В 2022 году расширили список организаций, которые должны следить за информационной безопасностью. Теперь это не только стратегические предприятия и госструктуры, но и тысячи юридических лиц. Первый доклад в правительство они должны сдать уже 1 июля.
1 мая 2022 года президент подписал Указ № 250, в котором возложил персональную ответственность за информационную безопасность на первых лиц компаний. В документе он перечислил, какие именно организации должны ее обеспечивать:
- органы исполнительной власти;
- высшие исполнительные органы государственной власти российских регионов;
- государственные фонды;
- госкорпорации и организации, которые созданы на основе федеральных законов;
- стратегические предприятия, акционерные общества и системообразующие организации российской экономики;
- юрлица — субъекты критической информационной инфраструктуры РФ.
Многие из этих организаций и так занимались вопросами обеспечения информационной безопасности. Однако некоторые акционерные общества, системообразующие организации российской экономики и субъекты критической информационной структуры РФ подключатся к ним впервые.
22 июня правительство выпустило перечень организаций, которые должны оценить уровень защищенности своих информационных систем. В него попали 72 организации.
В будущем и другие организации, упомянутые в Указе, будут оценивать свою защищенность. Определить, попадает ли компания под требования Указа, можно и из других нормативных актов.
Перечни предприятий, которые утверждены другими законами
Конкретные списки в других нормативных актах и законах есть для стратегических предприятий и акционерных обществ (Указ Президента от 04.08.2004 № 1009) и системообразующих организаций российской экономики (Письмо Минэкономразвития от 23.03.2020 № 8952-РМ/Д18).
Для субъектов критической информационной структуры подробного перечня организаций нет. Согласно закону, субъекты критической информационной инфраструктуры — это госорганы, госучреждения, российские юридические лица и ИП, которым принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления в следующих сферах (ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ):
- здравоохранение;
- наука;
- транспорт;
- связь;
- энергетика;
- банки и другие сферы финансового рынка;
- топливно-энергетический комплекс;
- атомная энергия;
- оборонная;
- ракетно-космическая;
- горнодобывающая;
- металлургическая промышленность;
- химическая промышленность.
Обратите внимание, субъект критической информационной структуры — это не только тот, кому принадлежат такие объекты, но и тот, кто обеспечивает информационное взаимодействие компаний с критически значимыми системами.
Обеспечьте безопасность объектов критической информационной структуры по требованиям ФСТЭК
Как именно компании должны обеспечивать информационную безопасность
Они должны обнаруживать, предупреждать и ликвидировать последствия компьютерных атак и реагировать на компьютерные инциденты. Для этого глава государства обязал компании создать специальные структурные подразделения или возложить обязанности на существующие.
Отвечать за информационную безопасность будут персонально руководители компаний (п. 2 Указа № 250).
Как и в каком виде нужно до 1 июля отчитаться перед правительством
Организации из перечня правительства должны до 1 июля предоставить доклад. Как именно он должен выглядеть и в каком виде, пояснений нет.
Но 3 июня Минцифры разработало рекомендации по исполнению 4 пункта Указа и разместило типовое техническое задание, а также типовую форму отчета. Скорее всего, она и станет основой для будущих аудитов.
Кто может оценить информационную безопасность компании
Типовое техническое задание содержит инструкции, которые помогут компаниям оценить защищенность информации и найти следы утечек и взлома информационной инфраструктуры злоумышленником.
Если кратко, это примерный алгоритм проверки, который похож на пентест информационной безопасности по компании в целом.
Согласно рекомендациям Минцифры, чтобы оценить защищенность, компании должны:
- выявить и консолидировать стратегические риски информационной безопасности;
- выявить уязвимость информационной инфраструктуры и технических средств обработки информации;
- выявить недостатки применяемых средств защиты информации и программных продуктов, оценить возможности их использования нарушителем;
- проверить практическую возможность использования уязвимостей;
- получить оценки текущего уровня защищенности на основе объективных свидетельств;
- разработать маршрутную карту модернизации информационной инфраструктуры.
Сделать это могут сами компании либо привлечь стороннюю организацию. Однако оценивать информационную безопасность могут только организации с лицензией от ФСТЭК на деятельность по технической защите конфиденциальной информации (п. 1.в Указа № 250). Реестр таких компаний находится в свободном доступе.
Получить комплекс услуг по обеспечению информационной безопасности предприятия
Получить комплекс услуг по обеспечению информационной безопасности предприятия