#КИИ Комментарий от СПС Гарант по Указу Президента №250, часть | Рупор бумажной безопасности

#КИИ Комментарий от СПС Гарант по Указу Президента №250, часть выводов совпадает с моей заметкой по анализу Указа. "В медучреждениях необходимо создать должность зама по информационной безопасности и соответствующее подразделение" В связи с текущими внешнеполитическими событиями на всех без исключения юридических лиц, являющихся субъектами критической информационной инфраструктуры РФ (КИИ), – а в числе таковых найдут себя большинство медицинских организаций, – наложен ряд обязанностей:
руководителю такой медорганизации необходимо создать отдельное структурное подразделение, осуществляющее функции по обеспечению информационной безопасности (ИБ), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. Разрешается не создавать такое подразделение, а возложить данные функции на уже существующие. Типовое положение о таком отделе разработает Кабмин России. Где брать бюджеты и квалификационные требования – не уточняется;
руководителю такой медорганизации нужно определить своего зама (или нанять нового), который будет обеспечивать ИБ, в том числе обнаруживать, предупреждать и ликвидировать последствия компьютерных атак, а также реагировать на компьютерные инциденты. Типовое положение о таком заме также разработает Кабмин России;
руководителю такой медорганизации нужно будет принимать (если потребуется) непростые решения о привлечении к осуществлению мероприятий по ИБ сторонних организаций (строго с лицензией на осуществление деятельности по технической защите конфиденциальной информации / аккредитованных пока в ГосСОПКА, затем – в ФСБ России, либо рекомендованных ФСБ России);
наконец, руководителю такой медорганизации нужно будет обеспечить для ФСБ круглосуточный (если нужно – удаленный) доступ ко всем информресурсам, доступ к которым организуется через Интернет (как именно – будет, скорее всего, разъяснено позднее), и незамедлительно исполнять все указания ФСБ России и ФСТЭК, если таковые рассылаются, касательно обеспечения ИБ.
Ответственность за исполнение данных положений – персональная для руководителя (но не для зама по ИБ).
Отметим, что юридическая сила данного указа Президента РФ вызывает ряд вопросов (в частности, ни Федеральный закон от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", ни Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" не наделяют главу государства полномочиями требовать таких мер, а поправок в эти законы пока нет), однако за неисполнение положений виновные рискуют составлением протокола по ч. 6 ст. 13.12 или 13.12.1 КоАП РФ (нарушение правил защиты информации или требований безопасности КИИ РФ), или даже уголовным делом по ч. 3 или ч. 4 ст. 274.1 УК РФ (неправомерное воздействие на КИИ РФ). Но и к упомянутой административной ответственности тоже есть вопросы – она наступает за нарушение исключительно требований, установленных именно федеральным законом, а указ главы государства и сам таковым не является, и не содержит в себе пояснений, что принят в соответствии с каким-либо федеральным законом (Указ Президента РФ от 1 мая 2022 г. № 250). https://www.garant.ru/news/1543038/?utm_source=yxnews&utm_medium=desktop&utm_referrer=https%3A%2F%2Fyandex.ru%2Fnews%2Fsearch%3Ftext%3D