Госорганам с 2025 года запретят ИБ-сервисы из «недружественных» стран

Владимир Путин расширил указ о мерах по обеспечению информационной безопасности (ИБ) Российской Федерации.

Согласно новому документу, начиная с 1 января 2025 года, государственным органам, а также стратегическим и системообразующим организациям, запрещается использовать ИБ-услуги и сервисы, предоставляемые «недружественными государствами».

Ранее указ распространялся на системы защиты информации (СЗИ) из недружественных стран и их компаний — перестать использовать их нужно было также с 2025 года. К СЗИ относятся программы или гаджеты, защищающие системы от разного рода вредоносных событий, к примеру, от кибератак, взломов и утечек информации.

Теперь же указ дополнен запретом на пользование «сервисами (работами, услугами) по обеспечению информационной безопасности, предоставляемыми (выполняемыми, оказываемыми) этими организациями».

Указ также дополняется новыми предписаниями для ФСБ — служба в том числе регулирует вопросы информационной безопасности. Ей, согласно новому положению, нужно установить требования к центрам госсистемы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), определить порядок их аккредитации и ее приостановления.

Новый указ расширяет и уточняет список ограничений на сотрудничество российских организаций с иностранными сервисами по информационной безопасности, заявили РБК в пресс-службе Angara Security:

«Ограничения распространяются на использование международных репозиториев открытого кода (например, GitHub), облачные сервисы и технологии. В целом новый указ закрепляет положения ранее опубликованных 166-го и 250-го указов. До 1 января 2025 года импортозамещение должно быть завершено, и официальная позиция исключает возможность для отсрочки».

«Я думаю, что это больше задел на ограничения для иностранных VPN-сервисов, это самая популярная услуга, которой каждый первый пользуется, а в компаниях — для обхода блокировок. Если по предыдущей формулировке под запрет попадал факт установки продуктов (СЗИ), то по текущей уточнили, что и в формате сервиса от таких организаций ничего получать нельзя, что в целом очевидно», — рассказала РБК Альбина Аскерова, руководитель направления по работе с регуляторами группы компаний Swordfish Security.

Она предположила, что президентский указ стал реакцией на действия компаний, которые «используют недружественное ПО в формате сервиса» и, таким образом, формально обходят указ.

«Отдельные компании, в основном в IТ (IТ и информационная безопасность часто связаны) могли представлять в качестве сервиса аренду оборудования или предоставление ПО условно по подписке. Указ поможет оградить субъекты критической инфраструктуры от таких компаний», — считает коммерческий директор «Кода безопасности» Федор Дбар.

Установление новым указом требований к аккредитованным центрам — незначительное изменение, которое не окажет влияния на большинство организаций, оценил в беседе с «Ъ» бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий.

«Это требование обращено ФСБ — разработать, утвердить и контролировать правила аккредитации центров ГосСОПКА, которые обеспечивают мониторинг, ликвидацию последствий компьютерных атак, а также анализ защищенности в соответствии с требованиями указа», — уверен он.