Обзор изменений в законодательстве за июнь 2023
Автор: Татьяна Пермякова, старший аналитик
В обзоре изменений за июнь 2023 года рассмотрим: изменения в указ Президента РФ № 250 и приказ ФСТЭК России № 235, отраслевой центр информационной безопасности цифровой экономики, направления развития информационной безопасности от Банка России, методика заполнения отчетности для некредитных финансовых организаций, аттестация работников органов по сертификации и испытательных лабораторий, штраф за незаконное использование иностранных мессенджеров и т.д.
Указ 250
Мониторинг защищённости информационных ресурсов органов и организаций
Официально опубликован приказ Федеральной службы безопасности Российской Федерации от 11.05.2023 № 213 «Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими».
Согласно приказу, мониторинг защищенности осуществляется Центром защиты информации и специальной связи Федеральной службы безопасности Российской Федерации (далее – ФСБ России) в отношении информационных систем, автоматизированных систем управления и информационно-телекоммуникационных сетей, подключенных к сети Интернет или сопряженных с ней.
Для осуществления мониторинга субъекты критической информационной инфраструктуры (далее – КИИ), входящие в область действия приказа, должны направить в срок до 1 сентября 2023 года на адрес электронной почты monitoring@fsb.ru следующие сведения:
– о доменных именах и внешних сетевых адресах информационных ресурсов;
– об адресах электронной почты, используемых для переписки с органами безопасности по вопросам осуществления мониторинга.
В случае изменения указанных сведений необходимо отправить актуальную информацию на тот же адрес в срок не позднее 7 рабочих дней с момента изменений.
В рамках мониторинга осуществляется:
– сбор и анализ сведений об информационных ресурсах;
– выявление функционирующих сервисов и обнаружение уязвимостей (удаленно);
– оценка защищенности информационных ресурсов.
Мероприятия в рамках мониторинга осуществляются в том числе на основании результатов мероприятий, проведенных центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА).
Изменения в Указе 250
Для общественного обсуждения опубликован проект указа Президента РФ «О внесении изменений в Указ Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ).
Проектом предлагается дополнить Указ следующими пунктами:
– необходимость информирования ФСБ России о компьютерных инцидентах и компьютерных атаках, связанных с функционированием информационных ресурсов органов (организаций);
– ФСБ России необходимо:
o определить порядок информирования о компьютерных инцидентах и компьютерных атаках;
o определить порядок аккредитации центров ГосСОПКА и требования к центрам, а также осуществлять контроль их деятельности;
o определить порядок, условия установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак, организовать установку таких средств.
Публичное обсуждение проекта завершится 10 июля.
Изменения в приказ ФСТЭК России № 235
Официально опубликован приказ Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) от 20.04.2023 № 69 «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21 декабря 2017 г. № 235» (далее – Приказ).
В Приказе скорректированы формулировки при упоминании лиц, ответственных за обеспечение информационной безопасности (далее – ИБ) (заместителей руководителей субъекта КИИ), а также скорректированы требования к специалистам структурного подразделения по безопасности. Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области ИБ.
Также Приказом вводятся обязательные меры по реализации компенсирующих мер в случае невозможности обеспечения технической поддержки средств защиты информации со стороны производителя.
Проект изменений в 187-ФЗ
Опубликован законопроект «О внесении изменения в статью 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».
Проектом предлагается отнести к субъектам КИИ лиц, которым принадлежат объекты КИИ, функционирующие в сферах «социального обеспечения» и «образования».
Проект изменений в 256-ФЗ
Опубликован законопроект «О внесении изменений в Федеральный закон «О безопасности объектов топливно-энергетического комплекса».
Проектом предполагается введение термина «Оценка готовности субъекта топливно-энергетического комплекса к противодействию целевым компьютерным атакам». Этот термин обозначает анализ совокупности мер, принимаемых субъектами топливно-энергетического комплекса (далее – ТЭК) для обеспечения безопасности своих объектов КИИ, а также устойчивости функционирования таких объектов к компьютерным атакам.
Также проектом предлагается изменение ст. 11 Федерального закона от 21.07.2011 № 256-ФЗ «О безопасности объектов ТЭК» (далее – 256-ФЗ), направленное на конкретизацию требований по обеспечению безопасности объектов ТЭК, в частности уточнение объектов, подлежащих защите. Так, текущая редакция ст. 11 256-ФЗ устанавливает требования к защите информации и информационно-телекоммуникационных сетей объектов ТЭК. В случае утверждения законопроекта, действие статьи будет направлено на обеспечение безопасности объектов КИИ в сфере ТЭК – информационных систем, автоматизированных систем управления и информационно-телекоммуникационных сетей субъектов ТЭК.
Согласно тексту предлагаемых изменений, на базе Министерства энергетики Российской Федерации (далее – Минэнерго России) будет создан отраслевой центр ИБ в ТЭК, в обязанности которого будут входить:
– оценка готовности субъектов ТЭК к противодействию целевым компьютерным атакам совместно с ФСТЭК России и ФСБ России (в том числе предполагается утверждение Правительством РФ порядка проведения таких оценок);
– по согласованию с ФСТЭК России и ФСБ России организация и установление порядка проведения тренировок по отработке субъектами ТЭК действий в условиях целенаправленных компьютерных атак;
– мониторинг предоставления субъектами ТЭК сведений о результатах категорирования объектов КИИ, в том числе мониторинг актуальности и достоверности сведений;
– координация действий субъектов ТЭК, которым на законном основании принадлежат объекты КИИ, в условиях проведения целевых атак и при ликвидации последствий таких атак (в том числе предполагается утверждение Правительством РФ порядка взаимодействия при осуществлении координации действий).
Последним пунктом проекта устанавливается новая обязанность субъектов ТЭК в части незамедлительного информирования об угрозах проведения целевых компьютерных атак и о проведенных атаках на информационную инфраструктуру, а также о мерах реагирования на них и ликвидации их последствий.
Предполагается, что изменения в 256-ФЗ, вносимые законопроектом, вступят в силу с 1 сентября 2024 года.
Публичное обсуждение проекта завершится 13 июля.
Импортонезависимость значимых объектов критической информационной инфраструктуры финансовых организаций
Закон вносит изменения в Федеральный закон от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».
Изменения касаются введения требований для кредитных и некредитных финансовых организаций к переходу на преимущественное использование на значимых объектах КИИ российского программного обеспечения, отечественной радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов.
Изменения вступят в силу 4 августа 2023 года.
Требования Минэнерго России к системам дистанционного управления
Для общественного обсуждения опубликован проект приказа Минэнерго России «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике».
Это версия проекта, исправленная по итогам первого публичного обсуждения. Напомним, что проект направлен на утверждение унифицированных требований, обеспечивающих ИБ при осуществлении дистанционного управления значимыми объектами КИИ и учитывающих специфику электроэнергетики.
Публичное обсуждение проекта завершится 7 июля.
Конфискация за неправомерное воздействие на критическую информационную инфраструктуру
Законом вводится санкция в виде конфискации имущества (денег, ценностей и т.д.) за совершение следующих преступлений:
– неправомерный доступ к компьютерной информации (ч. 2-4 ст.272);
– создание, использование и распространение вредоносных компьютерных программ (ст. 273);
– нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ч.2 ст.274);
– неправомерное воздействие на КИИ Российской Федерации (ст 274.1).
Отраслевой центр информационной безопасности цифровой экономики
Для общественного обсуждения опубликован проект постановления Правительства РФ «О предоставлении субсидии из федерального бюджета автономной некоммерческой организации «Национальный технологический центр цифровой криптографии» в целях создания и обеспечения функционирования отраслевого центра информационной безопасности цифровой экономики».
Проектом предлагается создать отраслевой центр ИБ цифровой экономики на базе автономной некоммерческой организации «Национальный технологический центр цифровой криптографии» (далее – Отраслевой центр ИБ) и утвердить положение об отраслевом центре, порядок его субсидирования и взаимодействия с органами государственной власти, корпорациями, организациями, учреждениями и т.д.
Отраслевой центр ИБ цифровой экономики предлагается создать в целях организации проектирования, создания, доведения до практической реализации, распространения и гармонизации отечественных решений в области информационных технологий с внедренными механизмами обеспечения ИБ, в том числе путем встраивания механизмов криптографической защиты информации.
В качестве основных функций Отраслевого центра ИБ предлагается установить:
– осуществление научной деятельности в области обеспечения ИБ;
– участие в разработке и реализация государственной политики в области обеспечения ИБ РФ;
– создание, эксплуатация и поддержание в актуальном состоянии научно-технической, вычислительной, информационно-телекоммуникационной и экспериментальной инфраструктуры;
– регулярный сбор и анализ потребностей, разработка прогнозов в области ИБ;
– подготовка спецификаций реализации отечественных криптографических механизмов;
– тестирование средств защиты информации, ведение базы данных классифицированных средств;
– осуществление функций секретариата Технического комитета;
– по стандартизации «Криптографическая защита информации» (ТК 26) и т.д.
Общественное обсуждение проекта завершится 7 июля 2023 года.
Направления развития информационной безопасности от Банка России
Центральный Банк РФ (далее – Банк России) утвердил основные направления развития ИБ кредитно-финансовой сферы на период 2023–2025 годов.
Согласно документу, основными целями развития ИБ являются:
– защита прав потребителей финансовых услуг и повышение уровня доверия к цифровым технологиям;
– создание условий для безопасного внедрения цифровых и платежных технологий и обеспечения технологического суверенитета;
– обеспечение контроля рисков ИБ, операционной надежности для непрерывности оказания банковских и финансовых услуг.
Для контроля достижения поставленных целей в документе также приведены индикаторы их достижения на каждый год по трем критериям:
– степень удовлетворенности населения уровнем безопасности финансовых услуг;
– доля необходимых для внедрения цифровых и платежных технологий мероприятий по ИБ, которые выполняются в срок;
– доля системно значимых кредитных организаций и крупных финансовых организаций, у которых в течение календарного года отсутствовали инциденты ИБ и операционной надежности, влияющие на достижение показателей операционной надежности в части непрерывности оказания финансовых услуг.
Оценка выполнения требований к обеспечению защиты информации некредитными финансовыми организациями
Документ содержит методику выставления оценок выполнения технологических требований и требований, предъявляемых к программному обеспечению, установленных в Положении Банка России от 20.04.2021 г. №757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – 757-П).
Перечень конкретных оцениваемых требований со ссылками на пункты 757-П приведен в приложении Методического документа. Оценки подлежат внесению в отчетность, которую формируют некредитные организации по формам:
– 0420433 для профессиональных участников рынка ценных бумаг, организаторов торговли, клиринговых организаций;
– 0420266 для негосударственных пенсионных фондов;
– 0420722 для операторов инвестиционной платформы, операторов финансовой платформы, операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов, операторов обмена цифровых финансовых активов;
– 0420175 для страховых организаций.
Аттестация работников органов по сертификации и испытательных лабораторий
Для общественного обсуждения опубликован проект приказа ФСТЭК России «Об утверждении Порядка аттестации работников органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа».
Проектом предлагается установить порядок оценки знаний и возможностей работников органов по сертификации и испытательных лабораторий выполнять работы по оценке соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну, или иной информации ограниченного доступа.
Аттестация включает процедуры подачи заявки на аттестацию, получение допуска к аттестации, прохождение квалификационного экзамена, получение свидетельства об аттестации, а также последующие переоформления и прекращение действия свидетельства.
Квалификационный экзамен проводится в форме тестирования и решения практических задач. Перечни типовых вопросов тестирования и практических задач разрабатываются и утверждаются ФСТЭК России.
Тестирование длится 90 минут, за это время эксперту необходимо ответить на 100 вопросов по каждой заявленной области аккредитации. Тестирование считается успешно пройденным при наличии правильных ответов не менее, чем на 80 вопросов из 100. После чего эксперт допускается до выполнения практических заданий. За 2 часа необходимо выполнить 2 задания. Решение практических задач проводится на материально-технической базе ФСТЭК России с применением тестовых образцов средств защиты информации, средств контроля эффективности защиты информации.
Публичное обсуждение проекта завершилось 30 июня. После утверждения приказ вступит в силу с 1 сентября 2024 года.
Аккредитация для обработки персональных данных работников транспортной безопасности
Официально опубликовано постановление Правительства РФ от 01.06.2023 № 906 «Об аккредитации юридических лиц для обработки персональных данных отдельных категорий лиц, принимаемых на работу, непосредственно связанную с обеспечением транспортной безопасности, или осуществляющих такую работу, в целях проверки субъектом транспортной инфраструктуры сведений, предусмотренных пунктами 1 - 6 и 9 части 1 статьи 10 Федерального закона "О транспортной безопасности", а также для принятия органами аттестации решения об аттестации сил обеспечения транспортной безопасности» (далее – ПП РФ №906).
Среди прочих, постановление отменяет действующий порядок и правила аккредитации, установленные постановлением Правительства РФ от 30.07.2014 №725 (далее – ПП РФ №725). Отметим, что свидетельства об аккредитации, выданные до утверждения ПП РФ №906, действительны до окончания срока их действия, не подлежат переоформлению в связи с утверждением указанного постановления. Для юридических лиц, представивших документы на получение аккредитации до вступления ПП РФ №906 в силу, процедура аккредитации осуществляется в соответствии с порядком, действующим на дату представления документов (т.е. в соответствии с ПП РФ №725).
ПП РФ №906 вступает в силу с 1 сентября 2023 года и действует до 1 сентября 2029 года.
Незаконное использование иностранных мессенджеров
Закон дополняет Кодекс РФ об административных правонарушениях статьей 13.11.2 «Незаконное использование принадлежащих иностранным юридическим лицам и (или) иностранным гражданам информационных систем и (или) программ для электронных вычислительных машин».
Устанавливается размер штрафа за указанное правонарушение:
– для должностных лиц – от 30 до 50 тысяч рублей;
– для юридических лиц – от 100 до 700 тысяч рублей.