{"id":13651,"url":"\/distributions\/13651\/click?bit=1&hash=f7cfbb8b6e89a6860896847fedf521c070634cb4a2f3761412b8a5dec5116157","title":"\u041a\u0430\u043a \u0432 \u043f\u044f\u0442\u044c \u0440\u0430\u0437 \u0443\u0432\u0435\u043b\u0438\u0447\u0438\u0442\u044c \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u044b \u0442\u043e\u0432\u0430\u0440\u043e\u0432 \u043d\u0430 \u00ab\u0410\u0432\u0438\u0442\u043e\u00bb","buttonText":"\u041a\u0430\u043a?","imageUuid":"3e26061f-357a-5423-93fa-3abe53bf272a","isPaidAndBannersEnabled":false}
USSC

Обзор изменений в законодательстве за август 2022

В обзоре изменений за август 2022 года рассмотрим: результаты работы технического комитета по стандартизации «Защита информации» (ТК 362), импортозамещение в критической информационной инфраструктуре, новый порядок информирования об инцидентах и измененные правила категорирования, новые формы уведомления Роскомнадзора и требования к оценке вреда субъектам персональных данных, возвращение платы за единую биометрическую систему и аккредитация на право владения государственными информационными системами для идентификации и аутентификации.

Критическая информационная инфраструктура

Штраф за нарушение правил предоставления сведений о категорировании

В Государственную Думу РФ внесен законопроект, предлагающий изменения в статью 19.7.15. Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ) «Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации».

Изменения предполагают наложение административного штрафа не только за непредоставление или нарушение сроков предоставления сведений о результатах категорирования объектов критической информационной инфраструктуры (далее – КИИ), но и за предоставление недостоверных сведений. Законопроектом также предлагается ввести дополнительную ответственность за повторные нарушения, предусмотренные статьей, – до 100 тысяч рублей для физических лиц, до 200 тысяч рублей для юридических лиц.

В пояснительной записке уточняется, что данная потребность вызвана практическим опытом проведения мероприятий в рамках государственного контроля ФСТЭК России, в результате которых обнаружены случаи представления недостоверных сведений о результатах категорирования объектов КИИ, а также случаи непредставления актуализированных сведений.

Новый порядок информирования ФСБ России об инцидентах

В начале августа официально опубликован приказ ФСБ России от 07.07.2022 №348 «О внесении изменений в Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической.

Приказ вводит следующие изменения:

  • План реагирования на компьютерные инциденты должен утверждаться руководителем субъекта КИИ, копия утвержденного руководителем Плана направляется в Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ) в срок до 7 календарных дней после его утверждения (напомним, что такой план должен быть разработан и представлен на утверждение руководителю субъекта КИИ в срок до 90 календарных дней с момента включения значимых объектов КИИ, принадлежащих на законных основаниях субъекту КИИ, в реестр значимых объектов КИИ).
  • Уточнена формулировка пункта 8 приказа №282, согласно которой План разрабатывается не «совместно с НКЦКИ», а «при методическом обеспечении НКЦКИ».

Вводимые изменения на текущий момент уже вступили в силу.

Правила перехода на российское ПО: требования, порядок, ответственные

Официально опубликовано постановление Правительства Российской Федерации от 22.08.2022 №1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, органов государственной власти, заказчиков, осуществляющих закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации».

Требования Постановления распространяются на органы государственной власти и заказчиков, осуществляющих закупки в соответствии с Федеральным законом от 18.07.2011 №223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (кроме организаций с муниципальным участием) (далее – Заказчики). Исчерпывающий перечень организаций (Заказчиков) определен в ч.2 ст.1 №223-ФЗ.

Постановление утверждает перечень федеральных органов исполнительной власти, уполномоченных (в зоне своей ответственности) на согласование возможности осуществления закупок иностранного программного обеспечения (далее – ПО) для его использования на значимых объектах КИИ (далее – Уполномоченный орган):

  • Министерство здравоохранения РФ;
  • Министерство науки и высшего образования РФ;
  • Министерство транспорта РФ;
  • Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России);
  • Министерство финансов РФ;
  • Министерство энергетики РФ;
  • Министерство промышленности и торговли РФ.

Контроль соблюдения Правил согласования закупок иностранного ПО возложен на Минцифры России. Министерству в срок не более 2 месяцев со дня вступления постановления в силу (с 26.08.2022) поручено утвердить методические рекомендации по переходу на использование российского ПО, в т.ч. на значимых объектах КИИ.

Устанавливаются требования к ПО, используемому на значимых объектах КИИ: ПО должно быть включено в реестр российского или евразийского ПО. Кроме того, ПО, предназначенное для:

  • обеспечения безопасности значимых объектов КИИ;
  • обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и(или) обмена информацией о компьютерных инцидентах на объектах КИИ, кроме описываемых требований, должно соответствовать требованиям безопасности, установленных ФСБ России и ФСТЭК России, что должно подтверждаться соответствующим документом (сертификатом).

Устанавливаются правила согласования закупок иностранного ПО:

  • Для закупки иностранного ПО или иностранных услуг для использования ПО, необходимо оформить заявку в Уполномоченный орган. Заявка включает в том числе обоснование невозможности соблюдения запрета на использование иностранного ПО, а также сведения о соответствии закупаемого иностранного ПО требованиям законодательства РФ по безопасности (документ (сертификат) о соответствии требованиям ФСТЭК России и(или) ФСБ России).
  • Уполномоченный орган рассматривает заявку, принимает решение о согласовании или об отказе в согласовании закупки и направляет уведомление о своем решении заявителю (процедура занимает не более 17 рабочих дней).
  • Уполномоченный орган вправе согласовать свое решение с:
  • Центральным банком РФ – в банковской сфере и иных сферах финансового рынка;Государственной корпорацией «Росатом» - в области атомной энергии;Государственной корпорацией по космической деятельности «Роскосмос» - в области ракетно-космической промышленности;Федеральной службой по надзору в сфере здравоохранения – в сфере здравоохранения.
  • Заявка с начальной (максимальной) ценой договора от 100 млн. рублей дополнительно подлежит рассмотрению специальной комиссией, создаваемой при Минцифры России, на заседании которой вправе присутствовать представители Заказчиков.

Постановлением утверждены Правила перехода на преимущественное использование российского ПО на значимых объектах КИИ:

  • Согласующие ФОИВ в зоне своей ответственности в срок 2 месяца с момента утверждения Правил (с 26.08.2022), должны утвердить отраслевой План по переходу на преимущественное применение российского ПО;
  • Заказчики:
  • проводят оценку соответствия ПО, используемого на своих значимых объектах КИИ, требованиям, описанным ранее;руководствуясь результатами оценки и отраслевыми методическими материалами/отраслевым Планом, формируют План перехода на преимущественное использование на значимых объектах КИИ российского ПО на период до 01.01.2025 (при этом он должен состоять из годовых планов);после утверждения Плана (в срок 10 рабочих дней) направляют его копию в Минцифры России и Уполномоченный орган;осуществляют мероприятия по переходу на преимущественное использование на значимых объектах КИИ российского ПО согласно утвержденному Плану.

Отметим, что План перехода составляется на период до 01.01.2025 года и должен состоять из ежегодных планов.

Порядок перехода на российское ПО от Минпромторга

Министерство промышленности и торговли Российской Федерации (далее Минпромторг России) представил для общественного обсуждения проект постановления Правительства Российской Федерации «О порядке перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры».

Проект сформирован во исполнение Указа Президента Российской Федерации от 30.03.‎2022 №166 «О мерах по обеспечению технологической независимости ‎и безопасности критической информационной инфраструктуры Российской Федерации».

Под доверенным программно-аппаратным комплексом (далее – доверенный ПАК) в проекте подразумевается ПАК, в составе которого используются российские радиоэлектронная продукция ‎и программное обеспечение, соответствующий требованиям безопасности, утвержденным ФСТЭК России и(или) ФСБ России.

Согласно проекту, для осуществления перехода на преимущественное использование доверенных ПАК субъекту КИИ необходимо реализовать мероприятия:

  • Провести аудит значимых объектов КИИ, выявить полный перечень и функциональные характеристики используемых радиоэлектронной продукции, телекоммуникационного оборудования и программного обеспечения (далее Компоненты).
  • Если Компонент не входит в состав российских реестров радиоэлектронной продукции и (или) программного обеспечения (далее – Реестры) – провести оценку соответствия их функциональных характеристик требованиям к характеристикам российских Компонентов (утверждены постановлением Правительства РФ от 23.03.2017 №325).
  • Определить сроки амортизации Компонентов и действия прав на их использование (если не входят в Реестры).
  • Разработать План перехода на преимущественное применение доверенных ПАК на значимых объектах КИИ, который должен содержать:
  • результаты реализации мероприятий, описанных в пунктах 1-3;предложения по переходу на применение доверенных ПАК, способствующих решению задач субъекта КИИ, или российских Компонентов, на которые получены заключения ФСТЭК России и(или) ФСБ России об отсутствии таких доверенных ПАК;предложение по использованию иных Компонентов (если для решения задач субъекта КИИ нет альтернативных доверенных/российских ПАК), при наличии заключения об отсутствии функциональных аналогов Компонентов российского производства от Министерства промышленности и торговли Российской Федерации и (или) автономной некоммерческой организации «Центр компетенций ‎по импортозамещению в сфере информационно-коммуникационных технологий»;объемы и предлагаемые источники финансового обеспечения мероприятий в составе Плана.

Форма Плана утверждается научно-производственным объединением, специализирующимся на разработке, производстве, технической поддержке ‎и сервисном обслуживании доверенных ПАК для критической информационной инфраструктуры (далее – НПО) и размещается в сети «Интернет». Напомним, что такое НПО должно быть создано Правительством РФ до 30.09.2022 (согласно Указу Президента РФ №166).

В процедуры согласования и утверждения Плана предлагается включить следующих участников:

  • НПО;
  • Уполномоченный орган;
  • Межведомственная комиссия Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации (образована по Указу Президента РФ от 14.04.2022 №203, далее – Межведомственная комиссия);
  • Минпромторг России;
  • Минцифры России;
  • ФСТЭК России и ФСБ России.

Предлагаемый порядок согласования и утверждения Плана изображен на схеме:

Проектом предполагается, что в месячный срок с момента его утверждения силами НПО необходимо будет разработать форму Плана. Мониторинг перехода субъектов КИИ на преимущественное применение доверенных ПАК предлагается возложить на Минцифры России.

Публичное обсуждение проекта завершено 25 августа. Итоги еще не подведены.

Правила включения программного обеспечения в реестр отечественного ПО

Минцифры России опубликовало проект постановления Правительства РФ «О внесении изменений в постановление Правительства Российской Федерации от 16 ноября 2015 г. №1236 «Об установлении запрета ‎на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд».

Изменениями предлагается:

  • включать в реестр не только ПО, но и ПАК;
  • ввести в реестровые записи отличительный признак для ПО сферы искусственного интеллекта;
  • дополнить реестровые записи сведениями о процентах отчислений иностранным правообладателям (планируется ежегодное обновление сведений);
  • обеспечить тестирование на совместимость ПО с продукцией российской радиоэлектроники (сведения о совместимости вносить в реестровую запись);
  • указывать совместимость ПО с российской операционной системой;
  • ввести требование для разработчиков по локализации оборудования в соответствии с действующим законодательством, а также по обеспечению технической поддержки ПО на всей территории РФ;
  • допускать отсутствие в реестровой записи сведений о разработчике (в случае высоких санкционных рисков при наличии мотивированного обращения разработчика в Минцифры России).

Предлагается следующий порядок включения ПО в реестр:

  • Правообладатель ПО направляет в Минцифры России заявление и необходимые документы (соответствующая кнопка на сайте министерства ведет на форму заявления в Госуслуги).
  • Заявление рассматривается экспертным советом при Минцифры России. Совет выносит решение в течение 15 рабочих дней.
  • В случае положительного решения Минцифры России вносит ПО в реестр.

Общественное обсуждение проекта начало 29 августа и продлится до 23 сентября.

Изменения в правила категорирования

Официально опубликовано постановление Правительства Российской Федерации от 19.08.2022 №1463 «О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации».

Постановлением вводится возможность привлечения отраслевыми ведомствами своих подведомственных организаций к мониторингу актуальности и достоверности сведений, предоставляемых субъектами КИИ. Привлекаемые организации должны иметь лицензию на проведение работ с использованием сведений, составляющих государственную тайну, а также лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации (в части контроля защищенности конфиденциальной информации от несанкционированного доступа и модификации и (или) услуг по мониторингу информационной безопасности).

Ведомства должны сформировать полный перечень таких организаций, согласовать его с ФСТЭК России и опубликовать на своих официальных источниках в сети «Интернет».

Возвращение платы за использование единой биометрической системы

Официально опубликован приказ Минцифры России от 05.08.2022 №582 «Об отмене приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 6 июня 2022 г. №455 «О внесении изменений в приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 19 мая 2021 г. №474 «Об утверждении методики расчета взимания платы за использование единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия представленным биометрическим персональным данным физического лица».

Напомним, что ранее приказом №455 Минцифры России отменяло взимание платы до конца 2022 года (см. обзор изменений законодательства за июнь).

Изменения в методику расчета взимания платы за использование единой биометрической системы (далее – ЕБС) не внесены – базовый тариф по-прежнему составляет 50 рублей, а итоговая сумма зависит от количества успешных сравнений и наличия обязательности использования ЕБС со стороны законодательства РФ.

Аккредитация на право владения ГИС для идентификации и аутентификации

Официально опубликовано постановление Правительства Российской Федерации от 26.08.2022 №1498 «Об утверждении требований к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и(или) аутентификация, и(или) осуществления функций операторов указанных государственных информационных систем и Правил прохождения государственными органами аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и(или) аутентификация, и(или) осуществления функций операторов указанных государственных информационных систем».

Для аккредитации государственного органа на право владения государственной информационной системой (далее – ГИС), с применением которой осуществляется идентификация и (или) аутентификация, он должен удовлетворять следующим требованиям:

  • Наличие права собственности/иного вещного права на аппаратные криптографические средства, применяемые для идентификации и(или) аутентификации с использованием биометрических персональных данных (далее – ПДн);
  • Наличие в штате не менее 2 работников, непосредственно эксплуатирующих ГИС, имеющих высшее образование в области информационных технологий или информационной безопасности;
  • Обеспечение взаимодействия с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА);
  • Соответствие информационных технологий и технических средств ГИС, применяемых для обработки биометрических ПДн, требованиям Минцифры России;
  • Использование для обработки биометрических ПДн российских программ и баз данных (включенных в Реестр).

Утверждаемые постановлением Правила прохождения аккредитации содержат подробное описание порядка проведения процедуры и зон ответственности участвующих лиц. Для аккредитации государственный орган (далее – заявитель) подает в Минцифры России заявление вместе с документами, подтверждающими выполнение заявителем всех описанных ранее требований. Минцифры России осуществляет рассмотрение заявления, проверку выполнения заявителем требований и формирование решения об аккредитации или отказе в течение 25 рабочих дней.

Аккредитация государственного органа действует бессрочно, но может быть приостановлена в случае выявления Минцифры России нарушений на срок не более 15 рабочих дней и прекращена в случае не устранения аккредитованным государственным органом предписаний ведомства. Утвержденные правила также содержат порядок и сроки обжалования действий при аккредитации, внесения изменений в реестр аккредитованных государственных органов и сроки всех взаимодействий государственных органов с министерством.

Постановление вступает в силу с 01.03.2023.

Формы уведомления в Роскомнадзор

Для общественного обсуждения опубликован проект приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, о внесении изменений в ранее представленные сведения, о прекращении обработки персональных данных».

Проект содержит формы уведомлений:

  • О намерении осуществлять обработку ПДн:
  • предполагает указание способов и правового основания обработки ПДн для каждой цели отдельно;содержит сведения о лицах, имеющих доступ к ПДн или осуществляющих их обработку по договору.
  • О внесении изменений в ранее представленные сведения (содержит поля уведомления о намерении осуществлять обработку ПДн, а также поле для указания оснований внесения изменений).
  • О прекращении обработки ПДн (содержит основную информацию об операторе и основания исключения его из реестра).

Публичное обсуждение завершится 15 сентября.

Подтверждение уничтожения персональных данных

Для общественного обсуждения опубликован проект приказа Роскомнадзора «Об утверждении Требований к подтверждению уничтожения персональных данных».

Согласно проекту, для подтверждения уничтожения ПДн Оператор должен составить Акт об уничтожении ПДн, который должен содержать:

  • сведения об Операторе (и лице, осуществляющем обработку по поручению Оператора, если обработка была поручена);
  • фамилию, имя, отчество и иную информацию о субъекте ПДн, данные которого были уничтожены (перечень допустимой иной информации не уточняется);
  • фамилию, имя, отчество, должность и подпись лиц, осуществивших уничтожение ПДн (допускается как собственноручная, так и электронная подпись, признаваемая равнозначной в соответствии с законодательством РФ);
  • перечень уничтоженных ПДн;
  • наименование и количество листов материального (бумажного) носителя, содержавшего уничтоженные ПДн (в случае обработки ПДн без использования средств автоматизации, случай уничтожения с электронного носителя в явном виде не прописан в требованиях);
  • наименование информационной системы ПДн, из которой были уничтожены ПДн (в случае автоматизированной обработки ПДн);
  • способ, причину и дату уничтожения ПДн.

В случае автоматизированной обработки уничтоженных ПДн вместо Акта допускается сформировать лог-файл (выгрузку из журнала регистрации событий информационной системы ПДн), который содержит:

  • сведения о субъекте ПДн (как в Акте);
  • перечень уничтоженных ПДн;
  • наименование информационной системы ПДн, в которой велась обработка ПДн;
  • дату и причину уничтожения ПДн.

Публичное обсуждение проекта завершится 15 сентября.

Об оценке вреда субъектам персональных данных

Для общественного обсуждения опубликован проект приказа Роскомнадзора «Об утверждении Требований к оценке вреда, который может быть причинен субъектам ‎персональных данных в случае нарушения Федерального закона ‎«О персональных данных».

Согласно предлагаемым требованиям оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона «О персональных данных» ‎от 27.07.2006 №152-ФЗ «О персональных данных» (далее – 152-ФЗ), проводится лицом, ответственным за организацию обработки ПДн, или специально сформированной комиссией.

Степень вреда предлагается оценивать по качественной шкале со значениями: низкая, средняя, высокая. Приложение к требованиям содержит сопоставление случаев нарушения законодательства РФ в области защиты ПДн (со ссылками на пункты 152-ФЗ) и соответствующих им значений степени вреда субъекту ПДн.

Результаты оценки предлагается оформлять в виде Акта оценки вреда, содержащего:

  • Наименование или фамилию, имя, отчество (при наличии) и адрес оператора.
  • Дату издания акта оценки вреда.
  • Дату проведения оценки вреда.
  • Фамилию, имя, отчество, должность лиц, проводивших оценку вреда, а также их подпись.
  • Результат оценки вреда в соответствии с приложением к Требованиям.

Публичное обсуждения проекта завершится 21.09.2022.

Подробнее о ГИС

Минцифры России представило для общественного обсуждения проект Федерального закона «О снесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации».

В проекте уточняется перечень видов информационных систем, понятие ГИС заменено более подробными определениями федеральных, региональных и муниципальных информационных систем.

Вводится обязанность приостановить деятельность по использованию ГИС в случаях выявления нарушений требований по закупке технических средств в состав ГИС и иных требований федеральных законов РФ.

Предлагается дополнить перечень целей, с которыми создаются ГИС (дополнено целью сбора и обработки сведений, получаемых органами государственной власти и организациями, осуществляющими предоставление государственных услуг, а также иные цели, установленные законами субъектов РФ, нормативными правовыми актами Президента РФ, Правительства РФ, высшего должностного лица субъекта РФ ‎и высших исполнительных органов государственной власти субъекта ‎РФ).

Публичное обсуждение завершится 14 сентября.

Результаты работы ТК 362

Уровни доверия идентификации

Приказом Федерального агентства по техническому регулированию и метрологии (далее – Росстандарт) от 05.08.2022 №740-ст утвержден ГОСТ Р 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации». Документ начинает действовать с 01.01.2023.

На официальном сайте Федерального государственного бюджетного учреждения «Российский институт стандартизации» размещена платная версия стандарта. Росстандарт также должен разместить утвержденную версию стандарта на своих официальных сайтах в сети «Интернет» (на данный момент на сайте создана страница для размещения документа).

Отмена ГОСТ: требования к органам по аттестации

Приказом Росстандарт от 08.08.2022 №746-ст отменен ГОСТ Р 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».

Документ отменяется с 01.09.2022.

О ходе работ на 28.07.2022

На сайте ФСТЭК России опубликована Справка-доклад о ходе работ по плану Технического комитета по стандартизации «Защита информации» (далее ТК 362) на 2022 год (по состоянию на 28.07.2022). Согласно справке:

  • Завершено голосование по вопросу представления окончательной редакции проекта национального стандарта ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению статического анализа программного обеспечения» в Росстандарт для утверждения. В настоящее время председателем подкомитета «Разработка безопасного программного обеспечения» (ПК 4) проводятся совещания с организациями-членами комитета, проголосовавшими «против» с целью урегулирования разногласий.
  • В Росстандарт представлены согласованные Председателем ТК 362 предложения в Программу разработки национальных стандартов на 2023 год.
  • Организациями-членами ТК 362 рассмотрен проект национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации». Получены замечания от 16 организаций.
  • Подготовлены для представления председателю ТК 362 для принятия решения об организации публичного обсуждения проекты следующих национальных стандартов:
  • ГОСТ Р ИСО/МЭК 15408-1-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» (идентичный на основе ISO/IEC 15408.1:2022);ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» (идентичный на основе ISO/IEC 15408.2:2022);ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения».
  • Заключен договор ООО «ЦБИ» с ФГБУ «РСТ» на проведение работ по издательскому редактированию и подготовке к утверждению проектов национальных стандартов (работы планируется завершить в ноябре 2022):
  • ГОСТ Р 59709-2021 «Защита информации. Управление компьютерными инцидентами. Термины и определения»;ГОСТ Р 59710-2021 «Защита информации. Управление компьютерными инцидентами. Общие положения»;ГОСТ Р 59711-2021 «Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами»;ГОСТ Р 59712-2021 «Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты».
  • На рассмотрение организациям-членам ТК 362 разослана первая редакция проекта национального стандарта ГОСТ Р «Эксплуатация и управление сетями связи общего пользования в целях обеспечения целостности и устойчивого функционирования. Общие требования», разработанная ТК 480 «Связь» (рассмотрение завершилось 18 июля).

Автор: Татьяна Пермякова, старший аналитик УЦСБ

0
Комментарии
Читать все 0 комментариев
null