Кто и как должен следить за информационной безопасностью в 2022 году — СКБ Контур

Кто и как должен следить за информационной безопасностью в 2022 году

29 июня 2022

В 2022 году расширили список организаций, которые должны следить за информационной безопасностью. Теперь это не только стратегические предприятия и госструктуры, но и тысячи юридических лиц. Первый доклад в правительство они должны сдать уже 1 июля.

Никита Ярков, Любовь Крапивина

1 мая 2022 года президент подписал Указ № 250, в котором возложил персональную ответственность за информационную безопасность на первых лиц компаний. В документе он перечислил, какие именно организации должны ее обеспечивать:

  • органы исполнительной власти; 
  • высшие исполнительные органы государственной власти российских регионов;
  • государственные фонды;
  • госкорпорации и организации, которые созданы на основе федеральных законов;
  • стратегические предприятия, акционерные общества и системообразующие организации российской экономики;
  • юрлица — субъекты критической информационной инфраструктуры РФ.

Многие из этих организаций и так занимались вопросами обеспечения информационной безопасности. Однако некоторые акционерные общества, системообразующие организации российской экономики и субъекты критической информационной структуры РФ подключатся к ним впервые.

22 июня правительство выпустило перечень организаций, которые должны оценить уровень защищенности своих информационных систем. В него попали 72 организации.

В будущем и другие организации, упомянутые в Указе, будут оценивать свою защищенность. Определить, попадает ли компания под требования Указа, можно и из других нормативных актов.

Перечни предприятий, которые утверждены другими законами

Конкретные списки в других нормативных актах и законах есть для стратегических предприятий и акционерных обществ (Указ Президента от 04.08.2004 № 1009) и системообразующих организаций российской экономики (Письмо Минэкономразвития от 23.03.2020 № 8952-РМ/Д18). 

Для субъектов критической информационной структуры подробного перечня организаций нет. Согласно закону, субъекты критической информационной инфраструктуры — это госорганы, госучреждения, российские юридические лица и ИП, которым принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления в следующих сферах (ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ):

  • здравоохранение; 
  • наука;
  • транспорт; 
  • связь; 
  • энергетика;
  • банки и другие сферы финансового рынка; 
  • топливно-энергетический комплекс;
  • атомная энергия; 
  • оборонная;
  • ракетно-космическая; 
  • горнодобывающая; 
  • металлургическая промышленность; 
  • химическая промышленность.

Обратите внимание, субъект критической информационной структуры — это не только тот, кому принадлежат такие объекты, но и тот, кто обеспечивает информационное взаимодействие компаний с критически значимыми системами.

security

Обеспечьте безопасность объектов критической информационной структуры по требованиям ФСТЭК

Как именно компании должны обеспечивать информационную безопасность

Они должны обнаруживать, предупреждать и ликвидировать последствия компьютерных атак и реагировать на компьютерные инциденты. Для этого глава государства обязал компании создать специальные структурные подразделения или возложить обязанности на существующие.

Отвечать за информационную безопасность будут персонально руководители компаний (п. 2 Указа № 250). 

Как и в каком виде нужно до 1 июля отчитаться перед правительством

Организации из перечня правительства должны до 1 июля предоставить доклад. Как именно он должен выглядеть и в каком виде, пояснений нет. 

Но 3 июня Минцифры разработало рекомендации по исполнению 4 пункта Указа и разместило типовое техническое задание, а также типовую форму отчета. Скорее всего, она и станет основой для будущих аудитов.

Кто может оценить информационную безопасность компании

Типовое техническое задание содержит инструкции, которые помогут компаниям оценить защищенность информации и найти следы утечек и взлома информационной инфраструктуры злоумышленником.

Если кратко, это примерный алгоритм проверки, который похож на пентест информационной безопасности по компании в целом. 

Согласно рекомендациям Минцифры, чтобы оценить защищенность, компании должны:

  • выявить и консолидировать стратегические риски информационной безопасности;
  • выявить уязвимость информационной инфраструктуры и технических средств обработки информации; 
  • выявить недостатки применяемых средств защиты информации и программных продуктов, оценить возможности их использования нарушителем;
  • проверить практическую возможность использования уязвимостей;
  • получить оценки текущего уровня защищенности на основе объективных свидетельств;
  • разработать маршрутную карту модернизации информационной инфраструктуры.

Сделать это могут сами компании либо привлечь стороннюю организацию. Однако оценивать информационную безопасность могут только организации с лицензией от ФСТЭК на деятельность по технической защите конфиденциальной информации (п. 1.в Указа № 250). Реестр таких компаний находится в свободном доступе.

Никита Ярков, эксперт Контура

Любовь Крапивина, руководитель отдела продаж Контур.Безопасности

Безопасность
Получить комплекс услуг по обеспечению информационной безопасности предприятия
Узнать больше
Никита Ярков, Любовь Крапивина
Безопасность
Получить комплекс услуг по обеспечению информационной безопасности предприятия
Узнать больше
Раз в неделю — дайджест материалов, достойных вниманияАктуальные материалы раз в неделю
Подписаться
Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компаний СКБ Контур.

Статьи по теме

Все статьи
Написать комментарий