Анастасия Заведенская, старший аналитик
Наталья Григорьева, помощник аналитика
Выявление и устранение уязвимости Log4j
ФСТЭК России 21 декабря опубликовала информационное сообщение от 21 декабря 2021 г. № 240/22/6319 о выявлении и устранении уязвимостей компонента JNDI (Java Naming and Directory Interface) библиотеки apache Log4j.
В сообщении приводится перечень мероприятий по устранению выявленной уязвимости (обновление библиотек) и комплекс компенсирующих мер в случае невозможности установить обновление. Стоит отметить, что ФСТЭК России адресует указанные рекомендации федеральным органам исполнительной власти в отношении государственных информационных систем, находящихся в их ведении.
Изменения в Правила категорирования объектов критической информационной инфраструктуры
Постановление Правительства Российской Федерации от 24.12.2021 №2431 «О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации» (далее – ПП РФ) официально опубликовано28 декабря 2021 г. Изменения вступают в силу 4 января 2022 г.
ПП РФ определяет порядок информирования субъектом критической информационной инфраструктуры (далее – КИИ) ФСТЭК России об изменении сведений об объекте КИИ в печатном и электронном виде не позднее 20 рабочих дней. Сведения будет необходимо отправить повторно по форме, установленной Приказом ФСТЭК России от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
Второе изменение, вносимое ПП РФ, обязует государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, осуществлять мониторинг предоставления субъектами КИИ актуальных и достоверных сведений об объектах КИИ.
План разработки ФСТЭК России нормативных правовых актов на 2022 год
ФСТЭК России 1 декабря опубликовала выписку из плана разработки ФСТЭК России нормативных правовых актов на 2022 год.
В плане есть проекты актов Президента РФ и проекты актов ФСТЭК России. Многие проекты относятся к лицензированию деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации. Однако планируются и изменения в Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Формы документов, используемые ФСБ России в процессе лицензирования
ФСБ России 10 декабря опубликовала проект приказа «Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» (далее – проект Приказа ФСБ России).
В проекте Приказа ФСБ России планируется утвердить формы документов, используемых ФСБ России в процессе лицензирования, и оценочные листы, применяемые при осуществлении оценки соответствия соискателя лицензии (лицензиата) лицензионным требованиям.
Формы оценочных листов ФСТЭК России для проведения оценки соответствия соискателя лицензии или лицензиата лицензионным требованиям
ФСТЭК России 3 декабря опубликовала проекты приказов «Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации» и «Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации» (далее – проекты Приказов ФСТЭК России).
Оба проекта Приказов ФСТЭК России содержат списки контрольных вопросов, ответы на которые должны свидетельствовать о соответствии (несоответствии) соискателя лицензии или лицензиата лицензионным требованиям.
Список контрольных вопросов для проверок соблюдения требований в области обработки персональных данных
Роскомнадзор 2 декабря опубликовал проект приказа «Об утверждении форм проверочных листов (списков контрольных вопросов), используемых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при проведении выездной проверки при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных» (далее – проект Приказа Роскомнадзора).
В проекте Приказа Роскомнадзора приводятся два варианта проверочных листов:
- для юридических лиц, физических лиц и индивидуальных предпринимателей;
- для оператора, являющегося государственным или муниципальным органом.
Требования по защите информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке
Банк России 20 декабря опубликовал проект приказа «Об установлении обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, требований к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, за исключением требований к обеспечению защиты информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами» (далее – проект Банка России).
Основные требования по защите информации устанавливаются для бюро кредитных историй. Отметим, что по проекту Банка России лица, оказывающие профессиональные услуги на финансовом рынке (за исключением бюро кредитных историй) вправе принять решение о необходимости соблюдения в отношении объектов информационной инфраструктуры требований ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее – ГОСТ Р 57580.1-2017), соответствующих минимальному уровню защиты информации. Квалифицированные бюро кредитных историй должны соблюдать требования ГОСТ Р 57580.1-2017, соответствующие стандартному уровню защиты информации; бюро кредитных историй, не являющиеся квалифицированными – минимальному уровню. Также бюро кредитных историй должны осуществлять оценку соответствия уровня защиты информации в соответствии с требованиями ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».
Основные направления цифровизации финансового рынка
Банк России опубликовал проект «Основных направлений цифровизации финансового рынка на период 2022-2024 годов». Часть направлений определяют, чем Банк России будет заниматься в области информационной безопасности (далее – ИБ) в указанный временной промежуток. Концентрация усилий будет сосредоточена на обеспечении высокого качества аутентификации клиентов и возможности широкого использования облачной электронной подписи. Всего выделено 6 направлений по ИБ:
- обеспечение возможности использования сервиса облачной усиленной квалифицированной электронной подписи (далее – УКЭП) участниками финансового рынка;
- обеспечение всех надзорных организаций УКЭП;
- формирование среды доверия при удаленном предоставлении финансовых услуг и сервисов;
- снижение уровня потерь по операциям, совершаемым с использованием дистанционных каналов обслуживания, включая социальную инженерию;
- внедрение института киберучений как основного механизма стресс-тестирования при осуществлении надзора в части оценки киберрисков;
- развитие информационного обмена ФинЦЕРТ с участниками кредитно-финансовой сферы в части противодействия компьютерным атакам.
Национальная система управления данными
Проект федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» в части формирования национальной системы управления данными» (далее – проект ФЗ) был опубликован 7 декабря.
Согласно проекту ФЗ под национальной системой управления данными (далее – НСУД) будет подразумеваться совокупность взаимосвязанных методологических, правовых, организационно-управленческих и информационно-технологических компонентов, обеспечивающих эффективное управление данными НСУД на федеральном, региональном и муниципальном уровне.
Также в проекте ФЗ предлагается дать новую трактовку понятиям:
- «информация»;
- «обладатель информации»;
- «документированная информация»;
- «оператор информационной системы».
И ввести ряд новых понятий:
- «государственные данные»;
- «информационная система публичного сектора»;
- «эталонные данные НСУД»;
- «вид данных НСУД»;
- «модель данных НСУД» и др.
Предлагается дополнить Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» статьями «Обязанности оператора информационной системы публичного сектора» и «Национальная система управления данными».
Порядок обращения с документами для служебного пользования
Минцифры России 1 декабря опубликовало проект приказа «Об утверждении Положения о порядке обращения с документами для служебного пользования» (далее – проект приказа Минцифры России).
Проектом приказа Минцифры России планируется признать утратившим силу постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности» и ввести новое положение о порядке обращения с документами для служебного пользования.