Автор: Татьяна Пермякова, старший аналитик УЦСБ
В обзоре изменений за май 2022 года рассмотрим следующие документы: Указ Президента РФ №250 и сопутствующие ему нормативные акты; эксперимент по повышению защищенности государственных информационных систем федеральных органов исполнительной власти; новый раздел Банка данных угроз и анонс новой версии Методики оценки угроз; отчеты деятельности ТК362 и новые стандарты; иные изменения и новости законодательства за май 2022.
Дополнительные требования по обеспечению ИБ
Указ Президента РФ №250
В начале мая (01.05) опубликован «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ).
Указ нацелен на повышение уровня информационной безопасности (далее – ИБ) критически важных организаций РФ: органов государственной власти, государственных фондов, госкорпораций, иных предприятий, созданных на основании федеральных законов, стратегических предприятий и акционерных обществ, системообразующих организаций экономики, субъектов критической информационной инфраструктуры (далее – КИИ).
Согласно Указу персональная ответственность за обеспечение целевого уровня ИБ в организации возлагается на заместителя руководителя организации (Правительство РФ планирует утвердить положение о таком заместителе). При этом задачи, решаемые в рамках обеспечения такого уровня ИБ, необходимо возложить на отдельное подразделение. Для решения этих задач необходимо создать отдельное подразделение или возложить ответственность за решение задач на уже существующее в организации подразделение.
Кроме того, Указ вводит зоны ответственности и права для органов исполнительной власти:
- Федеральная служба безопасности России (далее – ФСБ России) определит порядок мониторинга ИБ организаций, входящих в область действия Указа;
- Для мониторинга ИБ могут привлекаться только аккредитованные центры Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА), порядок аккредитации определяет ФСБ России (об этом далее в обзоре);
- ФСБ России также получает беспрепятственный доступ к инфраструктуре указанных организаций (в том числе удаленный).
Кроме того, Правительство РФ подготовило перечень ключевых организаций, которым необходимо до 1 июля 2022 года провести оценку текущего уровня защищенности и представить информацию о результатах такой оценки в Правительство РФ. В общем доступе перечень отсутствует, Правительством направлены отдельные уведомления каждой ключевой организации, попавшей в перечень.
К работам по оценке уровня защищенности могут привлекаться только организации, имеющие лицензию ФСТЭК России на проведение таких работ.
Более подробно положения Указа эксперты Аналитического центра УЦСБ прокомментировали .
Центры ГосСОПКА: переходный период
Для общественного обсуждения представлен , в котором предлагается определить период длиной в 365 календарных дней, в течение которого центры ГосСОПКА могут осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах организаций и органов, определенных в Указе Президента РФ №250.
Общественное обсуждение проекта завершилось 14 июня.
Центры ГосСОПКА: аккредитация
Также на этапе общественного обсуждения находится проект приказа ФСБ России .
В проекте ФСБ России предлагает возложить на Национальный координационный центр по компьютерным инцидентам (НКЦКИ) функции определения порядка и проведения аккредитации центров ГосСОПКА. Отметим, что критерии и порядок такой аккредитации на данный момент не опубликован.
Общественное обсуждение проекта завершилось 14 июня.
Эксперимент по повышению уровня защищенности ГИС
16 мая опубликовано «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений».
Согласно Постановлению эксперимент требуется провести в соответствии с утверждаемым Положением в период с 16.05.2022 по 30.03.2023. Ответственность за реализацию эксперимента возлагается на Министерство цифрового развития, связи и массовых коммуникаций (далее – Минцифры).
Основными целями эксперимента являются:
- проведение информационного обследования (инвентаризации) системы защиты государственных информационных систем (далее – ГИС) федеральных органов исполнительной власти (далее – ФОИВ) и подведомственных им учреждений;
- выявление существующих недостатков (проведение анализа уязвимостей, тестирования на проникновение, анализа угроз и рисков);
- получение независимой оценки текущего уровня защищенности ГИС;
- разработка перечня мер, направленных на устранение выявленных недостатков.
Постановление утверждает Положение о проведении соответствующего эксперимента, однако не приводит описания и (или) перечня конкретных мероприятий, необходимых для достижения указанных выше целей. Ответственность за разработку типового технического задания на проведение мероприятия в рамках эксперимента и его согласование со ФСТЭК России и ФСБ России возложена на Минцифры (сроки готовности технического задания Минцифры не обозначило).
Для проведения отдельных работ в рамках эксперимента Минцифры может привлекать коммерческие организации. Для участия в эксперименте ФОИВ и подведомственные им учреждения на добровольной основе могут направить в Минцифры заявку и получить ответ от Минцифры в 30-дневный срок о возможности участия в эксперименте. По окончании эксперимента Минцифры направляет информацию о результатах реализации защитных мер во ФСТЭК России и ФСБ России.
Согласно Постановлению по окончании эксперимента Минцифры должно сформировать перечень мер, направленных на нейтрализацию выявленных в рамках эксперимента недостатков (уязвимостей), сроки не обозначены.
Новый раздел БДУ
В начале мая была запущена тестовая эксплуатация нового раздела Банка данных угроз безопасности информации (далее – БДУ) ФСТЭК России. Об этом федеральная служба информирует в своем «О разработке нового раздела Банка данных угроз безопасности информации, содержащего сведения об угрозах безопасности информации».
Все желающие специалисты в области ИБ могли направить свои предложения и комментарии по доработке нового раздела ФСТЭК России. Тестовая эксплуатация завершилась 5 июня.
Новый раздел содержит сведения о объектах и компонентах воздействия, способах реализации угроз безопасности информации, уровне возможностей нарушителей и мерах защиты информации от реализации угроз. В тестовой эксплуатации принимали участие все желающие специалисты в области ИБ. На данный момент вновь доступна прежняя версия БДУ .
Кроме того, ФСТЭК России в письме информирует о скором завершении разработки новой версии .
Федеральная служба уточняет, что модели угроз, разработанные до публикации нового раздела БДУ и редакции Методики, перерабатывать не требуется.
Изменение требований к удостоверяющим центрам
ФСБ России утвердило «О внесении изменений в Требования к средствам удостоверяющего центра, утвержденные приказом ФСБ России от 27 декабря 2011 г. №796».
Приняты изменения в части изложения мер по обеспечению защиты механизма формирования меток доверенного времени при подключении средств, реализующих его, к сети Интернет, защиты от сетевых атак, вредоносного кода, обнаружения (предотвращения) вторжений, криптографической защите, а также доверенной загрузки средств вычислительной техники.
Приказ вступает в силу 1 сентября текущего года и действует до 01.01.2027.
Упрощение процедуры ввоза криптографических средств в РФ
16 мая опубликовано «Об установлении особенностей ввоза в Российскую Федерацию шифровальных (криптографических) средств и товаров, их содержащих».
По причине ухода из РФ многих мировых вендоров криптографических средств возник риск дефицита таких средств из-за невозможности подать заявления о нотификации. Цель Постановления – упростить порядок нотификации импортных электронных устройств, оснащенных средствами шифрования.
В соответствии с Постановлением в 2022 году при ввозе шифровальных (криптографических) средств и содержащих их товаров, включенных в и ввозимых в соответствии с , утвержденными Решением коллегии Евразийской экономической комиссии от 21.04.2015 №30 «О мерах нетарифного регулирования», допускается:
- оформление нотификации отраслевыми ассоциациями, перечень которых утвержден в приложении к постановлению (6 ассоциаций);
- производителям электронного оборудования и техники, включенных в , можно не предоставлять сведения о нотификации таможенным органам, если ввозимые средства являются комплектующими для промышленного производства.
Медицинский информационно-аналитический центр: новые положения ИБ
4 мая официально опубликован «Об утверждении Типового положения о медицинском информационно-аналитическом центре».
Медицинский информационно-аналитический центр (далее – МИАЦ) является самостоятельной медицинской организацией, подведомственной органу государственной власти субъекта РФ в сфере охраны здоровья и создается в целях цифровизации сбора, обработки и анализа данных в сфере охраны здоровья. Согласно типовому положению в состав МИАЦ должен входить в том числе отдел защиты информации, в функции которого входят:
- автоматизация процессов обработки информации, техническая и технологическая поддержка медицинских организаций;
- проектирование информационных систем, в том числе систем защиты информации и систем обеспечения безопасности значимых объектов КИИ;
- организационно-методическое обеспечение при формировании требований к защите информации (в т.ч. объектов КИИ);
- подготовка организационно-распорядительных документов;
- организация работы защищенных сетей передачи данных;
- обнаружение компьютерных атак и т.д.
Отмена субсидий на разработку программы кибергигиены и повышения грамотности по вопросам ИБ
Для общественного обсуждения опубликован «О признании утратившим силу постановления Правительства Российской Федерации от 03.02.2022 № 94 «Об утверждении Правил предоставления субсидий из федерального бюджета российскому юридическому лицу на разработку и реализацию на регулярной основе программы кибергигиены и повышения грамотности широких слоев населения по вопросам информационной безопасности» .
Напомним, что согласно Минцифры предоставляет субсидии организациям на основании конкурсного отбора. Кроме проверки требований к самой организации, Министерство в рамках конкурса оценивает разработанную организацией-конкурсантом программу по ряду критериев.
Предложение об отмене установленных правил связано с тем, что указанные программы будут разрабатываться образовательной подведомственной организацией Минцифры (уточняется в к проекту).
Стандартизация в области защиты информации
Отчетность ТК 362
Опубликованы (далее ‑ ТК 362). Среди них отчет о результатах за 2021 год, за 1 квартал 2022 года, а также несколько промежуточных справок-докладов (последняя по состоянию на 31.05.2022).
За 2021 год:
- 4 стандарта разработаны и представлены в Федеральное агентство по техническому регулированию и метрологии (далее – Росстандарт);
- 5 проектов национальных стандартов разработаны и направлены на издательское редактирование;
- проведены работы по разработке 10 стандартов (в отчете обозначены статусы по каждому проекту);
- проведена работа по формированию рабочей группы 1 в целях разработки проектов национальных стандартов, устанавливающих требования к средствам защиты информации;
- сформирована рабочая группа 8 для обсуждения разработки национальных стандартов, регламентирующих методологию «Secure-by-Design»;
- разработана, утверждена, опубликована и направлена в Росстандарт на 2022-2024 годы;
- проведено 11 заседаний рабочих групп;
- проведена экспертиза 71 документа смежных технических комитетов по стандартизации;
- в состав ТК 362 включены 11 организаций, из состава исключена 1 организация и тд.
По работы ТК 362 в I квартале 2022:
- проводились работы по разработке и согласованию 15 проектов национальных и межгосударственных стандартов (по каждому документу приведено описание состояния работ);
- осуществлялось взаимодействие со смежными техническими комитетами по стандартизации (работа велась в отношении 5 стандартов);
- согласно плану перспективных работ проводились заседания рабочих групп, анализ активности организаций-членов ТК, организация деятельности ТК 362 (приведено описание состояния работ).
Уровни доверия идентификации – новый ГОСТ
ФСТЭК России также о решении ТК 362 представить в Росстандарт на утверждение окончательной редакции проекта национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации». Решение было принято в феврале текущего года.
Голосование по данному вопросу проводилось по переписке.
ГОСТ Р «Интеллектуальные транспортные системы…»
На рассмотрение ТК 362 16 мая поступили следующие
- ГОСТ Р «Интеллектуальные транспортные системы. Информационная безопасность. Надежность обмена данными между инфраструктурой и автомобилем»;
- ГОСТ Р «Интеллектуальные транспортные системы. Информационная безопасность. Термины и определения».
На данный момент сформирован перечень отзывов членов комитета, по заключению ТК 362 стандарты не рекомендованы к принятию в первых редакциях и требуют доработки.
Об усилении защиты персональных данных
В первом чтении принят ИТ-комитета Государственной Думы РФ об усилении защиты персональных данных (далее – ПДн).
Напомним, что законопроект предлагает ряд изменений к внесению в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»: введение роли «лица, осуществляющего обработку ПДн по поручению оператора», расширение понятия «трансграничной передачи ПДн», установление требований по оценке вреда, обязанность оператора непрерывно взаимодействовать с ГосСОПКА и т.д. Подробнее о законопроекте в .
Отметим, что проект по результатам рассмотрения требует доработок, срок предоставления поправок — конец июня.
Дополнительная аутентификация для пользователей ЕСИА
Правительство опубликовало «О внесении изменений в некоторые акты Правительства Российской Федерации», которое разрешает пользователям единой системы идентификации и аутентификации (ЕСИА) получать доступ к информации из государственных, муниципальных и иных информационных систем с помощью дополнительной аутентификации: через Единую биометрическую систему или с помощью СМС-кода.
Заседание Совета безопасности РФ
Совет Безопасности РФ на заседании 20 мая вопросы повышения устойчивости и безопасности функционирования информационной инфраструктуры государства, в том числе одобрил проект основ государственной политики в области обеспечения безопасности КИИ РФ.
