Действует. Указ применяется с момента опубликования, отдельные требования (например, запрет на средства защиты из недружественных стран) вступили в силу с 1 января 2025 года. Актуальная редакция — от 13.06.2024 (изменения внесены Указом № 500).
1 Что это и зачем
Этот указ ввёл дополнительные требования к информационной безопасности для широкого круга государственных и значимых организаций. Главная идея — поднять ответственность за ИБ на уровень первых лиц, создать в организациях отдельные подразделения по защите информации, обеспечить органам ФСБ возможность контролировать защищённость и постепенно отказаться от средств защиты, произведённых в недружественных странах.
2 Кого касается
Указ распространяется на закрытый перечень организаций. В него входят: федеральные органы исполнительной власти, высшие исполнительные органы субъектов РФ, государственные фонды, государственные корпорации и компании, стратегические и системообразующие организации, а также субъекты критической информационной инфраструктуры. Важно: «быть субъектом КИИ» — это лишь одно из оснований; организация может попасть под указ и по другим признакам из перечня.
3 Что обязывает / что вводит
Возложить на заместителя руководителя полномочия по обеспечению ИБ — по типовому положению (ПП № 1272).
Создать структурное подразделение по ИБ либо возложить функции на существующее — также по типовому положению ПП № 1272.
Закрепить персональную ответственность руководителя за обеспечение ИБ.
Обеспечить органам ФСБ России беспрепятственный (в том числе удалённый) доступ к информационным ресурсам для мониторинга.
Проводить оценку защищённости силами лицензиата ФСБ / ФСТЭК (по Методике ФСТЭК от 25.11.2025, включая анализ внешнего периметра).
Запрет с 1 января 2025 года использовать средства защиты из недружественных государств (на объектах организаций из перечня — не только на «значимых»).
«Белые» IP-адреса в НКЦКИ. Чтобы ГосСОПКА отслеживала внешний периметр, владелец заключает регламент взаимодействия с НКЦКИ, заводит личный кабинет и передаёт перечень своих внешних (публичных, «белых») IP-адресов и доменных имён, обновляя его при изменениях (на практике ≈7 рабочих дней). Прямой нормы об этом в самом Указе № 250 нет — требование опирается на пункт о доступе ФСБ плюс Регламент НКЦКИ и приказы ФСБ № 547 / 548.
≡Простыми словамиЗа информационную безопасность теперь лично отвечает руководитель, у него должен быть зам по ИБ и своя служба защиты информации. ФСБ может проверять, насколько вы защищены, и видеть ваш внешний периметр (вы передаёте в НКЦКИ свои публичные IP и домены). А средствами защиты из недружественных стран пользоваться больше нельзя — с 2025 года.
≡Как закрыть Указ № 250Издать приказы о зам. по ИБ и подразделении (по ПП № 1272) → провести оценку защищённости лицензиатом ФСБ/ФСТЭК и устранить уязвимости → вывести из эксплуатации недружественные СЗИ → заключить регламент с НКЦКИ, завести личный кабинет и передать внешние («белые») IP-адреса и домены → обеспечить ФСБ доступ для мониторинга.
4 Статус и редакции
Указ вступил в силу со дня опубликования — 1 мая 2022 года. Действует в редакции от 13 июня 2024 года (изменения внесены Указом Президента РФ № 500, они касались в том числе аккредитации центров ГосСОПКА). Запрет на использование средств защиты информации из недружественных государств действует с 1 января 2025 года. На июнь 2026 года указ остаётся в силе.