Compliance-дайджест: что изменилось в ИБ-законодательстве в марте

На связи Катя, консультант «Solar Интеграция», с ежемесячной подборкой новостей из мира комплаенса ИБ. В этом посте вы узнаете об основных изменениях законодательства в области кибербезопасности за март. Все новости разбиты на тематические блоки: изменения в области защиты информации, безопасность объектов КИИ, рекомендации регуляторов и отраслевые изменения.

Изменения в области защиты информации

1. На рассмотрение в Госдуму внесен законопроект, согласно которому коммерческие организации, работающие с государственными органами, могут обязать соблюдать требования о защите информации, устанавливаемые ФСБ России и ФСТЭК России. Предполагается, что нововведения вступят в силу через год с момента принятия закона. Для применения новшества на практике в случае принятия закона ФСТЭК России внесет поправки в приказ №17 от 11 февраля 2013 года, а ФСБ России разработает приказ, в котором определит соответствующие требования о защите информации, содержащейся в ГИС, с использованием средств криптографической защиты информации.

Безопасность объектов КИИ

2. Для общественного обсуждения представлен проект постановления Правительства РФ, предполагающий внесение изменений в правила категорирования объектов критической информационной инфраструктуры (ОКИИ). Согласно проекту, отраслевые ведомства могут получить право привлекать по согласованию со ФСТЭК России специализированные организации для дополнительной проверки актуальности и достоверности сведений об объектах КИИ. Предполагается, что такие проверки могут проводиться в рамках отраслевого мониторинга, предусмотренного пунктом 19.2 действующих правил категорирования ОКИИ. В качестве специализированных организаций предлагается рассматривать организации, подведомственные соответствующим отраслевым ведомствам и имеющие компетенции в соответствующих сферах (областях), а также в области безопасности КИИ.

3. Президент России Владимир Путин своим указом утвердил меры по обеспечению технологической независимости и безопасности критической информационной инфраструктуры страны. В частности, с 31 марта 2022 года запрещено приобретать иностранное программное обеспечение для значимых объектов критической информационной инфраструктуры (ЗОКИИ) России, а с 1 января 2025 года его также запрещается использовать в ЗОКИИ. Согласно указу, Правительству РФ поручено утвердить требования к программному обеспечению, используемому в ЗОКИИ, и правила согласования закупок иностранного ПО для применения в ЗОКИИ до 30 апреля, а также установить сроки и порядок перехода на преимущественно отечественные программно-аппаратные комплексы для всех ЗОКИИ до конца сентября этого года.

Рекомендации регуляторов в сфере информационной безопасности

4. Минцифры России выпустило методические рекомендации для госкорпораций, компаний с госучастием, а также для их дочерних организаций и зависимых обществ по противодействию компьютерным атакам и другим угрозам в сфере информационной безопасности.

5. ФСТЭК России опубликовала   информационное сообщение от 24.03.2022 № 240/22/1549 «О мерах по повышению защищённости информационной инфраструктуры». Данные меры направлены на обеспечение безопасности информации информационных инфраструктур организаций, которые используются для разработки, поставки, распространения и технической поддержки ПО и оборудования АСУ ТП.

6. Национальный координационный центр по компьютерным инцидентам (НКЦКИ) подготовил перечень рекомендаций, направленных на:

• защиту от угроз фишинговых и вредоносных писем;

• защиту корпоративной информационной
  инфраструктуры от компьютерных атак с использованием программ-шифровальщиков;

• минимизацию возможных угроз информационной безопасности.

Отраслевые изменения

7. Банк России утвердил план подготовки нормативных актов на 2022 год, который предусматривает выпуск следующих документов по информационной безопасности:

• Нормативный акт Банка России о требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций;

• Положение Банка России «О требованиях к защите информации в платежной системе Банка России»;

• Нормативный акт Банка России об управлении рисками информационной безопасности в платежной системе Банка России;

• Указание Банка России «О внесении изменений в Положение Банка России от 17.10.2014 № 437-П «О деятельности по проведению организованных торгов».

8. Для общественного обсуждения представлен проект постановления Правительства РФ «О внесении изменений в Положение о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации». Согласно документу, Минцифры России может получить полномочия, позволяющие осуществлять мероприятия, направленные на повышение грамотности населения страны по вопросам кибербезопасности.

9. Официально опубликован приказ Минцифры России от 31.01.2022 № 71, который внес изменения в перечень угроз нарушения целостности (подмены) квалифицированного сертификата.