Q&A-сессия: указ № 250 о дополнительных мерах кибербезопасности
1 мая Президент РФ подписал указ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Этот документ кардинально меняет подход к поддержанию кибербезопасности (КБ) на российских предприятиях. Приглашаем разобраться в тексте указа вместе с известными отраслевыми экспертами — Рустэмом Хайретдиновым и Алексеем Лукацким.
01:10 Какие организации подпадают под действие указа
05:48 Изменение структуры ответственности за обеспечение кибербезопасности
10:07 Кибербезопасность будет иметь больший статус в компании, чем IT?
12:30 Лицензирование подрядных организаций
16:40 Про влияние на ранее принятые законы
19:33 Про требование провести оценку защищенности до 1 июля
22:40 Импортозамещение победило?
Вопросы зрителей:
32:42 Необходимо ли теперь проходить категорирование с последующим стресс-тестированием?
35:06 Требуется ли создание подразделения для ГУП? Требуется ли повышение квалификации сотрудников в случае наложения дополнительных обязанностей по КБ на существующих сотрудников?
36:42 Где увидеть актуальный перечень системообразующих организаций?
38:28 А можно возложить ответственность не на КБ-, а на IT-отдел?
39:44 Распространяются ли требования на дочерние компании?
40:55 Требуется ли пересматривать решение о реализации мер, информация о которых была направлена соответствующим органом до 1 мая 2022 года, если некоторые из таких мер сочтены организациями рекомендательными?
43:05 Как регулируются вопросы кибербезопасности в ФГБУ?
44:04 Где публикуются списки системообразующих предприятий?
44:32 Что представляет из себя и что включает упомянутый в указе аудит защищенности?
46:17 Подпадают ли ГУП (государственные автономные учреждения) под действие указа?
48:38 Вопрос по пункту 1а насчет возложения ответственности на заместителя руководителя
49:22 Что радикального в требованиях указа?
58:15 Как решить вопрос возложения ответственности с использованием virtual CISО?
59:43 Будут ли регуляторы или надзорные органы проверять наличие подразделений по защите информации у субъектов КИИ в соответствии с указом? Как будет проверяться, что подразделение создано?
1:01:33 Численность и квалификация структурных подразделений
1:03:50 Где проходит граница между случаями, когда нужен отдел КБ и когда можно обойтись специалистом в непрофильном подразделении?
1:06:00 Переход на open-source — вариант импортозамещения?
1:07:32 Можно ли рассматривать сетевое оборудование как СЗИ и распространять на него требования по импортозамещению?
1:09:58 Распространение указа на органы государственной власти
1:10:19 Нужно ли обязательное обучение по КБ руководителей и первых лиц организации?
1:11:57 Каковы риски за неисполнение указа? Как будет проводиться проверка и кем?
1:14:23 Как удостовериться, что письмо по электронной почте пришло не от мошенников, которые явно будут использовать этот вектор атак?
1:16:25 В каких отраслях кибербезопасности до сих пор нет достойных российских аналогов? Насколько реально отказаться от иностранных СЗИ к 2025 году?
1:18:30 Если мы прописали, что средством защиты выступают средства встроенной операционной системы, то не потребуется ли заменить систему на импортозамещенную?
1:18:58 Если кибербезопасность централизована в головном юридическом лице, нужно ли создавать подразделение по кибербезопасности в каждом из юридических лиц холдинга?
1:19:43 Если мы покупаем только защиту от DDoS-атак, требуется ли теперь лицензия ТЗКИ?
1:22:31 Кто должен доказывать наличие или отсутствие объектов КИИ в организации: организация или регулятор?
1:24:24 Будут ли государственные компании активно переходить на технологию Kubernetes?
1:25:00 Если компания международная и нет возможности сменить операционную систему, будет штраф?
1:26:33 Завершение и выводы
1:28:57Для тех, кто думает, куда поступать детям. Круто быть безопасником?