Добавить в корзинуПозвонить
Найти в Дзене
О чем говорит Кибер КИТ
10 подписчиков

ФСТЭК России внесла предложения по корректировке Указа Президента РФ №250

9
8 мин
Проектом вносятся изменения в Указ Президента Российской Федерации (далее −РФ) от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ). Напомним, что требования Указа распространяются на: Проектом предлагается внести три точечных, но системно значимых изменения в Указ: 1. На руководителей органов и организаций предлагается возложить обязанность не просто обеспечивать информационную безопасность (далее – ИБ) в абстрактном смысле, а достигать конкретных целевых значений показателей защищенности государственных информационных систем (далее – ГИС), иных информационных систем (далее – ИС) и значимых объектов КИИ. До этой поправки ответственность носила преимущественно процедурный характер (создать заместителя руководителя по ИБ, выполнять требования регулирующих органов, возложить персональную ответственность за ИБ на руководителя компании). Теперь предлагается добавить измеримый количественный показатель эффективности (KPI
Оглавление

Проектом вносятся изменения в Указ Президента Российской Федерации (далее −РФ) от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ).

Напомним, что требования Указа распространяются на:

  • федеральные органы исполнительной власти;
  • высшие исполнительные органы государственной власти субъектов РФ;
  • субъектов критической информационной инфраструктуры (далее – КИИ);
  • государственные фонды;
  • государственные корпорации и компании;
  • иные организации, созданные на основании федеральных законов;
  • стратегические предприятия;
  • стратегические акционерные общества;
  • системообразующие организации российской экономики (далее вместе – органы и организации).

Проектом предлагается внести три точечных, но системно значимых изменения в Указ:

1. На руководителей органов и организаций предлагается возложить обязанность не просто обеспечивать информационную безопасность (далее – ИБ) в абстрактном смысле, а достигать конкретных целевых значений показателей защищенности государственных информационных систем (далее – ГИС), иных информационных систем (далее – ИС) и значимых объектов КИИ.

До этой поправки ответственность носила преимущественно процедурный характер (создать заместителя руководителя по ИБ, выполнять требования регулирующих органов, возложить персональную ответственность за ИБ на руководителя компании). Теперь предлагается добавить измеримый количественный показатель эффективности (KPI), который будет отображать общий уровень защищенности информационных систем.

2. Предлагается закрепить три показателя с числовыми целевыми значениями:

  • для объектов информационной инфраструктуры в каждой отрасли, определённой Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ), а также для объектов в ведении органов исполнительной власти субъектов РФ (региональные органы власти) предлагается установить количественный порог − не менее 80 % объектов должны быть защищены от актуальных угроз;;
  • для иных субъектов применения Указа предлагается установить общую обязанность по обеспечению защищённости своих ИС без указания конкретного числового порога, но с обязательным подтверждением факта её достижения.

Отправная точка для понимания этих цифр − пояснительная записка: по результатам проверок Федеральной службы безопасности РФ (далее − ФСБ России) и Федеральной службы по техническому и экспортному контролю РФ (далее −ФСТЭК России) установлено, что в 60 % ИС и объектов КИИ система защиты «не в полной мере обеспечивает защиту от типовых угроз» , а только у 20 % проверенных объектов защита обеспечена с отдельными несущественными недостатками. То есть целевые 80 % − это не абстрактный плановый показатель, реальная картина, зафиксированная по итогам контрольных мероприятий: значительная часть ИС и объектов КИИ в текущем состоянии не обеспечивает защиту даже от типовых угроз.

3. Предлагается поручить Правительству РФ совместно с ФСБ России и ФСТЭК России разработать порядок определения количественных значений показателей − то есть не только методологию расчета, по которой будет проверяться достижение тех самых 80 %, но и конкретные меры и способы защиты, соответствие которым будет считаться достаточным для признания объекта защищённым. Иными словами, именно эти документы определят, что понимается под «базовым уровнем ИБ» в контексте новых показателей. Примечательно, что проект постановления Правительства РФ (далее – Проект ПП) опубликован одновременно с проектом Указа, что свидетельствует о намерении ввести оба документа в действие в связке.

Что это означает для органов и организаций?

Проект Указа меняет не просто формулировку − он меняет логику регулирования. Раньше обязанность сводилась к обеспечению ИБ как таковой: выполнил требования, утвердил документы − формально свободен. Теперь добавляется подпункт, в котором говорится: «Принятие мер по достижению целевых значений показателей», что принципиально иначе. Это означает, что показатель должен быть достигнут, его достижение подлежит оценке, и он имеет количественную характеристику, а также необходимо постоянно следить за его расчетным значением. Процедурное соответствие больше не является самоцелью − требуется измеримый результат, постоянно поддерживаемый в нормированных значениях.

Проект ПП раскрывает механику расчёта показателей, и здесь важно чётко разграничить зоны ответственности. Базовый показатель − уровень текущего состояния защищённости объектов информационной инфраструктуры в органе (организации) − рассчитывается самой организацией не реже одного раза в шесть месяцев и направляется в ФСТЭК России. Уполномоченный орган в течение тридцати календарных дней анализирует полученные данные и уведомляет орган (организацию) о присвоенном значении показателя. При этом ФСТЭК России учитывает не только представленные организацией сведения, но и результаты собственных контрольных мероприятий, а также результаты эксперимента по повышению уровня защищённости ГИС федеральных органов исполнительной власти и подведомственных учреждений, проводимого в соответствии с постановлением Правительства РФ от 26.03.2025 № 372 «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений».

Отраслевой и региональный показатели отдельная организация не рассчитывает и напрямую не контролирует — это задача ФСТЭК России. Уполномоченный орган самостоятельно агрегирует базовые показатели всех органов и организаций отрасли или региона:

-2

Полученное значение раз в полгода ФСТЭК России будет направлять в отраслевые уполномоченные органы и в высшие исполнительные органы субъектов РФ. В том числе стоит отметить, что сводные результаты с указанием отраслей и регионов, не достигших целевых значений, будут включаться в доклад Секретаря Совета Безопасности, который предоставляется Президенту РФ. Таким образом, орган или организация влияет на этот показатель только через собственный базовый результат, тогда как итоговая цифра по отрасли или региону складывается из совокупности результатов всех участников и находится вне контроля отдельной организации (органа).

Отдельного внимания заслуживает то, что конкретный порядок расчёта базового показателя будет определяться специальной методикой, которую ФСТЭК России предстоит утвердить по согласованию с ФСБ России. Именно эта методика установит критерии, по которым организация будет признана защищённой или нет. До её выхода организации лишены возможности точно воспроизвести логику оценки, которую будет применять уполномоченный орган.

Чем это грозит?

Введение показателей непосредственно встраивается в уже существующую систему государственного контроля. Согласно пояснительной записке к Указу, целевые значения выведены в том числе из результатов контрольных мероприятий ФСТЭК России в области технической защиты информации и обеспечения безопасности значимых объектов КИИ. Это означает, что те же самые проверки, которые сейчас проводятся в плановом порядке, станут одновременно инструментом и для оценки достижения показателей, перечисленных в Указе. По итогам таких мероприятий ФСТЭК России вправе выдавать предписания об устранении недостатков − невыполнение предписания влечёт административную ответственность, а наступление компьютерного инцидента с негативными последствиями на фоне зафиксированных нарушений создаёт риски уголовного преследования.

Для субъектов КИИ принципиально важно, что механизм государственного контроля уже существует и активно применяется: ФСТЭК России проводит проверки, фиксирует технические нарушения и выдаёт предписания в рамках действующего законодательства, включая статью 13.12.1 «Кодекса РФ об административных правонарушениях» от 30.12.2001 № 195-ФЗ за несоблюдение требований по защите КИИ.

Предложенная конструкция также означает прямую публичную видимость результатов на уровне отраслей и регионов: данные о достижении показателей будут представляться в Совет Безопасности и попадать в президентский доклад с указанием отстающих отраслей и регионов.

Отдельный вопрос − реалистичность достижения отраслевых и региональных показателей. С учётом зафиксированной в пояснительной записке картины − 60% систем не обеспечивают защиту от типовых угроз − достижение порога в 80 % организаций, признанных защищёнными, в обозримые сроки представляется крайне затруднительным. При этом отдельная организация не может повлиять на этот показатель в одностороннем порядке: он складывается из результатов всех участников отрасли или региона, а считает его ФСТЭК России самостоятельно.

Что нужно делать?

Не дожидаясь вступления документов в силу, организации должны начать с инвентаризации собственной информационной инфраструктуры и актуализации модели угроз. Поскольку базовый показатель защищенности напрямую привязан к «актуальным угрозам в информационной сфере» необходимо провести анализ угроз для своих активов.

Следующий содержательный шаг − оценка фактического состояния защищенности каждого объекта в соответствии действующими нормативными правовыми актами по ИБ. Формулировка Указа апеллирует к «защищенности от актуальных угроз», и пояснительная записка прямо называет базу для этой оценки: требования законодательства об информации, о персональных данных и о безопасности КИИ. Это означает, что у уполномоченных органов уже есть устоявшееся представление о критериях − оно сложилось по итогам контрольных мероприятий ФСТЭК России и ФСБ России, из которых и были выведены целевые значения. Практическим ориентиром уже сейчас может служить методический документ ФСТЭК России от 11.11.2025 «Методика оценки показателя состояния технической защиты информации в ИС и обеспечения безопасности значимых объектов КИИ РФ», — он отражает сложившееся у уполномоченного органа представление о критериях защищённости и даёт наиболее близкое к будущей методике понимание того, что будет проверяться.

По итогам внутреннего аудита необходимо сформировать план устранения недостатков с конкретными сроками, опираясь на действующую нормативную базу. При этом принципиально важно, кто несет ответственность за его исполнение: Указ адресован лично руководителям органов и организаций. Делегирование задачи директору по ИБ (CISO) или отделу ИБ без сквозного контроля первого лица создает прямые юридические и репутационные риски именно для руководителя.

Параллельно необходимо отслеживать выход методических документов, которые Правительству РФ поручено разработать по согласованию с ФСТЭК России и ФСБ России. Именно в них будет закреплен порядок расчета количественных показателей, и именно они определят, как подтвердить выполнение требований перед проверяющими.