Путин запретил госструктурам пользоваться услугами недружественных стран для обеспечения кибербезопасности
Путин издал Указ, ужесточающий требования к правилам кибербезопасности госструктур и запрещающий пользоваться для этих целей любыми услугами компаний из недружественных стран.
Внесены изменения в Указ Президента
Указом Президента России от 13 июня 2024 г. № 500 внесены изменения в Указ Президента от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Документ опубликован на официальном сайте правовых актов.
Внесены две существенные поправки. Госорганам, стратегическим и системообразующим организаций страны запрещается использовать ИБ-сервисы и услуги из недружественных государств с первого января 2025 г. В список недружественных включены такие государства, как США, Канада, Великобритания, Сингапур, Тайвань, Германия, Франция, Швейцария, Япония и др.
Появилось также поручение установить требования к аккредитованным центрам, которые будут привлекаться для реагирования на инциденты, определить порядок их аккредитации и порядок отзыва аккредитации.
Запрет на услуги из недружественных стран
Использование ПО из недружественных стран для киберзащиты госсистем было запрещено до нового указа. Теперь нельзя пользоваться никакими услугами.
Перечень расширяется за счет сервисов, которые включают в себя техподдержку, например, обновления уже проданных средств защиты, пояснил ТАСС бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий, а также «различные облачные решения, консалтинговые услуги, работы по анализу защищенности и так далее, которые ранее формально не были запрещены и могли оказываться, хотя их поставщики и ушли из России в 2022 г.».
«Я думаю, что это больше задел на ограничения для иностранных VPN-сервисов, это самая популярная услуга, которой каждый первый пользуется, а в компаниях — для обхода блокировок. Если по предыдущей формулировке под запрет попадал факт установки продуктов (системы защиты информации, СЗИ), то по текущей уточнили, что и в формате сервиса от таких организаций ничего получать нельзя, что в целом очевидно», — сказала РБК Альбина Аскерова, руководитель направления по работе с регуляторами группы компаний Swordfish Security.
Коммерческий директор «Кода безопасности» Федор Дбар добавил, что некоторые компании обходили запреты, используя западный софт в виде услуг: «Отдельные компании, в основном в ИТ (ИТ и информационная безопасность часто связаны) могли представлять в качестве сервиса аренду оборудования или предоставление ПО условно по подписке. Указ поможет оградить субъекты критической инфраструктуры от таких компаний».
Указ Президента о СЗИ, по данным ТАСС, в его изначальной редакции распространяется на примерно 500 тыс. организаций — субъекты критической информационной инфраструктуры (КИИ) из здравоохранения, науки, транспорта, связи, энергетики, финансов, ТЭК и так далее, а также на федеральные органы исполнительной власти, госфонды и госкорпорации.
Требования к аккредитованным центрам
Введение требований к центрам обнаружения, предупреждения и ликвидации последствий компьютерных атак на государственные информационные ресурсы, а также к порядку их аккредитации позволят обеспечить эффективный контроль за их деятельностью, заявил ТАСС глава группы по сопровождению GR-проектов ГК «Солар» Андрей Медунов.
И в общем Медунов охарактеризовал все изменения как своевременные и логичные. Они помогут повышению киберустойчивости экономики России и технологической независимости ИБ-отрасли, считает эксперт.