{"id":13660,"url":"\/distributions\/13660\/click?bit=1&hash=829c3f4bd5611858ea9456b55832e0254413f056f0bd8b6fa3b9fccae541092c","title":"\u041b\u0438\u0434\u0435\u0440\u044b \u0440\u044b\u043d\u043a\u0430 \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u044e\u0442, \u043a\u0430\u043a \u0431\u044b\u0442\u044c \u043b\u0438\u0434\u0435\u0440\u0430\u043c\u0438 \u0432 \u043a\u043e\u043c\u0430\u043d\u0434\u0435","buttonText":"\u0423\u0437\u043d\u0430\u0442\u044c \u0433\u0434\u0435","imageUuid":"b21a2e96-c2cd-51bd-a6d9-39deeed48e3c","isPaidAndBannersEnabled":false}
USSC

Обзор изменений в законодательстве за май 2022

Автор: Татьяна Пермякова, старший аналитик УЦСБ

В обзоре изменений за май 2022 года рассмотрим следующие документы: Указ Президента РФ №250 и сопутствующие ему нормативные акты; эксперимент по повышению защищенности государственных информационных систем федеральных органов исполнительной власти; новый раздел Банка данных угроз и анонс новой версии Методики оценки угроз; отчеты деятельности ТК362 и новые стандарты; иные изменения и новости законодательства за май 2022.

Дополнительные требования по обеспечению ИБ

Указ Президента РФ №250

В начале мая (01.05) опубликован Указ Президента РФ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ).

Указ нацелен на повышение уровня информационной безопасности (далее – ИБ) критически важных организаций РФ: органов государственной власти, государственных фондов, госкорпораций, иных предприятий, созданных на основании федеральных законов, стратегических предприятий и акционерных обществ, системообразующих организаций экономики, субъектов критической информационной инфраструктуры (далее – КИИ).

Согласно Указу персональная ответственность за обеспечение целевого уровня ИБ в организации возлагается на заместителя руководителя организации (Правительство РФ планирует утвердить положение о таком заместителе). При этом задачи, решаемые в рамках обеспечения такого уровня ИБ, необходимо возложить на отдельное подразделение. Для решения этих задач необходимо создать отдельное подразделение или возложить ответственность за решение задач на уже существующее в организации подразделение.

Кроме того, Указ вводит зоны ответственности и права для органов исполнительной власти:

  • Федеральная служба безопасности России (далее – ФСБ России) определит порядок мониторинга ИБ организаций, входящих в область действия Указа;
  • Для мониторинга ИБ могут привлекаться только аккредитованные центры Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА), порядок аккредитации определяет ФСБ России (об этом далее в обзоре);
  • ФСБ России также получает беспрепятственный доступ к инфраструктуре указанных организаций (в том числе удаленный).

Кроме того, Правительство РФ подготовило перечень ключевых организаций, которым необходимо до 1 июля 2022 года провести оценку текущего уровня защищенности и представить информацию о результатах такой оценки в Правительство РФ. В общем доступе перечень отсутствует, Правительством направлены отдельные уведомления каждой ключевой организации, попавшей в перечень.

К работам по оценке уровня защищенности могут привлекаться только организации, имеющие лицензию ФСТЭК России на проведение таких работ.

Более подробно положения Указа эксперты Аналитического центра УЦСБ прокомментировали в данном материале.

Центры ГосСОПКА: переходный период

Для общественного обсуждения представлен проект приказа ФСБ России «Об определении переходного периода», в котором предлагается определить период длиной в 365 календарных дней, в течение которого центры ГосСОПКА могут осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах организаций и органов, определенных в Указе Президента РФ №250.

Общественное обсуждение проекта завершилось 14 июня.

Центры ГосСОПКА: аккредитация

В проекте ФСБ России предлагает возложить на Национальный координационный центр по компьютерным инцидентам (НКЦКИ) функции определения порядка и проведения аккредитации центров ГосСОПКА. Отметим, что критерии и порядок такой аккредитации на данный момент не опубликован.

Общественное обсуждение проекта завершилось 14 июня.

Эксперимент по повышению уровня защищенности ГИС

16 мая опубликовано Постановление Правительства Российской Федерации от 13.05.2022 №860 «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений».

Согласно Постановлению эксперимент требуется провести в соответствии с утверждаемым Положением в период с 16.05.2022 по 30.03.2023. Ответственность за реализацию эксперимента возлагается на Министерство цифрового развития, связи и массовых коммуникаций (далее – Минцифры).

Основными целями эксперимента являются:

  • проведение информационного обследования (инвентаризации) системы защиты государственных информационных систем (далее – ГИС) федеральных органов исполнительной власти (далее – ФОИВ) и подведомственных им учреждений;
  • выявление существующих недостатков (проведение анализа уязвимостей, тестирования на проникновение, анализа угроз и рисков);
  • получение независимой оценки текущего уровня защищенности ГИС;
  • разработка перечня мер, направленных на устранение выявленных недостатков.

Постановление утверждает Положение о проведении соответствующего эксперимента, однако не приводит описания и (или) перечня конкретных мероприятий, необходимых для достижения указанных выше целей. Ответственность за разработку типового технического задания на проведение мероприятия в рамках эксперимента и его согласование со ФСТЭК России и ФСБ России возложена на Минцифры (сроки готовности технического задания Минцифры не обозначило).

Для проведения отдельных работ в рамках эксперимента Минцифры может привлекать коммерческие организации. Для участия в эксперименте ФОИВ и подведомственные им учреждения на добровольной основе могут направить в Минцифры заявку и получить ответ от Минцифры в 30-дневный срок о возможности участия в эксперименте. По окончании эксперимента Минцифры направляет информацию о результатах реализации защитных мер во ФСТЭК России и ФСБ России.

Согласно Постановлению по окончании эксперимента Минцифры должно сформировать перечень мер, направленных на нейтрализацию выявленных в рамках эксперимента недостатков (уязвимостей), сроки не обозначены.

Новый раздел БДУ

В начале мая была запущена тестовая эксплуатация нового раздела Банка данных угроз безопасности информации (далее – БДУ) ФСТЭК России. Об этом федеральная служба информирует в своем письме от 04.05.2022 № 240/22/2432 «О разработке нового раздела Банка данных угроз безопасности информации, содержащего сведения об угрозах безопасности информации».

Все желающие специалисты в области ИБ могли направить свои предложения и комментарии по доработке нового раздела ФСТЭК России. Тестовая эксплуатация завершилась 5 июня.

Новый раздел содержит сведения о объектах и компонентах воздействия, способах реализации угроз безопасности информации, уровне возможностей нарушителей и мерах защиты информации от реализации угроз. В тестовой эксплуатации принимали участие все желающие специалисты в области ИБ. На данный момент на сайте вновь доступна прежняя версия БДУ .

Кроме того, ФСТЭК России в письме информирует о скором завершении разработки новой версии Методики оценки угроз безопасности информации (далее – Методика), первая версия которой была утверждена ФСТЭК России 05.02.2021.

Федеральная служба уточняет, что модели угроз, разработанные до публикации нового раздела БДУ и редакции Методики, перерабатывать не требуется.

Изменение требований к удостоверяющим центрам

ФСБ России утвердило приказ от 13.04.2022 №179 «О внесении изменений в Требования к средствам удостоверяющего центра, утвержденные приказом ФСБ России от 27 декабря 2011 г. №796».

Приняты изменения в части изложения мер по обеспечению защиты механизма формирования меток доверенного времени при подключении средств, реализующих его, к сети Интернет, защиты от сетевых атак, вредоносного кода, обнаружения (предотвращения) вторжений, криптографической защите, а также доверенной загрузки средств вычислительной техники.

Приказ вступает в силу 1 сентября текущего года и действует до 01.01.2027.

Упрощение процедуры ввоза криптографических средств в РФ

16 мая опубликовано постановление Правительства Российской Федерации от 09.05.2022 №834 «Об установлении особенностей ввоза в Российскую Федерацию шифровальных (криптографических) средств и товаров, их содержащих».

По причине ухода из РФ многих мировых вендоров криптографических средств возник риск дефицита таких средств из-за невозможности подать заявления о нотификации. Цель Постановления – упростить порядок нотификации импортных электронных устройств, оснащенных средствами шифрования.

В соответствии с Постановлением в 2022 году при ввозе шифровальных (криптографических) средств и содержащих их товаров, включенных в перечень и ввозимых в соответствии с Положением, утвержденными Решением коллегии Евразийской экономической комиссии от 21.04.2015 №30 «О мерах нетарифного регулирования», допускается:

  • оформление нотификации отраслевыми ассоциациями, перечень которых утвержден в приложении к постановлению (6 ассоциаций);
  • производителям электронного оборудования и техники, включенных в перечень системообразующих организаций российской экономики, можно не предоставлять сведения о нотификации таможенным органам, если ввозимые средства являются комплектующими для промышленного производства.

Медицинский информационно-аналитический центр: новые положения ИБ

4 мая официально опубликован Приказ Министерства здравоохранения РФ от 25.03.2022 №205н «Об утверждении Типового положения о медицинском информационно-аналитическом центре».

Медицинский информационно-аналитический центр (далее – МИАЦ) является самостоятельной медицинской организацией, подведомственной органу государственной власти субъекта РФ в сфере охраны здоровья и создается в целях цифровизации сбора, обработки и анализа данных в сфере охраны здоровья. Согласно типовому положению в состав МИАЦ должен входить в том числе отдел защиты информации, в функции которого входят:

  • автоматизация процессов обработки информации, техническая и технологическая поддержка медицинских организаций;
  • проектирование информационных систем, в том числе систем защиты информации и систем обеспечения безопасности значимых объектов КИИ;
  • организационно-методическое обеспечение при формировании требований к защите информации (в т.ч. объектов КИИ);
  • подготовка организационно-распорядительных документов;
  • организация работы защищенных сетей передачи данных;
  • обнаружение компьютерных атак и т.д.

Отмена субсидий на разработку программы кибергигиены и повышения грамотности по вопросам ИБ

Для общественного обсуждения опубликован Проект постановления Правительства РФ «О признании утратившим силу постановления Правительства Российской Федерации от 03.02.2022 № 94 «Об утверждении Правил предоставления субсидий из федерального бюджета российскому юридическому лицу на разработку и реализацию на регулярной основе программы кибергигиены и повышения грамотности широких слоев населения по вопросам информационной безопасности» .

Напомним, что согласно Постановлению №94 Минцифры предоставляет субсидии организациям на основании конкурсного отбора. Кроме проверки требований к самой организации, Министерство в рамках конкурса оценивает разработанную организацией-конкурсантом программу по ряду критериев.

Предложение об отмене установленных правил связано с тем, что указанные программы будут разрабатываться образовательной подведомственной организацией Минцифры (уточняется в пояснительной запискек проекту).

Стандартизация в области защиты информации

Отчетность ТК 362

Опубликованы отчеты о результатах деятельности технического комитета по стандартизации «Защита информации» (далее ‑ ТК 362). Среди них отчет о результатах за 2021 год, за 1 квартал 2022 года, а также несколько промежуточных справок-докладов (последняя по состоянию на 31.05.2022).

За 2021 год:

  • 4 стандарта разработаны и представлены в Федеральное агентство по техническому регулированию и метрологии (далее – Росстандарт);
  • 5 проектов национальных стандартов разработаны и направлены на издательское редактирование;
  • проведены работы по разработке 10 стандартов (в отчете обозначены статусы по каждому проекту);
  • проведена работа по формированию рабочей группы 1 в целях разработки проектов национальных стандартов, устанавливающих требования к средствам защиты информации;
  • сформирована рабочая группа 8 для обсуждения разработки национальных стандартов, регламентирующих методологию «Secure-by-Design»;
  • разработана, утверждена, опубликована и направлена в Росстандарт перспективная программа работы ТК 362 на 2022-2024 годы;
  • проведено 11 заседаний рабочих групп;
  • проведена экспертиза 71 документа смежных технических комитетов по стандартизации;
  • в состав ТК 362 включены 11 организаций, из состава исключена 1 организация и тд.

По результатам анализа работы ТК 362 в I квартале 2022:

  • проводились работы по разработке и согласованию 15 проектов национальных и межгосударственных стандартов (по каждому документу приведено описание состояния работ);
  • осуществлялось взаимодействие со смежными техническими комитетами по стандартизации (работа велась в отношении 5 стандартов);
  • согласно плану перспективных работ проводились заседания рабочих групп, анализ активности организаций-членов ТК, организация деятельности ТК 362 (приведено описание состояния работ).

Уровни доверия идентификации – новый ГОСТ

ФСТЭК России также проинформировала о решении ТК 362 представить в Росстандарт на утверждение окончательной редакции проекта национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации». Решение было принято в феврале текущего года.

Голосование по данному вопросу проводилось по переписке.

ГОСТ Р «Интеллектуальные транспортные системы…»

На рассмотрение ТК 362 16 мая поступили следующие проекты национальных стандартов:

  • ГОСТ Р «Интеллектуальные транспортные системы. Информационная безопасность. Надежность обмена данными между инфраструктурой и автомобилем»;
  • ГОСТ Р «Интеллектуальные транспортные системы. Информационная безопасность. Термины и определения».

На данный момент сформирован перечень отзывов членов комитета, по заключению ТК 362 стандарты не рекомендованы к принятию в первых редакциях и требуют доработки.Об усилении защиты персональных данных

В первом чтении принят законопроект ИТ-комитета Государственной Думы РФ об усилении защиты персональных данных (далее – ПДн).

Напомним, что законопроект предлагает ряд изменений к внесению в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»: введение роли «лица, осуществляющего обработку ПДн по поручению оператора», расширение понятия «трансграничной передачи ПДн», установление требований по оценке вреда, обязанность оператора непрерывно взаимодействовать с ГосСОПКА и т.д. Подробнее о законопроекте в обзоре изменений законодательства за апрель 2022.

Отметим, что проект по результатам рассмотрения требует доработок, срок предоставления поправок — конец июня.

Дополнительная аутентификация для пользователей ЕСИА

Правительство опубликовало Постановление от 14.05.2022 №875 «О внесении изменений в некоторые акты Правительства Российской Федерации», которое разрешает пользователям единой системы идентификации и аутентификации (ЕСИА) получать доступ к информации из государственных, муниципальных и иных информационных систем с помощью дополнительной аутентификации: через Единую биометрическую систему или с помощью СМС-кода.

Заседание Совета безопасности РФ

Совет Безопасности РФ на заседании 20 мая обсудил вопросы повышения устойчивости и безопасности функционирования информационной инфраструктуры государства, в том числе одобрил проект основ государственной политики в области обеспечения безопасности КИИ РФ

0
Комментарии
Читать все 0 комментариев
null