Кто и как должен следить за информационной безопасностью в 2022 году — Контур

Кто и как должен следить за информационной безопасностью в 2022 году

29 июня 2022

В 2022 году расширили список организаций, которые должны следить за информационной безопасностью. Теперь это не только стратегические предприятия и госструктуры, но и тысячи юридических лиц. Первый доклад в правительство они должны сдать уже 1 июля.

Никита Ярков Любовь Крапивина

1 мая 2022 года президент подписал Указ № 250, в котором возложил персональную ответственность за информационную безопасность на первых лиц компаний. В документе он перечислил, какие именно организации должны ее обеспечивать:

  • органы исполнительной власти; 
  • высшие исполнительные органы государственной власти российских регионов;
  • государственные фонды;
  • госкорпорации и организации, которые созданы на основе федеральных законов;
  • стратегические предприятия, акционерные общества и системообразующие организации российской экономики;
  • юрлица — субъекты критической информационной инфраструктуры РФ.

Многие из этих организаций и так занимались вопросами обеспечения информационной безопасности. Однако некоторые акционерные общества, системообразующие организации российской экономики и субъекты критической информационной структуры РФ подключатся к ним впервые.

22 июня правительство выпустило перечень организаций, которые должны оценить уровень защищенности своих информационных систем. В него попали 72 организации.

В будущем и другие организации, упомянутые в Указе, будут оценивать свою защищенность. Определить, попадает ли компания под требования Указа, можно и из других нормативных актов.

Перечни предприятий, которые утверждены другими законами

Конкретные списки в других нормативных актах и законах есть для стратегических предприятий и акционерных обществ (Указ Президента от 04.08.2004 № 1009) и системообразующих организаций российской экономики (Письмо Минэкономразвития от 23.03.2020 № 8952-РМ/Д18). 

Для субъектов критической информационной структуры подробного перечня организаций нет. Согласно закону, субъекты критической информационной инфраструктуры — это госорганы, госучреждения, российские юридические лица и ИП, которым принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления в следующих сферах (ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ):

  • здравоохранение; 
  • наука;
  • транспорт; 
  • связь; 
  • энергетика;
  • банки и другие сферы финансового рынка; 
  • топливно-энергетический комплекс;
  • атомная энергия; 
  • оборонная;
  • ракетно-космическая; 
  • горнодобывающая; 
  • металлургическая промышленность; 
  • химическая промышленность.

Обратите внимание, субъект критической информационной структуры — это не только тот, кому принадлежат такие объекты, но и тот, кто обеспечивает информационное взаимодействие компаний с критически значимыми системами.

Как именно компании должны обеспечивать информационную безопасность

Они должны обнаруживать, предупреждать и ликвидировать последствия компьютерных атак и реагировать на компьютерные инциденты. Для этого глава государства обязал компании создать специальные структурные подразделения или возложить обязанности на существующие.

Отвечать за информационную безопасность будут персонально руководители компаний (п. 2 Указа № 250). 

Как и в каком виде нужно до 1 июля отчитаться перед правительством

Организации из перечня правительства должны до 1 июля предоставить доклад. Как именно он должен выглядеть и в каком виде, пояснений нет. 

Но 3 июня Минцифры разработало рекомендации по исполнению 4 пункта Указа и разместило типовое техническое задание, а также типовую форму отчета. Скорее всего, она и станет основой для будущих аудитов.

Кто может оценить информационную безопасность компании

Типовое техническое задание содержит инструкции, которые помогут компаниям оценить защищенность информации и найти следы утечек и взлома информационной инфраструктуры злоумышленником.

Если кратко, это примерный алгоритм проверки, который похож на пентест информационной безопасности по компании в целом. 

Согласно рекомендациям Минцифры, чтобы оценить защищенность, компании должны:

  • выявить и консолидировать стратегические риски информационной безопасности;
  • выявить уязвимость информационной инфраструктуры и технических средств обработки информации; 
  • выявить недостатки применяемых средств защиты информации и программных продуктов, оценить возможности их использования нарушителем;
  • проверить практическую возможность использования уязвимостей;
  • получить оценки текущего уровня защищенности на основе объективных свидетельств;
  • разработать маршрутную карту модернизации информационной инфраструктуры.

Сделать это могут сами компании либо привлечь стороннюю организацию. Однако оценивать информационную безопасность могут только организации с лицензией от ФСТЭК на деятельность по технической защите конфиденциальной информации (п. 1.в Указа № 250). Реестр таких компаний находится в свободном доступе.

Никита Ярков Любовь Крапивина
Эгида: Безопасность

Получить комплекс услуг по обеспечению информационной безопасности предприятия

Узнать больше

Эгида: Безопасность

Получить комплекс услуг по обеспечению информационной безопасности предприятия

Узнать больше
Раз в неделю — дайджест материалов, достойных внимания Актуальные материалы раз в неделю
Подписаться
<
Написать комментарий