УП №250
Последние изменения
с 13 июня 2024
Действующая редакция
с 13 июня 2024
Указ Президента РФ от 01.05.2022 N 250
«О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»
Данный Указ направлен на повышение уровня информационной безопасности (ИБ).
Рассмотрим основные моменты из Указа №250.
Следующим организациях необходимо принять ряд мер по повышению уровня безопасности информационных ресурсов:
-
федеральным органам исполнительной власти;
-
высшим исполнительным органам государственной власти субъектов РФ;
-
государственным фондам;
-
государственным корпорациям (компаниям) и иным организациям, созданным на основании федеральных законов;
-
стратегическим предприятиям;
-
стратегическим акционерным обществам
(согласно Указу Президента РФ от 04.08.2004 № 1009 "Об утверждении перечня стратегических предприятий и стратегических акционерных обществ");
-
системообразующим организациям российской экономики;
-
юридическим лицам, являющимся субъектами критической информационной инфраструктуры (КИИ). (Все субъекты критической информационной инфраструктуры, независимо от того, обладают они значимыми или незначимыми объектами КИИ.)
На руководителя возлагается персональная ответственность за обеспечение информационной безопасности соответствующих органов.
Полномочия по обеспечению ИБ возлагаются на заместителя руководителя организации, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты;
Необходимо создать структурное подразделение, ответственное за обеспечение ИБ, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить такие функции на существующее подразделение.
В соответствии с подпунктом "а" пункта 3 250 Указа утверждено: Постановление Правительства от 15 июля 2022 года №1272 «Об утверждении типового положения о заместители руководителя органа (организации), ответственного за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающим информационную безопасность органа (организации)».
К мероприятиям по обеспечению информационной безопасности органа (организации) могут привлекаться сторонние организации, исключительно имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации.
К мероприятиям по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, исключительно аккредитованные центры ГОССОПКА.
Согласно Приказу ФСБ России от 1 ноября 2022 г. № 543 «Об определении переходного периода, предусмотренного подпунктом «б» пункта 5 Указа Президента Российской Федерации от 1 мая 2022 г. № 250», вступил в силу 13 декабря 2022 г., переходный период, составляет 3 года со дня вступления в силу этого приказа, в течение которого допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах органов и организаций, которые попадают под действие Указа Президента РФ от 1 мая 2022 г. № 250 на основании заключенных с ФСБ России соглашений о сотрудничестве в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Обеспечивать беспрепятственный доступ органам ФСБ, (в том числе удаленный) к принадлежащим органам (организациям) либо используемым ими информационным ресурсам, доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети "Интернет".
Обеспечивать незамедлительную реализацию организационных и технических мер, решения о необходимости осуществления которых принимаются Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю в пределах их компетенции и направляются в органы (организации) с учетом меняющихся угроз в информационной сфере.
Органам (организациям) указанным в (Распоряжение Правительства РФ от 22.06.2022 N 1661-р «Об утверждении перечня ключевых органов (организаций), которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСБ России и ФСТЭК России») , необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСБ России и ФСТЭК России.
Органам (организациям) провести инвентаризацию используемых средств защиты информации, разработать план перехода к 01.01.2025 на использование отечественных средств защиты информации. С 1 января 2025 г. органам (организациям) запрещается использовать СЗИ, происходящие из недружественных государств, либо производителями которых являются организации. находящиеся под их юрисдикции, прямо или косвенно подконтрольные им либо аффилированные с ними, а также пользоваться сервисами (работами, услугами) по обеспечению информационной безопасности, предоставляемыми (выполняемыми, оказываемыми) этими организациями.
Список недружественных стран (согласно Распоряжение Правительства РФ от 05.03.2022 N 430-р (ред. от 29.10.2022 "Об утверждении перечня государств и территорий, совершающих недружественные действия в отношении Российской Федерации, российских юридических и физических лиц"):
-
Австралия
-
Албания
-
Андорра
-
Багамские Острова
-
Великобритания (включая коронные владения Британской короны и Британские заморские территории)
-
Государства - члены Европейского союза
-
Исландия
-
Канада
-
Лихтенштейн
-
Микронезия
-
Монако
-
Новая Зеландия
-
Норвегия
-
Республика Корея
-
Сан-Марино
-
Северная Македония
-
Сингапур
-
Соединенные Штаты Америки
-
Тайвань (Китай)
-
Украина
-
Черногория
-
Швейцария
-
Япония