Президент внес поправки в Указ о повышении кибербезопасности РФ

13 июня на портале официального опубликования были размещены поправки к указу президента Российской Федерации от 1 мая 2022 года №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»

Данный Указ №250 вводит требования для государственных структур, государственных корпораций и субъектов критической информационной инфраструктуры (КИИ) в части реагирования на киберинциденты, а также  первоначальный Указ №250 устанавливает запрет на использование систем защиты из недружественных стран с 1 января 2025 года. 

Указом Президента Российской Федерации от 13 июня 2024 года №500 предлагается внести ряд уточнений и дополнений к Указу № 250 от 2022 года. В первую очередь, должны быть установлены требования к аккредитованным центрам, которые будут привлекаться для реагирования на инциденты в ведомствах и субъектах КИИ. Согласно Указу № 250, такие центры привлекаются «в случае необходимости» для предупреждения кибератак и устранения их последствий. Это позволит более четко определить роль и обязанности данных центров, что повысит эффективность их работы и взаимодействия с госструктурами и критически важными объектами.

Еще одной важной поправкой является дополнение уже существующего запрета на использование средств защиты из недружественных стран. С 1 января 2025 года компаниям, на которые распространяется указ, также будет запрещено пользоваться сервисами, работами или услугами по кибербезопасности от компаний из таких государств. Это расширение направлено на дальнейшее уменьшение зависимости от иностранных технологий и услуг, что укрепит национальную кибербезопасность.    

Комментируя поправку, эксперты отечественного рынка ИБ говорят, что, ограничения затронут использование международных репозиториев открытого кода, таких как GitHub, облачных сервисов и технологий. Кроме того, изменения могут являться заделом на ограничения для иностранных VPN-сервисов: если раньше речь шла о запрете на установку продуктов (средств защиты информации), то теперь прямо говорит о сервисах, работах и услугах, которыми, как известно, пользуются многие российские компании. 

Отметим, что хотя эксперты говорят о затруднении работы с GitHub и иными сервисами в целом, исходя из буквального толкования текста Указа, ограничения касаются использования иностранных сервисов, направленных на обеспечение ИБ, а не всех услуг, оказываемых данными организациями (например, хостинга программных проектов).  Таким образом, в жизненном цикле разработки отечественных программных продуктов не должны использоваться иностранные продукты и (или) сервисы по обеспечению информационной безопасности.

Днем ранее 12 июня США ввели санкции против России, затрагивающие деятельность ИТ-компаний. Одной из мер стал запрет на оказание ИТ-услуг российским физическим и юридическим лицам, независимо от их отраслевой принадлежности и наличия персональных санкций.  Эти новые санкции усиливают необходимость перехода на внутренние решения и услуги.

Поправки, внесенные в Указ о повышении кибербезопасности Российской Федерации, подчеркивают важность и приоритетность данной сферы для государства. Ужесточение требований и расширение запретов направлены на усиление защиты от киберугроз, минимизацию рисков и обеспечение стабильной и безопасной работы всех критически важных информационных систем в стране.

Источники: 

https://www.consultant.ru/document/cons_doc_LAW_478665/#dst100014

https://www.consultant.ru/document/cons_doc_LAW_416198/

https://www.kommersant.ru/doc/6763206