Путин обязал госструктуры дать ФСБ доступ к информационным ресурсам
Президент России Владимир Путин подписал указ о дополнительных мерах информационной безопасности. Документ опубликован на официальном интернет-портале правовой информации.
Указ касается федеральных и региональных органов исполнительной власти, государственных компаний и фондов, стратегических и системообразующих предприятий, а также «юридических лиц, являющихся субъектами критической информационной инфраструктуры» Российской Федерации. Их руководители должны определить заместителя, который будет отвечать за обеспечение информационной безопасности, в том числе обнаружение, предупреждение и ликвидацию последствий кибератак. Помимо того, они обязаны создать подразделения, которые будут выполнять эту функцию, или возложить ее на существующие отделы.
Госструктуры должны предоставлять органам ФСБ беспрепятственный доступ, в том числе удаленный, к принадлежащим или используемым ими ресурсам для мониторинга и выполнять их указания по его результатам. Руководители госорганов и организаций несут личную ответственность за информационную безопасность.
Кроме того, указ запрещает госорганам использовать средства защиты информации, произведенные в «недружественных» странах. Запрет начнет действовать с 1 января 2025 года.
«Установить, что с 1 января 2025 года органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия», — говорится в нем.
Это относится и к производителям, находящимся под юрисдикцией «недружественных» государств, «прямо или косвенно подконтрольных им либо аффилированных с ними».
«Если раньше основным регулятором была ФСТЭК [Федеральная служба по техническому и экспортному контролю], которая выпускала различные требования по защите информации, которые обязаны были выполнять госорганы, то последние события показали, что либо сами требования, либо процесс их реализации, либо используемый инструментарий оказались неэффективными», — сказал РБК эксперт по кибербезопасности Алексей Лукацкий.
Теперь, указал Лукацкий, все госструктуры обязаны выполнять требования ФСБ по результатам мониторинга и реагированию на киберинциденты, тогда как раньше спецслужба отвечала лишь за криптографию (обеспечение конфиденциальности данных), а также устанавливала требования по отражению атак для объектов критической информационной инфраструктуры. «При этом требования ФСТЭК никто не отменяет», — отметил он.
Говоря о запрете на использование иностранных средств защиты, эксперт уточнил, что нельзя будет устанавливать зарубежные антивирусы, «хотя они и так уже практически полностью вытеснены российскими компаниями», пользоваться иностранными межсетевыми экранами, системами обнаружения вторжений, мониторинга, защиты от утечек информации, средствами аутентификации и др.
Руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев также заявил РБК, что речь идет об антивирусах, межсетевых экранах, средствах обнаружения вторжений, системе управления информационной безопасностью и системах анализа уязвимостей. «Любопытно, что идея этого указа в том, что здесь есть требования по возложению функций обеспечения информационной безопасности на человека в ранге заместителя директора или заместителя главы органа государственной власти, а это очень высокий уровень», — сказал он, отметив, что обычно эти функции выполняют люди «со второго или даже третьего уровня подчинения». «Это потенциально повысит уровень зрелости организаций и повысит уровень инвестиций в информационную безопасность», — считает эксперт.
В список «недружественных» государств, составленный правительством, попали все страны ЕС, США, Южная Корея, Сингапур, Тайвань, Япония и некоторые другие.
В конце марта Путин подписал указ, согласно которому госструктурам с 1 января 2025 года не разрешается использовать иностранное программное обеспечение (ПО) на объектах критической информационной инфраструктуры. К этому времени они должны перейти на софт отечественной разработки. С 31 марта запрещены государственные закупки зарубежного ПО для использования на критической инфраструктуре без согласования.