Читать книгу Цифровая трансформация для директоров и собственников. Часть 3. Кибербезопасность. Часть 3. Кибербезопасность - Джимшер Бухутьевич Челидзе - Страница 4

Сейчас ответственность за информационную безопасность несет руководитель организации, что отражено в указе президента Российской Федерации В. В. Путина от 01.05.2022 №250. Под его действие попадают федеральные органы исполнительной власти (федеральные министерства, службы и агентства), руководство субъектов РФ, государственные фонды, государственные корпорации и компании (например, «Росатом», «Газпром», «Русгидро», «РЖД» и другие), стратегические и системообразующие предприятия, объекты критической инфраструктуры.

И если на 20 апреля 2020 года в перечень системообразующих организаций входило 646 юридических лиц, то к июлю 2020 года их уже было около 1300, а в феврале 2022 – около 1400. Но, казалось бы, если вы не попадаете в этот список, то зачем он вам? Тут надо понимать, что в нашей стране, если вы планируете расти, то так или иначе станете работать с такими организациями. А значит, лучше знать требования этого документа и быть готовыми. Всего же под действие нового указа попадет более 500 тысяч организаций.

Что же рекомендуется делать организациям, в соответствии с данным указом?

– Установить личную ответственность за обеспечение ИБ на руководителя организации, при этом выделить отдельного заместителя генерального директора, у которого будут полномочия и ресурсы обеспечивать ИБ. При этом необходимо либо создать структурное подразделение, ответственное за обеспечение ИБ, либо возложить такие функции на существующее подразделение.

– Необходимо провести инвентаризацию договоров с подрядными организациями, оказывающими услуги по ИБ. Теперь оказывать такие услуги могут только компании, которые имеют лицензию на осуществление деятельности по технической защите конфиденциальной информации от ФСТЭК России.

– Также ещё 30 марта 2022 года были введены ограничения на приобретение иностранного оборудования и программного обеспечения для субъектов критической информационной инфраструктуры (КИИ), которые осуществляют закупки по 223-ФЗ. С 1 января 2025 г. организациям запрещается использовать средства защиты информации, произведённые в недружественных государствах, либо организациями под их юрисдикцией, прямо или косвенно подконтрольными им либо аффилированными с ними. На весну 2023 года таких стран насчитывается 48. И даже если компания-поставщик ИБ-оборудования, например, из Китая, то все равно надо проверять ее аффилированных лиц.

Забегая вперед, выскажу одно предположение. С учетом всех утечек и важности этой темы для государства можно ожидать введения некой страховки, по примеру ОСАГО. Каждую организацию могут принудить страховаться от ИБ-рисков. И тогда то, как организация будет выстраивать функцию ИБ, будет влиять на размер ее страховой премии.