Оглавление
Изменения в ФЗ о безопасности КИИ. Категорирование для сферы транспорта. Продление эксперимента по повышению уровня защищенности ГИС. Новые стандарты в области защиты информации. Сертификация процессов безопасной разработки.
Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
Март-2024
В обзоре изменений законодательства в области ИБ за март 2024 г. рассмотрим проект изменений в Федеральный закон “О безопасности КИИ РФ”, порядок предоставления сведений о результатах категорирования для сферы транспорта, технические условия установки средств противодействия угрозам, требования к сетям связи при использовании технических средств противодействия угрозам, постановление Правительства РФ о продление срока проведения эксперимента по повышению уровня защищенности ГИС, а также рекомендации и стандарт Банка России в области обеспечения безопасности.
Изменения в ФЗ о безопасности КИИ
Законопроект № 581689-8 «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» [1] был внесен в Государственную Думу 21 марта 2024 г. Предполагается, что изменения в Федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» вступят в силу с 1 марта 2025 г.
Изменениями предлагается дополнить полномочия Правительства РФ следующими пунктами:
по установлению требований к используемым на значимых объектах КИИ программному обеспечению и радиоэлектронной продукции, в том числе к телекоммуникационному оборудованию и программно-аппаратным комплексам, а также случаев и порядка согласования использования программного обеспечения и радиоэлектронной продукции, происходящих из иностранных государств, в том числе при выполнении работ, оказании услуг
по установлению порядка (процедур) и сроков перехода субъектов КИИ на преимущественное использование российского ПО и радиоэлектронной продукции на значимых объектах КИИ;
по установлению порядка (процедур) мониторинга перехода субъектов КИИ на преимущественное использование российского программного обеспечения и радиоэлектронной продукции.
В части процедуры категорирования объектов КИИ предлагаются следующие изменения:
субъекты КИИ будут обязаны применять методические указания отраслевых регуляторов при категорировании;
за отраслевыми регуляторами будет закреплена обязанность формировать перечни типовых отраслевых объектов КИИ, с согласованием таких перечней типовых объектов КИИ со ФСТЭК России;
методические указания, регламентирующие особенности категорирования объектов КИИ, от отраслевых регуляторов потребуется утверждать отраслевым регулятором по согласованию со ФСТЭК России;
ФСТЭК России будет наделена правом направлять требование о внесении изменений в сведения о категорировании объектов КИИ в случае выявления несоответствий в рамках мониторинга предоставления актуальных и достоверных сведений, проводимого ФСТЭК России и/или отраслевыми регуляторами. Субъекты КИИ при этом обязаны предоставить актуальные сведения (внести исправления) или обосновать отсутствие такой необходимости.
Кроме того, для субъектов КИИ, которым принадлежат значимые объекты КИИ, добавятся следующие обязанности:
соблюдение установленных законодательством требований к используемым на значимых объектах КИИ программному обеспечению и радиоэлектронной продукции, в том числе к телекоммуникационному оборудованию и программно-аппаратным комплексам;
обеспечить переход на преимущественное использование российского программного обеспечения и отечественной радиоэлектронной продукции в соответствии с установленными порядком и сроками.
Стоит отметить, что большая часть предлагаемых для закрепления норм уже существует в подзаконных нормативных правовых актах, таких как постановление Правительства РФ от 22 августа 2022 г. № 1478, постановление Правительства РФ от 14.11.2023 № 1912, постановление Правительства РФ от 08.02.2018 № 127. Таким образом, в большинстве своем изменения направлены на синхронизацию 187-ФЗ с подзаконными нормативными правовыми актами.
Порядок подачи сведений о категорировании для сферы транспорта
Информационным сообщением от 6 марта 2024 г. № 240/82/580 ФСТЭК России [2] сообщает о порядке представления субъектами КИИ, осуществляющими деятельность в сфере транспорта, перечней объектов КИИ, подлежащих категорированию а также сведений о присвоении объектам КИИ одной из категорий значимости либо неприсвоении им одной из таких категорий.
В части субъектов КИИ, являющихся федеральными органами исполнительной власти, подведомственными им учреждениями, а также организациями, осуществляющими деятельность в сфере транспорта в двух и более субъектах РФ, рассмотрение перечней и сведений осуществляется центральным аппаратом ФСТЭК России.
В части субъектов КИИ, за исключением указанных выше организаций, рассмотрение перечней и сведений осуществляется управлением ФСТЭК России по федеральному округу, на территории которого расположены указанные субъекты КИИ.
Технические средства противодействия угрозам сети «Интернет» и сети связи общего пользования
Приказ Роскомнадзора от 19.02.2024 № 25 «Об утверждении технических условий установки технических средств противодействия угрозам, а также требований к сетям связи при использовании технических средств противодействия угрозам» [3] официально опубликован 26 марта 2024 г.
Приказ № 25 отменяет ранее действующий приказ Роскомнадзора от 31.07.2019 № 228 «Об утверждении технических условий установки технических средств противодействия угрозам, а также требований к сетям связи при использовании технических средств противодействия угрозам».
Технические условия должны применяться оператором связи, оказывающим услуги по предоставлению доступа к сети «Интернет» и (или) услуги присоединения к его сети передачи данных сети передачи данных другого оператора связи, оказывающего услуги по предоставлению доступа к сети «Интернет», собственником или иным владельцем точки обмена трафиком при подключении к их точке обмена трафиком сетей связи, с использованием которых предоставляется доступ к сети «Интернет», при обеспечении установки технических средств противодействия угрозам устойчивости, безопасности и целостности функционирования на территории РФ сети «Интернет» и сети связи общего пользования.
Продление срока проведения эксперимента по повышению уровня защищенности ГИС
Постановлением Правительства Российской Федерации от 18.03.2024 № 323 «О внесении изменения в постановление Правительства Российской Федерации от 13 мая 2022 г. № 860» [4] (официально опубликовано 18 марта 2024 г.) продлевается эксперимент по повышению уровня защищенности государственных информационных систем, который должен был завершиться 30 марта 2024 г., до 31 декабря 2024 г.
Рекомендации Банка России по управлению риском ИБ
Методические рекомендации по управлению риском информационной безопасности и обеспечению операционной надежности от 21 марта 2024 г. № 7-МР [5] официально опубликованы Банком России.
Согласно 7-МР кредитным организациям и некредитным финансовым организациям следует обеспечить подход к управлению риском информационной за счет выполнения требований стандартов серии:
ГОСТ Р 57580.3–2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения».
ГОСТ Р 57580.4–2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер».
Стандарт Банка России по обеспечению безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации
Банк России опубликовал стандарт Банка России СТО БР БФБО-1.8–2024 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации».
Стандарт устанавливает состав и содержание мер для обеспечения доверия к результатам идентификации и аутентификации клиентов при дистанционном предоставлении финансовых продуктов и услуг.
Стандарт определяет состав и содержание мер защиты информации, применяемых к:
процессу идентификации в разрезе уровня доверия идентификации;
делегированию идентификации доверенной третьей стороне (ДТС);
процессу аутентификации в разрезе уровня доверия аутентификации;
процессу аутентификации при использовании отдельных аутентификаторов;
делегированию аутентификации ДТС.
Стандарт может применяться в сценариях, отличных от предоставления финансовых продуктов и услуг клиентам финансовой организации. Одним из альтернативных сценариев применения может выступать реализация требований ГОСТ Р 57580.12017 к подпроцессу «Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа».
Апрель-2024
В обзоре изменений законодательства за апрель 2024 г. поговорим о стандартах, вступающих в силу в апреле 2024 г., о порядке проведения сертификации процессов безопасной разработки ПО средств защиты информации, о примерной программе повышения квалификации “Обеспечение безопасности ПДн при их обработке в ИСПДн”, о видах биометрических ПДн при осуществлении идентификации и аутентификации, а также о проекте изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации”.
Введение в действие стандартов в области защиты информации
С 1 апреля 2024 г. официально вводятся в действие:
ГОСТ Р 71206–2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования» [6];
ГОСТ Р 71207–2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования» [7];
ГОСТ Р 71252–2024 «Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем» [8];
ПНСТ 911–2024 «Критическая информационная инфраструктура. Доверенные интегральные микросхемы и электронные модули. Общие положения» [9].
Сертификация процессов безопасной разработки программного обеспечения средств защиты информации
Приказ ФСТЭК России от 01.12.2023 № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации» [10] официально опубликован 17 апреля 2024 г.
Сертификация процессов проектирования и производства программного обеспечения (процессов безопасной разработки ПО) средств защиты информации, содержащей сведения, составляющие государственную тайну или относимые к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, осуществляется на соответствие требованиям национального стандарта ГОСТ Р 56939–2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования». Изготовитель при намерении сертифицировать процессы безопасной разработки программного обеспечения выбирает для проведения сертификации аккредитованный ФСТЭК России орган по сертификации, согласовывает с ним сроки проведения сертификации.
В случае принятия ФСТЭК России решения о выдаче сертификата соответствия сертификат соответствия подписывается уполномоченным должностным лицом ФСТЭК России, сведения о сертификате соответствия учитываются в перечне сертификатов соответствия процессов безопасной разработки программного обеспечения требованиям по безопасной разработке. Сертификат соответствия выдается на срок, указанный в заявке, но не более чем на пять лет.
Программа повышения квалификации «Обеспечение безопасности ПДн при их обработке в ИСПДн»
Информационным сообщением от 27 марта 2024 г. № 240/11/1429 [11] ФСТЭК России сообщает о разработке и утверждении новой редакции примерной программы повышения квалификации «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» [12].
Примерная программа предназначена для оказания методической помощи образовательным организациям при разработке программ повышения квалификации, обучение по которым обеспечивает совершенствование и (или) получение новых компетенций, необходимых для осуществления профессиональной деятельности, повышение профессионального уровня в рамках имеющейся квалификации специалистов (включая государственных гражданских служащих), работающих в области технической защиты информации в части организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
В примерной программе определены оптимальные срок обучения, состав, содержание учебных модулей (тем), а также планируемые результаты обучения.
Виды биометрических ПДн при осуществлении идентификации и (или) аутентификации
Постановление Правительства Российской Федерации от 01.04.2024 № 408 «О видах биометрических персональных данных, на которые распространяется действие Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» [13] официально опубликовано 5 апреля 2024 г.
Постановлением правительства установлено, что видами биометрических ПДн, на которые распространяется действие Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», являются изображение лица человека, полученное с помощью фотовидеоустройств, и запись голоса человека, полученная с помощью звукозаписывающих устройств.
Проект изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации»
Проект федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации», а также в статью 15 Федерального закона «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» [14] был представлен на общественное обсуждение 27 апреля 2024 г.
Законопроектом, в частности, предлагается:
скорректировать дефиницию «информационная система» на «совокупность содержащейся в базах данных информации, а также технических средств и программ для электронных вычислительных машин (в том числе представленных в составе такой системы посредством электронных сервисов, облачных услуг по предоставлению вычислительных ресурсов и (или) облачных услуг по предоставлению программного обеспечения), посредством которых реализуются информационные технологии в отношении такой информации»;
добавить термины «цифровая платформа», «государственные цифровые платформы», «электронный сервис», «облачные услуги по предоставлению вычислительных ресурсов», «облачные услуги по предоставлению программного обеспечения»;
определить разновидности информационных систем: государственные информационные системы (федеральные государственные информационные системы и региональные государственные информационные системы), муниципальные информационные системы и иные информационные системы;
распространение требований положений ч. 2.1. ст. 13 Федерального закона «Об информации, информационных технологиях и о защите информации» о размещении на территории Российской Федерации технических средств используемых информационных систем на органы управления государственными внебюджетными фондами, а также публично-правовые компании, государственные корпорации (компании) в части технических средств, используемых для обеспечения функционирования или входящих в состав государственных информационных систем.
https://sozd.duma.gov.ru/bill/581689-8
https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossiiot-6-marta-2024-g-n-240-82-580
http://publication.pravo.gov.ru/document/0001202403260007
http://publication.pravo.gov.ru/document/0001202403180018
https://cbr.ru/Crosscut/LawActs/File/2364
https://protect.gost.ru/document1.aspx?control=31&baseC=6&page=3&month=2&year=2024&search=&id=257755
https://protect.gost.ru/document1.aspx?control=31&baseC=6&page=3&month=2&year=2024&search=&id=257752
https://protect.gost.ru/document1.aspx?control=31&baseC=6&page=5&month=3&year=2024&search=&id=258700
https://protect.gost.ru/document1.aspx?control=31&baseC=6&page=8&month=1&year=2024&search=&id=257135
http://publication.pravo.gov.ru/document/0001202404170002
https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossiiot-27-marta-2024-g-n-240-11-1429
https://fstec.ru/dokumenty/vse-dokumenty/inye/primernaya-programma-povysheniya-kvalifikatsii
http://publication.pravo.gov.ru/document/0001202404050032?index=1
https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=147441
ITSec_articles