Дополнительные меры по обеспечению информационной безопасности Российской Федерации

Президент РФ указом от 1 мая 2022 года №250 определил дополнительные меры по обеспечению информационной безопасности Российской Федерации «в целях повышения устойчивости и безопасности функционирования информационных ресурсов Российской Федерации».

На руководителей органов (организаций) возложена персональная ответственность за обеспечение их информационной безопасности (п.2). Речь идет о руководителях:

• Федеральных органов исполнительной власти;
  
  
• Высших исполнительных органов государственной власти субъектов РФ;
  
  
• Государственных фондов;
  
  
• Государственных корпораций (компаний);
  
  
• иных организаций, созданных на основании федеральных законов;
  
  
• Стратегических предприятий;
  
  
• Стратегических акционерных обществ;
  
  
• Системообразующих организаций российской экономики,
  
  
• Юридических лиц, являющихся субъектами критической информационной инфраструктуры РФ.

Руководителям поручено:

• Возложить на заместителя руководителя полномочия по обеспечению информационной безопасности, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты;
  
  
• Создать в органе (организации) структурное подразделение, осуществляющее функции по обеспечению его информационной безопасности, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить данные функции на существующее структурное подразделение;
  
  
• Принимать в случае необходимости решения о привлечении организаций к осуществлению мероприятий по обеспечению информационной безопасности органа (организации). При этом могут привлекаться исключительно организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации;
  
  
• Принимать в случае необходимости решения о привлечении организаций к осуществлению мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. При этом могут привлекаться исключительно организации, являющиеся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ;
  
  
• Обеспечивать должностным лицам органов ФСБ беспрепятственный доступ (в том числе удаленный) к принадлежащим органам (организациям) либо используемым ими информационным ресурсам, доступ к которым обеспечивается посредством использования сети «Интернет», в целях осуществления мониторинга, а также обеспечивать исполнение указаний, данных органами ФСБ по результатам такого мониторинга;
  
  
• Обеспечивать незамедлительную реализацию организационных и технических мер, решения о необходимости осуществления которых принимаются ФСБ и Федеральной службой по техническому и экспортному контролю в пределах их компетенции и направляются на регулярной основе в органы (организации) с учетом меняющихся угроз в информационной сфере.

Правительству Российской Федерации в месячный срок поручено (п.3):

• Утвердить Типовое положение о заместителе руководителя, ответственного за обеспечение информационной безопасности и Типовое положение о структурном подразделении, обеспечивающем информационную безопасность органа (организации);
  
  
• Определить перечень ключевых органов (организаций), которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСБ и Федеральной службы по техническому и экспортному контролю.

Органам (организациям), включенным в перечень осуществить мероприятия по оценке уровня защищенности своих информационных систем и до 1 июля 2022 г. представить доклад в Правительство РФ (п.4).

Федеральной службе безопасности РФ поручено (п.5):

• Организовать аккредитацию центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ;
  
  
• Определить переходный период, в течение которого допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах органов (организаций) на основании заключенных с ФСБ (Национальным координационным центром по компьютерным инцидентам) соглашений о сотрудничестве (взаимодействии) в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;
  
  
• Определить порядок осуществления мониторинга защищенности информационных ресурсов, принадлежащих органам (организациям) либо используемых ими, и осуществлять такой мониторинг.

С 1 января 2025 г. органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними (п.6).

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=416198