В мартовском обзоре законодательства за 2022 год: импортозамещение на объектах КИИ; дополнительное урегулирование мониторинга актуальности и достоверности представления субъектам КИИ сведений по результатам категорирования; единые требования по защите информации в ГИС; рекомендации от регуляторов по противодействию компьютерным атакам и особенности регуляторной среды по информационной безопасности от Банка России.
Импортозамещение в критической информационной инфраструктуре
В конце марта 2022 г. официально опубликован «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – Указ Президента № 166).
С комментариями Аналитического центра ООО «УЦСБ» к Указу Президента № 166 можно ознакомиться на нашем официальном .
Отметим, что под действие Указа Президента № 166 попадают все субъекты критической информационной инфраструктуры (далее – КИИ), являющиеся заказчиками по Федеральному закону от 18.07.2011 №223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее – 223-ФЗ), за исключением организаций с муниципальным участием. На текущий момент указанные организации, не могут осуществлять закупки иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов для их использования на значимых объектах КИИ. Однако дополнительно в течение месяца должны быть утверждены правила согласования закупок иностранного программного обеспечения, а также закупок услуг, необходимых для использования этого программного обеспечения. С 1 января 2025 г. органам государственной власти, заказчикам, попадающим под действие 223-ФЗ, будет запрещено использовать иностранное программное обеспечение на принадлежащих им значимых объектах КИИ. Правительство РФ в течение полугода должно реализовать комплекс мероприятий, направленных на обеспечение преимущественного применения всеми субъектами КИИ отечественной продукции на значимых объектах КИИ.
Изменения в Правила категорирования
ФСТЭК России в марте 2022 г. представила к общественному обсуждению проект «О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации» (далее – проект ПП РФ).
Проект ПП РФ разработан в целях дополнительного урегулирования мониторинга актуальности и достоверности представления субъектам КИИ сведений. Напомним, что в соответствии с изменениями, вносимыми , такой мониторинг с января 2022 г. должны осуществлять государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности.
Проект ПП РФ предлагает предоставить отраслевым ведомствам право привлекать по согласованию с ФСТЭК России специализированные организации. В качестве специализированных организаций, проводящих проверку, предлагается рассматривать организации, подведомственные соответствующим отраслевым ведомствам и имеющие лицензию на проведение работ с использованием сведений, составляющих государственную тайну, а также лицензию на деятельность по технической защите конфиденциальной информации. Порядок проведения в отношении субъектов КИИ дополнительных периодических проверок будет определен отраслевыми ведомствами.
Отмена плановых проверок по вопросам лицензионного контроля
ФСТЭК России сообщает: в соответствии с решением директора ФСТЭК России, принятым во исполнение постановления Правительства Российской Федерации от 10.03.2022 № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля», проверки ФСТЭК России по вопросам лицензионного контроля с 10 марта 2022 г. отменены.
Единые требования о защите информации в ГИС
Законопроект о внесении изменения в «Об информации, информационных технологиях и о защите информации» представлен на рассмотрение Государственной Думы 10 марта 2022г.
Поправки предлагается внести в ч. 5 ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон № 149-ФЗ). Изменения касаются защиты информации в государственных информационных системах (ГИС). Общественное обсуждение данного ранее уже проводилось в августе 2021 г.
Как отмечается в пояснительной записке к проекту, государственные органы поручают обработку информации, обладателями которой они являются, на основании договоров или иных законных основаниях подведомственным организациям, коммерческим организациям, информационные системы которых не относятся к государственным.
Предлагаемые законопроектом изменения устанавливают обязанность обладателей и операторов по соблюдению требований о защите информации, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, вне зависимости от места ее хранения или обработки, а также по соблюдению требований к организации и управлению системой защиты информации.
Как отмечается в пояснительной записке к проекту, государственные органы поручают обработку информации, обладателями которой они являются, на основании договоров или иных законных основаниях подведомственным организациям, коммерческим организациям, информационные системы которых не относятся к государственным.
Предлагаемые законопроектом изменения устанавливают обязанность обладателей и операторов по соблюдению требований о защите информации, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, вне зависимости от места ее хранения или обработки, а также по соблюдению требований к организации и управлению системой защиты информации.
Также регулятором в пакете документов к внесению законопроекта указано, что изменения в Закон № 149-ФЗ предполагают дальнейшую разработку следующих нормативных правовых актов (далее – НПА):
- Проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17».
- Проект приказа ФСБ России, предусматривающий установление требований о защите информации, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, с использованием средств криптографической защиты информации.
Рекомендации по противодействию компьютерным атакам
«Об утверждении Методических рекомендаций по обеспечению необходимого уровня безопасности в сфере информационно-коммуникационных технологий государственных корпораций, компаний с государственным участием, а также их дочерних организаций и зависимых обществ» (далее – Приказ Минцифры № 186) официально опубликован 17 марта 2022 г.
Приказ Минцифры №186 рекомендует государственным корпорациям, компаниям с государственным участием, а также их дочерним организациям и зависимым обществам реализовать перечень мероприятий в целях противодействия компьютерным атакам.
«Об утверждении Методических рекомендаций по обеспечению необходимого уровня безопасности в сфере информационно-коммуникационных технологий государственных корпораций, компаний с государственным участием, а также их дочерних организаций и зависимых обществ» (далее – Приказ Минцифры № 186) официально опубликован 17 марта 2022 г.
Приказ Минцифры №186 рекомендует государственным корпорациям, компаниям с государственным участием, а также их дочерним организациям и зависимым обществам реализовать перечень мероприятий в целях противодействия компьютерным атакам.
В перечень мероприятий, в частности, включено:
- Обеспечение на постоянной основе реализации организационно-технических мер, предусмотренных НПА, а также методическими рекомендациями, письмами и иными документами ФСБ России и ФСТЭК России.
- Возложение на лиц из числа заместителей руководителя полномочий по обеспечению информационной безопасности, а также обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в организации.
- Принятие решения о необходимости заключения договоров на оказание услуг с экспертными организациями, имеющими соглашение с ФСБ России или НКЦКИ (т.е. необходимо рассмотреть возможность привлечения внешних центров мониторинга – SOC).
- Организация взаимодействия с операторами связи, а также экспертными организациями для обеспечения защиты от распределенных компьютерных атак типа «отказ в обслуживании» на сетевом и прикладном уровнях.
По результатам реализации рекомендаций Приказа Минцифры № 186 необходимо организовать еженедельное направление не позднее предпоследнего рабочего дня календарной недели в Минцифры России, ФСБ России и ФСТЭК России отчетов о выполнении. Также необходимо участие ответственных по информационной безопасности в соответствующих совещаниях, проводимых Минцифры России.
ФСТЭК России опубликовала «О мерах по повышению защищённости информационной инфраструктуры».
НКЦКИ также в марте 2022 г. выпустил бюллетени: с перечнем общих рекомендаций по противодействию угрозам безопасности информации; , адресованные широкому кругу российских компаний.
Профиль защиты ПО для финансового сектора
В рамках Технического комитета по стандартизации № 122 «Стандарты финансовых операций» разработан новый «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций», размещенного на официальном сайте Банка России.
Как отмечается в , в новом разделе документа изложены требования к гибкой безопасной разработке и тестированию прикладного программного обеспечения автоматизированных систем и приложений, основанные на современных гибких практиках разработки, тестирования и внедрения объекта оценки с соблюдением требований положений нормативных актов Банка России.
Снижение регуляторной и надзорной нагрузки от Банка России
В рамках Технического комитета по стандартизации № 122 «Стандарты финансовых операций» разработан новый «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций», размещенного на официальном сайте Банка России.
Как отмечается в , в новом разделе документа изложены требования к гибкой безопасной разработке и тестированию прикладного программного обеспечения автоматизированных систем и приложений, основанные на современных гибких практиках разработки, тестирования и внедрения объекта оценки с соблюдением требований положений нормативных актов Банка России.
Снижение регуляторной и надзорной нагрузки от Банка России
о комплексе мер по поддержке участников финансового рынка Банк Росси сообщает о принятии мер по снижению регуляторной и надзорной нагрузки на профессиональных участников рынка ценных бумаг, управляющих компаний, специализированных депозитариев и негосударственных пенсионных фондов. Банк России будет до 01.01.2023 воздерживаться от применения мер воздействия в отношении участников финансового рынка за нарушение требований Положения Банка России от 20.04.2021 № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Отчетность в Банк России по обеспечению защиты информации
В мартовском вестнике Банка России за 2022 г. официально опубликовано «О формах и методиках составления, порядке и сроках представления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по обеспечению защиты информации при осуществлении переводов денежных средств». Указание вступает в силу с 1 января 2023 года.
В указание включены формы и методика составления отчетности:
- по форме 0403202 «Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра». Заполняется по результатам оценки соответствия защиты информации требованиям Положения Банка России № 719-П и оценки реализации мер, предусмотренных ГОСТ Р 57580.1-2017, в соответствии с ГОСТ Р 57580.2-2018;
- по форме 0403203 «Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств».
