ОТ БУМАЖНОЙ К РЕАЛЬНОЙ БЕЗОПАСНОСТИ

💣Угрозы 2022 года изменили отношение к вопросам защиты информации как со стороны законодательных требований, так и с практической точки зрения.
⚖1 мая 2022 года Президент России подписал Указ № 250 о дополнительных мерах по обеспечению информационной безопасности.

Указ обозначил важность перехода от выполнения формальных требований безопасности на бумаге к обеспечению реальной защищенности на местах.
3 важных момента в документе, на которые нужно обратить внимание:
✅запрет на использование средств защиты из недружественных государств;
✅срок перехода на отечественное ПО – до 1 января 2025 года;
✅возложение ответственности за информационную безопасность в организации – на заместителя руководителя (вице-губернатора, вице-мэра, зампреда правления и т.д.).

Руководитель организации нес формальную ответственность за обеспечение информационной безопасности в организации. Указ требует создание отдельной должности или присвоения функции управления одному из заместителей руководителя организации.
При этом персональная ответственность за обеспечение информационной безопасности лежит на руководителе, а заместитель отвечает за организацию соответствующих мероприятий.
Указ требует проведения оценки уровня защищенности информационных систем организации с последующей оценкой рисков и разработкой организационных и технических мер для повышения уровня защищенности инфраструктуры организации.

Указ распространяется на федеральные органы исполнительной власти, высшие исполнительные органы государственной власти субъектов Российской Федерации, государственные фонды, государственные корпорации (компании) и иные организации, созданные на основании федеральных законов, стратегические предприятия, стратегические акционерные общества и системообразующие организации российской экономики, а также юридические лица, являющихся субъектами критической информационной инфраструктуры Российской Федерации.
При этом по-прежнему организации обязаны сами следить за изменениями законодательства в сфере информационной безопасности и оценивать, насколько оно применимо к ним.

Необходимость обеспечивать реальную защищенность инфраструктуры организации и проводить непрерывный мониторинг событий безопасности, а также обязанность взаимодействовать с ГосСОПКА неминуемо приводят к кадровому голоду на рынке труда. Нехватка компетентных специалистов сегодня остается актуальной проблемой.
❗Выход – обращаться к специализированным компаниям, работающих в области информационной безопасности, то есть аутсорсинг.
⏰Роль информационной безопасности в ближайшем будущем будет расти, а законодательные требования – ужесточаться. Это и введение в декабре 2022 года новых составов административных правонарушений в КоАП со штрафами за непредоставление или нарушение сроков направления во ФСТЭК России сведений о результатах присвоения объекту КИИ одной из категорий значимости (518-ФЗ), и готовящиеся оборотные штрафы за утечки персональных данных, обновленная методика оценки угроз от ФСТЭК России, реестр недопустимых событий и методика их определения и т.д.