Путин внес поправки в указ о повышении кибербезопасности РФ
На портале официального опубликования 13 июня размещены поправки к указу президента РФ от 1 мая 2022 года №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Последний вводит требования для госструктур, госкорпораций и субъектов критической информационной инфраструктуры (КИИ) в части реагирования на киберинциденты. Также указ устанавливал запрет на использование систем защиты из недружественных стран с 1 января 2025 года.
Указом от 13 июня №500 предлагается внести в указ 2022 года уточнения, касающиеся широкого круга российских компаний. Во-первых, должны быть установлены требования к аккредитованным центрам, которые будут привлекаться для реагирования на инциденты в ведомствах и субъектах КИИ. Такие центры, как следует из указа 2022 года, привлекаются «в случае необходимости» для предупреждения кибератак и устранения их последствий.
Другая поправка дополняет уже действующий запрет на использование средств защиты из недружественных стран: компаниям, на которые распространяется указ, с 2025 года также запрещается пользоваться сервисами (работами или услугами) по кибербезопасности от компаний из таких государств. Поправки вступают в силу 13 июня.
Бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий объясняет, что первое изменение незначительное и не затронет большинство организаций, попадающих под действие указа. «Это требование обращено ФСБ — разработать, утвердить и контролировать правила аккредитации центров ГосСОПКА, которые обеспечивают мониторинг, ликвидацию последствий компьютерных атак, а также анализ защищенности в соответствии с требованиями указа»,— отметил эксперт.
Второе изменение более существенное и касается любой организации, попадающей под действия указа. «Если в первоначальной версии указа речь шла о запрете использования только программного обеспечения, то новая версия говорит еще и о запрете услуг»,— уточняет эксперт. Хотя фактически последние два года в России такие услуги не оказывались, формально они были доступны. Это могли быть различные облачные сервисы для обеспечения безопасности, сервисы консалтингового характера, работы по анализу защищенности, проведению тестирований на проникновение и так далее, объясняет господин Лукацкий.
12 июня США ввели новые санкционные ограничения в отношении РФ, часть из них касалась работы IT-компаний. В частности, запрещается предоставление IT-услуг физлицам и юрлицам из России, вне зависимости от отрасли и персональных санкций.