Президент РФ внёс поправки к своему указу РФ от 1 мая 2022 года № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Документ размещён на официальном портале по публикации актов 13 июня 2024 года. Нововведения представляют собой требования для госструктур, госкорпораций и субъектов критической информационной инфраструктуры (КИИ) в части реагирования на киберинциденты, устанавливают запрет на использование систем защиты из недружественных стран с 1 января 2025 года.
Указ от 13 июня № 500 предлагает внесение в указ от 2022 года уточнения, касающиеся широкого круга российских компаний. Первое — должны быть установлены требования к аккредитованным центрам, которые будут привлекаться для реагирования на инциденты в ведомствах и субъектах КИИ. Такие центры, как следует из указа 2022 года, привлекаются «в случае необходимости» для предупреждения кибератак и устранения их последствий.
Вторая поправка дополняет уже действующий запрет на использование средств защиты из недружественных стран: компаниям, на которые распространяется указ, с 2025 года также запрещается пользоваться сервисами (работами или услугами) по кибербезопасности от компаний из таких государств. Поправки вступают в силу 13 июня.
Бизнес‑консультант по информационной безопасности Positive Technologies Алексей Лукацкий изданию «Коммерсантъ» объяснил, что первое изменение незначительное и не затронет большинство организаций, подпадающих под действие указа. По словам Лукацкого, это требование обращено к ФСБ, чтобы разработать, утвердить и контролировать правила аккредитации центров ГосСОПКА, обеспечивающих мониторинг, ликвидацию последствий компьютерных атак и анализ защищённости в соответствии с требованиями.
Кроме того, эксперт отметил, что второе изменение более существенное и касается любой организации, попадающей под действия указа. Если в первоначальной версии указа речь шла о запрете использования только программного обеспечения, то новая версия говорит ещё и о запрете услуг.
Хотя фактически с 2022 года в России такие услуги не оказывались, формально они были доступны. Это могли быть различные облачные сервисы для обеспечения безопасности, сервисы консалтингового характера, работы по анализу защищённости, проведению тестирований на проникновение и так далее, пояснил Алескей Лукацкий.
12 июня 2024 года США ввели новые санкционные ограничения в отношении РФ, часть из них касалась работы IT‑компаний. В частности, запрещается предоставление IT‑услуг физлицам и юрлицам из России, вне зависимости от отрасли и персональных санкций.