Оглавление
Методика оценки защиты ОКИИ. Дополнительные требования по защите ЗОКИИ в электроэнергетике. Защита цифрового рубля. Контроль ЦБ за импортозамещением ПО. Требования для хостинг-провайдеров. Деятельность по стандартизации.
Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
Май-2024
В обзоре изменений законодательства за май 2024 г. рассмотрим новую методику от ФСТЭК России оценки показателя состояния защиты информации и обеспечения безопасности объектов КИИ, дополнительные требования по обеспечению безопасности ЗОКИИ в сфере электроэнергетики при организации и осуществлении дистанционного управления, условия по защите информации для участников платформы цифрового рубля, порядок осуществления Банком России контроля и мониторинга за соблюдением финансовыми организациями реализации планов импортозамещения ПО, а также требования о защите информации для провайдеров хостинга.
Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов КИИ
Информационным сообщением ФСТЭК России [1] сообщает об утверждении 2 мая 2024 г. методического документа ФСТЭК России “Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации” [2].
Документ определяет показатель, характеризующий текущее состояние технической защиты информации, не составляющей государственную тайну, и (или) обеспечения безопасности значимых объектов критической информационной инфраструктуры, его нормированное значение, а также порядок его расчета.
Целью применения указанного методического документа является оценка текущего состояния защиты информации (обеспечения безопасности объектов КИИ) в государственных органах, органах местного самоуправления, организациях, в том числе субъектах КИИ, и степени его соответствия минимально необходимому уровню защиты информации (обеспечения безопасности объектов КИИ) от типовых актуальных угроз безопасности информации.
До введения в действие нормативных правовых актов, устанавливающих требования по оценке показателя, характеризующего текущее состояние технической защиты информации и обеспечения безопасности объектов КИИ, применение данного методического документа осуществляется по решению органа (организации).
В качестве показателя, характеризующего текущее состояние защиты информации (обеспечения безопасности объектов КИИ) в органе (организации), используется показатель текущего состояния защищенности КЗИ. Оценка показателя КЗИ проводится не реже одного раза в шесть месяцев. Периодичность и порядок проведения оценки показателя КЗИ устанавливается органом (организацией) во внутренних регламентах.
Результаты оценки показателя защищенности КЗИ предоставляются органом (организацией) во ФСТЭК России по ее запросу. ФСТЭК России могут быть запрошены отдельные исходные данные, используемые для оценки показателя защищенности КЗИ, подтверждающие получение представленных результатов оценки.
Дополнительные требования по обеспечению безопасности ЗОКИИ в сфере электроэнергетики при организации и осуществлении дистанционного управления
Приказ Минэнерго России от 26.12.2023 № 1215 “Об утверждении дополнительных требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике” [3] официально опубликован 16 мая 2024 г. Приказ Минэнерго № 1215 вступает в силу с 1 сентября 2024 г. и действует до 1 сентября 2030 г.
Требования приказа Минэнерго № 1215 устанавливают дополнительные требования по обеспечению безопасности значимых объектов КИИ субъекта оперативно-диспетчерского управления в электроэнергетике, собственников и иных законных владельцев объектов по производству электрической энергии и (или) объектов электросетевого хозяйства при осуществлении из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике следующих видов дистанционного управления:
дистанционного управления выключателями, разъединителями, заземляющими разъединителями, технологическим режимом работы электросетевого оборудования и устройствами релейной защиты и автоматики на объектах электроэнергетики;
дистанционного управления активной и реактивной мощностью генерирующего оборудования ветровых и солнечных электростанций;
дистанционного управления активной и реактивной мощностью гидравлических электростанций установленной генерирующей мощностью менее 50 МВт, автоматизированная система управления которых обеспечивает работу такой электростанции в автоматическом режиме без вмешательства оперативного персонала с обеспечением управления водным режимом и выполнением установленных ограничений работы основного и вспомогательного оборудования, а также безопасную эксплуатацию гидротехнических сооружений;
дистанционного управления активной мощностью гидравлических и гидроаккумулирующих электростанций путем передачи команд на изменение задания плановой мощности в системах группового регулирования активной мощности таких электростанций, подключенных к централизованной (центральной координирующей) системе автоматического регулирования частоты и перетоков активной мощности;
дистанционного управления активной мощностью тепловых электростанций путем автоматического доведения плановых диспетчерских графиков до таких электростанций;
дистанционного ввода в действие графиков временного отключения потребления (ГВО) путем автоматизированной передачи команд на введение таких графиков из диспетчерских центров в центры управления сетями сетевых организаций.
Условия по защите информации для участников платформы цифрового рубля
В мае 2024 г. Банк России опубликовал “Условия по защите информации для участников платформы цифрового рубля” [4], которые будут применяться с 01.01.2025 г.
Условия по защите информации для участников платформы цифрового рубля являются неотъемлемой частью договора счета цифрового рубля между оператором платформы цифрового рубля и участником платформы цифрового рубля, который является кредитной организацией (далее – клиент). Банк России проверяет готовность выполнения клиентом требований на основании полученного от клиента акта о готовности выполнения требований к обеспечению защиты информации для участников платформы цифрового рубля. Форма акта приведена в приложении к условиям.
Порядок осуществления Банком России контроля и мониторинга за соблюдением организациями реализации планов импортозамещения ПО
Банком России опубликованы указания о порядке осуществления Банком России контроля и мониторинга за соблюдением организациями реализации планов мероприятий по переходу на преимущественное использование российского программного обеспечения, отечественной радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов на принадлежащих им значимых объектах КИИ и осуществления закупок иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупок услуг, необходимых для их использования на таких объектах.
Указание Банка России от 05.02.2024 № 6679-У для кредитных организаций [5].
Указание Банка России от 05.02.2024 № 6680-У [6] для некредитных финансовых организаций.
Банк России осуществляет мониторинг за соблюдением организациями реализации планов на основании:
отчетности, предоставляемой организацией в Банк России;
информации о реализации плана мероприятий, предоставляемой организацией в ответ на запрос Банка России;
плана мероприятий.
Банк России в рамках мониторинга за соблюдением организациями реализации планов мероприятий:
устанавливает соответствие информации, содержащейся в отчетности организации, и информации о реализации плана мероприятий информации, указанной в плане мероприятий, а также (при наличии) документам и информации, прилагаемым организацией к плану мероприятий;
оценивает соблюдение организацией сроков перехода на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих организации значимых объектах КИИ, указанных в плане мероприятий.
Банк России осуществляет контроль за соблюдением организациями реализации планов мероприятий и осуществления закупок, в том числе при неполучении или получении неполной и (или) недостоверной информации, в виде проверок. Банк России проводит проверки в целях:
оценки выполнения организацией обязанностей, предусмотренных Федеральным законом “О Центральном банке Российской Федерации (Банке России)”;
оценки выполнения организацией мероприятий, предусмотренных планом мероприятий;
установления соответствия перечня значимых объектов КИИ, приведенного в плане мероприятий, перечню принадлежащих организации значимых объектов КИИ, на которых она должна обеспечить преимущественное использование российского программного обеспечения, отечественной радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов;
выявления сведений об использовании организацией иностранного программного обеспечения, иностранной радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих ей значимых объектах КИИ, не определенных в плане мероприятий.
Требования для провайдеров хостинга
27 мая 2024 г. для общественного обсуждения представлен проект приказа Минцифры России “Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети “Интернет”, операторам государственных информационных систем, муниципальных информационных систем, информационных систем государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений” [7].
По проекту требования будут распространяться на провайдеров хостинга при осуществлении ими деятельности по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети “Интернет”, операторам государственных информационных систем (ГИС), муниципальных информационных систем (МИС), информационных систем государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений.
Провайдеры хостинга обязаны будут соблюдать:
требования о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети “Интернет”, установленные приказом Минцифры России от 01.11.2023 № 936;
требования к вычислительной мощности, используемой провайдером хостинга, установленные приказом Минцифры России от 01.11.2023 № 935;
требования о защите информации, содержащейся в ГИС, установленные ФСБ России и ФСТЭК России.
Провайдер хостинга для защиты информации при необходимости обязан использовать средства криптографической защиты информации (СКЗИ), прошедшие в установленном порядке процедуру оценки соответствия. Класс применяемых СКЗИ определяется провайдером хостинга в соответствии с утверждаемой по согласованию с ФСБ России моделью угроз безопасности.
Июнь-2024
В обзоре изменений законодательства за июнь 2024 г. поговорим о внесении изменений в Указ Президента РФ от 1 мая 2022 г. № 250, о порядке представления субъектами КИИ измененных сведений о результатах категорирования, об изменениях индикаторов риска нарушения обязательных требований при осуществлении государственного контроля в сфере идентификации и (или) аутентификации, а также о проектах стандартов в области информационной безопасности.
Изменения в Указ Президента РФ от 1 мая 2022 г. № 250
Указ Президента Российской Федерации от 13.06.2024 № 500 “О внесении изменений в Указ Президента Российской Федерации от 1 мая 2022 г. № 250 “О дополнительных мерах по обеспечению информационной безопасности Российской Федерации” [8] был официально опубликован 13 июня 2023 г., вступил в силу со дня опубликования.
В изменениях к Указу Президента РФ № 250 определенно, что ФСБ России, помимо организации аккредитации центров ГосСОПКА, должна установить требования к таким центрам, определить порядок их аккредитации, приостановления действия аккредитации и отзыва аккредитации, а также установить требования к аккредитованным центрам. Кроме того, дополнено, что ФСБ России будет осуществлять контроль за деятельностью аккредитованных центров.
Ограничение на использование с 1 января 2025 г. средств защиты информации, странами происхождения которых являются недружественные иностранные государства, дополнено запретом на использование сервисов (работ, услуг) по обеспечению информационной безопасности, предоставляемыми (выполняемыми, оказываемым) организациями изнедружественных государств.
Представление субъектами КИИ измененных сведений о результатах категорирования
Информационное сообщение ФСТЭК России от 27.05.2024 № 240/82/1376 “О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий [9] было опубликовано в июне 2024 г.
ФСТЭК России информирует, что в случае изменения сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий субъект КИИ направляет в ФСТЭК России новые актуализированные сведения по форме, утвержденной приказом ФСТЭК России от 22 декабря 2017 г. № 236.
В случае если указанная актуализация не приводит к изменению категории значимости (пересмотру решения об отсутствии необходимости присвоения категорий значимости), актуализированные сведения могут направляться в ФСТЭК России электронным документом, записанным на машинном носителе информации. Указанный машинный носитель информации прикладывается к сопроводительному письму с указанием в нем размера записанных на нем электронных документов.
В иных случаях сведения направляются в печатном и электронном виде (в формате .ods и (или) .odt) по форме.
Индикаторы риска нарушения обязательных требований при осуществлении государственного контроля в сфере идентификации и (или) аутентификации
Минцифры России 14 июня 2024 г. представило для общественного обсуждения проект приказа “Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации” [10], в соответствии с которым будет признан утратившим силу приказ Минцифры России от 06.12.2021 № 1308.
К индикаторам риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации предлагается добавить:
“Поступление в Минцифры России заявления об аккредитации организации, осуществляющей аутентификацию на основе биометрических персональных данных (ПДн) физических лиц, содержащего информацию о работниках, непосредственно осуществляющих деятельность по аутентификации на основе биометрических ПДн, имеющих высшее образование в области информационных технологий или информационной безопасности, которые заявлены как работники, осуществляющие такую деятельность, аккредитованной организации, осуществляющей аутентификацию на основе биометрических ПДн физических лиц”.
Деятельность по стандартизации
В июне 2024 г. на сайте ФСТЭК России представлены проекты национальных стандартов:
ГОСТ Р 56939 “Защита информации. Разработка безопасного программного обеспечения. Общие требования” (пересмотр ГОСТ Р 56939–2016) [11].
ГОСТ Р “Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования” [12].
Также ТК 26 “Криптографическая защита информации” представлены рекомендации по стандартизации [13]:
“Информационная технология. Криптографическая защита информации. Ключевая система сети шифрованной связи с использованием ККСВ ВРК с сетевой топологией “звезда”.
“Информационная технология. Криптографическая защита информации. Ключевая система полносвязной многоарендаторной сети шифрованной связи на базе ККС ВРК с ДПУ”.
https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii
https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-2-maya-2024-g
http://publication.pravo.gov.ru/document/0001202405160004
https://cbr.ru/Content/Document/File/161068/Terms_of_data_protection_20250101.docx
https://cbr.ru/Queries/UniDbQuery/File/90134/4036
https://cbr.ru/Queries/UniDbQuery/File/90134/4037
https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=147974
(http://publication.pravo.gov.ru/document/0001202406130032?index=1
https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot-27-maya-2024-g-n-240-82-1376
https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=148388
https://fstec.ru/tk-362/standarty/proekty/proekt-natsionalnogo-standarta-gost-r-14
https://fstec.ru/tk-362/standarty/proekty/proekt-natsionalnogo-standarta-gost-r-3
https://fstec.ru/tk-362/deyatelnost-tk362/rassmotrenie-dokumentov-smezhnymi-tk/tk-26-kriptograficheskaya-zashchita-informatsii
ITSec_articles