Новые изменения по импортозамещению – с 1 января 2025 года государственным учреждениям будет запрещено использовать средства защиты информации, разработанные и/или поставляемые зарубежными компаниями. Также станет обязательным создание и работа собственных отделов IT-безопасности.
На кого распространяются ограничения?
Нововведения приняты Указом Президента РФ №250 от 01.05.2022 г. Нормативный акт запрещает использование разработок по информационной безопасности, выпущенные как в недружественных странах, так и в других, под их юрисдикцией. В частности, под ограничения попали продукты Cisco, Juniper, Fortinet.
Под действие указа подпадают организации следующих типов:
- Органы исполнительной власти.
- Высшие исполнительные органы государственной власти РФ.
- Государственные фонды, корпорации, иные компании, открытые в соответствии с законами.
- Стратегически важная промышленность.
- Системообразующие предприятия отечественной экономики.
- Субъекты критической информационной структуры (КИИ).
Последняя категория организаций включает оборонные предприятия, транспортные, финансовые учреждения вроде банков, фондов, бирж, компании энергетической сферы.
Новые обязанности
Согласно указу, руководители государственных органов и объектов КИИ обязаны наделять своих заместителей полномочиями в направлении обеспечения информационной безопасности. Также он предусматривает предоставление беспрепятственного доступа, в том числе удаленного, к любым информационным системам организации сотрудникам ФСБ (для мониторинга).
Предписаны следующие обязанности руководителей:
- Создать структурное подразделение, занимающееся информационной безопасностью, или возложить соответствующие обязанности на существующие департаменты.
- Привлечь сторонние организации (по необходимости) к мероприятиям по обнаружению, предупреждению и ликвидации последствий компьютерных атак. По истечении периода, указанного как переходный, подобные услуги будут иметь право оказывать только фирмы с аккредитацией.
- Обеспечить незамедлительную реализацию организационных и технических мер, которые установлены ФСБ и ФСТЭК.
Первоначальная задача правительство – составить реестр ключевых организаций, где обязательно требуется оценить защищенность информационных систем с лицензией от ФСБ и ФСТЭК. Также необходимо разработать типовое положение по заместителям руководителей учреждений, отдельно взятых подразделений.
С 31 марта 2022 г. в России уже запретили закупку зарубежного ПО, предназначенного для работы в инфраструктуре объектов КИИ. Если отечественных разработок пока не существует, понадобится специальное разрешение на применение «запрещенного» программного обеспечения.
