Владимир Путин расширил указ о мерах по обеспечению информационной безопасности (ИБ) Российской Федерации.
Согласно новому документу, начиная с 1 января 2025 года, государственным органам, а также стратегическим и системообразующим организациям, запрещается использовать ИБ-услуги и сервисы, предоставляемые «недружественными государствами».
Ранее указ распространялся на системы защиты информации (СЗИ) из недружественных стран и их компаний — перестать использовать их нужно было также с 2025 года. К СЗИ относятся программы или гаджеты, защищающие системы от разного рода вредоносных событий, к примеру, от кибератак, взломов и утечек информации.
Теперь же указ дополнен запретом на пользование «сервисами (работами, услугами) по обеспечению информационной безопасности, предоставляемыми (выполняемыми, оказываемыми) этими организациями».
Указ также дополняется новыми предписаниями для ФСБ — служба в том числе регулирует вопросы информационной безопасности. Ей, согласно новому положению, нужно установить требования к центрам госсистемы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), определить порядок их аккредитации и ее приостановления.
Новый указ расширяет и уточняет список ограничений на сотрудничество российских организаций с иностранными сервисами по информационной безопасности, заявили РБК в пресс-службе Angara Security:
«Ограничения распространяются на использование международных репозиториев открытого кода (например, GitHub), облачные сервисы и технологии. В целом новый указ закрепляет положения ранее опубликованных 166-го и 250-го указов. До 1 января 2025 года импортозамещение должно быть завершено, и официальная позиция исключает возможность для отсрочки».
«Я думаю, что это больше задел на ограничения для иностранных VPN-сервисов, это самая популярная услуга, которой каждый первый пользуется, а в компаниях — для обхода блокировок. Если по предыдущей формулировке под запрет попадал факт установки продуктов (СЗИ), то по текущей уточнили, что и в формате сервиса от таких организаций ничего получать нельзя, что в целом очевидно», — рассказала РБК Альбина Аскерова, руководитель направления по работе с регуляторами группы компаний Swordfish Security.
Она предположила, что президентский указ стал реакцией на действия компаний, которые «используют недружественное ПО в формате сервиса» и, таким образом, формально обходят указ.
«Отдельные компании, в основном в IТ (IТ и информационная безопасность часто связаны) могли представлять в качестве сервиса аренду оборудования или предоставление ПО условно по подписке. Указ поможет оградить субъекты критической инфраструктуры от таких компаний», — считает коммерческий директор «Кода безопасности» Федор Дбар.
Установление новым указом требований к аккредитованным центрам — незначительное изменение, которое не окажет влияния на большинство организаций, оценил в беседе с «Ъ» бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий.
«Это требование обращено ФСБ — разработать, утвердить и контролировать правила аккредитации центров ГосСОПКА, которые обеспечивают мониторинг, ликвидацию последствий компьютерных атак, а также анализ защищенности в соответствии с требованиями указа», — уверен он.
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.