Q&A-сессия: указ № 250 о дополнительных мерах кибербезопасности

1 мая Президент РФ подписал указ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Этот документ кардинально меняет подход к поддержанию кибербезопасности (КБ) на российских предприятиях. Приглашаем разобраться в тексте указа вместе с известными отраслевыми экспертами — Рустэмом Хайретдиновым и Алексеем Лукацким. 01:10 Какие организации подпадают под действие указа 05:48 Изменение структуры ответственности за обеспечение кибербезопасности 10:07 Кибербезопасность будет иметь больший статус в компании, чем IT? 12:30 Лицензирование подрядных организаций 16:40 Про влияние на ранее принятые законы 19:33 Про требование провести оценку защищенности до 1 июля 22:40 Импортозамещение победило? Вопросы зрителей: 32:42 Необходимо ли теперь проходить категорирование с последующим стресс-тестированием? 35:06 Требуется ли создание подразделения для ГУП? Требуется ли повышение квалификации сотрудников в случае наложения дополнительных обязанностей по КБ на существующих сотрудников? 36:42 Где увидеть актуальный перечень системообразующих организаций? 38:28 А можно возложить ответственность не на КБ-, а на IT-отдел? 39:44 Распространяются ли требования на дочерние компании? 40:55 Требуется ли пересматривать решение о реализации мер, информация о которых была направлена соответствующим органом до 1 мая 2022 года, если некоторые из таких мер сочтены организациями рекомендательными? 43:05 Как регулируются вопросы кибербезопасности в ФГБУ? 44:04 Где публикуются списки системообразующих предприятий? 44:32 Что представляет из себя и что включает упомянутый в указе аудит защищенности? 46:17 Подпадают ли ГУП (государственные автономные учреждения) под действие указа? 48:38 Вопрос по пункту 1а насчет возложения ответственности на заместителя руководителя 49:22 Что радикального в требованиях указа? 58:15 Как решить вопрос возложения ответственности с использованием virtual CISО? 59:43 Будут ли регуляторы или надзорные органы проверять наличие подразделений по защите информации у субъектов КИИ в соответствии с указом? Как будет проверяться, что подразделение создано? 1:01:33 Численность и квалификация структурных подразделений 1:03:50 Где проходит граница между случаями, когда нужен отдел КБ и когда можно обойтись специалистом в непрофильном подразделении? 1:06:00 Переход на open-source — вариант импортозамещения? 1:07:32 Можно ли рассматривать сетевое оборудование как СЗИ и распространять на него требования по импортозамещению? 1:09:58 Распространение указа на органы государственной власти 1:10:19 Нужно ли обязательное обучение по КБ руководителей и первых лиц организации? 1:11:57 Каковы риски за неисполнение указа? Как будет проводиться проверка и кем? 1:14:23 Как удостовериться, что письмо по электронной почте пришло не от мошенников, которые явно будут использовать этот вектор атак? 1:16:25 В каких отраслях кибербезопасности до сих пор нет достойных российских аналогов? Насколько реально отказаться от иностранных СЗИ к 2025 году? 1:18:30 Если мы прописали, что средством защиты выступают средства встроенной операционной системы, то не потребуется ли заменить систему на импортозамещенную? 1:18:58 Если кибербезопасность централизована в головном юридическом лице, нужно ли создавать подразделение по кибербезопасности в каждом из юридических лиц холдинга? 1:19:43 Если мы покупаем только защиту от DDoS-атак, требуется ли теперь лицензия ТЗКИ? 1:22:31 Кто должен доказывать наличие или отсутствие объектов КИИ в организации: организация или регулятор? 1:24:24 Будут ли государственные компании активно переходить на технологию Kubernetes? 1:25:00 Если компания международная и нет возможности сменить операционную систему, будет штраф? 1:26:33 Завершение и выводы 1:28:57Для тех, кто думает, куда поступать детям. Круто быть безопасником?