации (лицензиаты ФСТЭК, ФСБ).
Перечень необходимых лицензий подрядной организации нужно определить на основании видов обрабатываемой информации в ИС (наличия сведений составляющих государственную тайну). При отсутствии гостайны в области работ достаточно лицензии ФСТЭК России по технической защите конфиденциальной информации, а при наличии — необходимо привлекать организации, которые имеют лицензии ФСБ России и ФСТЭК России на оказание услуг по защите гостайны.
При этом, к мероприятиям по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты можно привлекать только организации, являющиеся аккредитованными центрами ГОССОПКА.
Кроме того, при составлении технических заданий и проектов контрактов при проведении закупок необходимо учесть, что 3 июня Минцифры опубликовано типовое техническое задание на выполнение работ по оценке уровня защищенности информационной инфраструктуры (с типовой формой отчета и примером заполненной формы отчета по итогам оценки).
Источник: https://gooo.im/td2yor.
В рамках выполнения поручений Указа, ФСБ должны быть выполнены меры по:
- организации аккредитации центров ГОССОПКА;
- определению переходного периода, в течение которого допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах организаций на основании заключенных с НКЦКИ соглашений о сотрудничестве.
Таким образом, при необходимости подключения организации к центру ГОССОПКА понадобится проверять у них наличие соответствующей аккредитации.
5. Импортозамещение
Отдельное внимание в Указе уделено запрету на использование средств защиты информации, странами, происхождения которых являются недружественные иностранные государства, либо производителями которых являются организации, находящиеся под юрисдикцией таких государств, прямо или косвенно подконтрольные им либо аффилированные с ними.
В частности, пунктом 6 Указа запрещается использовать такие средства с 1 января 2025 года. Ранее, Указом Президента от 30.03.2022 № 166 был введен запрет на закупку иностранного оборудования и программного обеспечения для субъектов КИИ, осуществляющих закупки по Закону № 223-ФЗ.
(О действии Указа № 166 мы говорили ранее здесь).
Таким образом, организациям необходимо провести тщательную инвентаризацию, как ПО, так и оборудования с целью своевременной (до 01.01.2025) замены и перехода на отечественные решения.
Надеемся, что после прочтения этой статьи, Вам стал более понятен порядок действий, которые необходимо предпринять.
Мы продолжаем следить за обновлениями законодательства с тем, чтобы наиболее быстро предоставить Вам нужную информацию.
Ваша безопасность – наша забота.