Обзор изменений в законодательстве за март 2022

Обзор изменений в законодательстве за март 2022

В мартовском обзоре законодательства за 2022 год: импортозамещение на объектах КИИ; дополнительное урегулирование мониторинга актуальности и достоверности представления субъектам КИИ сведений по результатам категорирования; единые требования по защите информации в ГИС; рекомендации от регуляторов по противодействию компьютерным атакам и особенности регуляторной среды по информационной безопасности от Банка России.
Импортозамещение в критической информационной инфраструктуре
В конце марта 2022 г. официально опубликован Указ Президента Российской Федерации от 30.03.2022 № 16 6 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – Указ Президента № 166).



С комментариями Аналитического центра ООО «УЦСБ» к Указу Президента № 166 можно ознакомиться на нашем официальном сайте .
Отметим, что под действие Указа Президента № 166 попадают все субъекты критической информационной инфраструктуры (далее – КИИ), являющиеся заказчиками по Федеральному закону от 18.07.2011 №223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее – 223-ФЗ), за исключением организаций с муниципальным участием. На текущий момент указанные организации, не могут осуществлять закупки иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов для их использования на значимых объектах КИИ. Однако дополнительно в течение месяца должны быть утверждены правила согласования закупок иностранного программного обеспечения, а также закупок услуг, необходимых для использования этого программного обеспечения. С 1 января 2025 г. органам государственной власти, заказчикам, попадающим под действие 223-ФЗ, будет запрещено использовать иностранное программное обеспечение на принадлежащих им значимых объектах КИИ. Правительство РФ в течение полугода должно реализовать комплекс мероприятий, направленных на обеспечение преимущественного применения всеми субъектами КИИ отечественной продукции на значимых объектах КИИ.
Изменения в Правила категорирования
ФСТЭК России в марте 2022 г. представила к общественному обсуждению проект постановления Правительства Российской Федерации «О внесении изменения в Правила категорирования объектов ‎критической информационной инфраструктуры ‎Российской Федерации» (далее – проект ПП РФ).

Проект ПП РФ разработан в целях дополнительного урегулирования мониторинга актуальности и достоверности представления субъектам КИИ сведений. Напомним, что в соответствии с изменениями, вносимыми постановлением Правительства Российской Федерации от 24.12.2021 № 2431 , такой мониторинг с января 2022 г. должны осуществлять государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности.



Проект ПП РФ предлагает предоставить отраслевым ведомствам право привлекать по согласованию с ФСТЭК России специализированные организации. В качестве специализированных организаций, проводящих проверку, предлагается рассматривать организации, подведомственные соответствующим отраслевым ведомствам и имеющие лицензию на проведение работ с использованием сведений, составляющих государственную тайну, а также лицензию на деятельность по технической защите конфиденциальной информации. Порядок проведения в отношении субъектов КИИ дополнительных периодических проверок будет определен отраслевыми ведомствами.
Отмена плановых проверок по вопросам лицензионного контроля
Информационным сообщением от 14.03.2022 № 240/13/1294 ФСТЭК России сообщает: в соответствии с решением директора ФСТЭК России, принятым во исполнение постановления Правительства Российской Федерации от 10.03.2022 № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля», проверки ФСТЭК России по вопросам лицензионного контроля с 10 марта 2022 г. отменены.
Единые требования о защите информации в ГИС
Законопроект о внесении изменения в статью 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»  представлен на рассмотрение Государственной Думы 10 марта 2022г.
Поправки предлагается внести в ч. 5 ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон № 149-ФЗ). Изменения касаются защиты информации в государственных информационных системах (ГИС). Общественное обсуждение данного законопроекта ранее уже проводилось в августе 2021 г.

Как отмечается в пояснительной записке к проекту, государственные органы поручают обработку информации, обладателями которой они являются, на основании договоров или иных законных основаниях подведомственным организациям, коммерческим организациям, информационные системы которых не относятся к государственным.

Предлагаемые законопроектом изменения устанавливают обязанность обладателей и операторов по соблюдению требований о защите информации, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, вне зависимости от места ее хранения или обработки, а также по соблюдению требований к организации и управлению системой защиты информации.

Также регулятором в пакете документов к внесению законопроекта указано, что изменения в Закон № 149-ФЗ предполагают дальнейшую разработку следующих нормативных правовых актов (далее – НПА):



  • Проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17».
  • Проект приказа ФСБ России, предусматривающий установление требований о защите информации, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, с использованием средств криптографической защиты информации.



Рекомендации по противодействию компьютерным атакам


Приказ Минцифры России от 10.03.2022 № 186 «Об утверждении Методических рекомендаций по обеспечению необходимого уровня безопасности в сфере информационно-коммуникационных технологий государственных корпораций, компаний с государственным участием, а также их дочерних организаций и зависимых обществ» (далее – Приказ Минцифры № 186) официально опубликован 17 марта 2022 г.

Приказ Минцифры №186 рекомендует государственным корпорациям, компаниям с государственным участием, а также их дочерним организациям и зависимым обществам реализовать перечень мероприятий в целях противодействия компьютерным атакам.



В перечень мероприятий, в частности, включено:







  1. Обеспечение на постоянной основе реализации организационно-технических мер, предусмотренных НПА, а также методическими рекомендациями, письмами и иными документами ФСБ России и ФСТЭК России.
  2. Возложение на лиц из числа заместителей руководителя полномочий по обеспечению информационной безопасности, а также обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в организации.
  3. Принятие решения о необходимости заключения договоров на оказание услуг с экспертными организациями, имеющими соглашение с ФСБ России или НКЦКИ (т.е. необходимо рассмотреть возможность привлечения внешних центров мониторинга – SOC).
  4. Организация взаимодействия с операторами связи, а также экспертными организациями для обеспечения защиты от распределенных компьютерных атак типа «отказ в обслуживании» на сетевом и прикладном уровнях.







По результатам реализации рекомендаций Приказа Минцифры № 186 необходимо организовать еженедельное направление не позднее предпоследнего рабочего дня календарной недели в Минцифры России, ФСБ России и ФСТЭК России отчетов о выполнении.  Также необходимо участие ответственных по информационной безопасности в соответствующих совещаниях, проводимых Минцифры России.



ФСТЭК России опубликовала информационное сообщение от 24.03.2022 № 240/22/1549 «О мерах по повышению защищённости информационной инфраструктуры».



НКЦКИ также в марте 2022 г. выпустил бюллетени: «О мерах повышения уровня защищенности информационных ресурсов Российской Федерации от целенаправленных компьютерных атак» с перечнем общих рекомендаций по противодействию угрозам безопасности информации; «Обобщенные рекомендации по минимизации возможных угроз информационной безопасности информационным ресурсам Российской Федерации» , адресованные широкому кругу российских компаний.

Профиль защиты ПО для финансового сектора

В рамках Технического комитета по стандартизации № 122 «Стандарты финансовых операций» разработан новый раздел 7.4 методического документа «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций», размещенного на официальном сайте Банка России.

Как отмечается в информационном письме Банка России , в новом разделе документа изложены требования к гибкой безопасной разработке и тестированию прикладного программного обеспечения автоматизированных систем и приложений, основанные на современных гибких практиках разработки, тестирования и внедрения объекта оценки с соблюдением требований положений нормативных актов Банка России.


Снижение регуляторной и надзорной нагрузки от Банка России

Информационным письмом от 06.03.2022 № ИН-018-38/28 о комплексе мер по поддержке участников финансового рынка Банк Росси сообщает о принятии мер по снижению регуляторной и надзорной нагрузки на профессиональных участников рынка ценных бумаг, управляющих компаний, специализированных депозитариев и негосударственных пенсионных фондов. Банк России будет до 01.01.2023 воздерживаться от применения мер воздействия в отношении участников финансового рынка за нарушение требований Положения Банка России от 20.04.2021 № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Отчетность в Банк России по обеспечению защиты информации
В мартовском вестнике Банка России за 2022 г. официально опубликовано Указание Банка России от 12.01.2022 № 6060-У  «О формах и методиках составления, порядке и сроках представления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по обеспечению защиты информации при осуществлении переводов денежных средств». Указание вступает в силу с 1 января 2023 года.
В указание включены формы и методика составления отчетности:



  • по форме 0403202 «Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра». Заполняется по результатам оценки соответствия защиты информации требованиям Положения Банка России № 719-П и оценки реализации мер, предусмотренных ГОСТ Р 57580.1-2017, в соответствии с ГОСТ Р 57580.2-2018;
  • по форме 0403203 «Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств».
КИИ информационная безопасность
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

ussc

Уральский центр систем безопасности УЦСБ