УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг по ИБ и ИТ
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Комплексные системы безопасности (КСБ)
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Efros Defence Operations
    • Защищенная система управления базами данных Jatoba
    • Efros Config Inspector
    • Система диспетчеризации ЦОД DATCHECK
    • UDV ePlat4m КИИ
    • UDV DATAPK Industrial Kit
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
Продукты и услуги
  • Центр кибербезопасности
  • USSC-SOC (центр мониторинга ИБ)
  • Импортозамещение
  • Проектирование АСУ
  • 187-ФЗ
  • Консалтинг ИБ
  • Сервисная поддержка
  • DevSecOps-решение Apsafe
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Telegram
    • YouTube
    • Хабр
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Центр кибербезопасности
    • USSC-SOC (центр мониторинга ИБ)
    • Импортозамещение
    • Проектирование АСУ
    • 187-ФЗ
    • Консалтинг ИБ
    • Сервисная поддержка
    • DevSecOps-решение Apsafe
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Центр кибербезопасности
      • USSC-SOC (центр мониторинга ИБ)
      • Импортозамещение
      • Проектирование АСУ
      • 187-ФЗ
      • Консалтинг ИБ
      • Сервисная поддержка
      • DevSecOps-решение Apsafe
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг по ИБ и ИТ
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Комплексные системы безопасности (КСБ)
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Efros Defence Operations
            • Защищенная система управления базами данных Jatoba
            • Efros Config Inspector
            • Система диспетчеризации ЦОД DATCHECK
            • UDV ePlat4m КИИ
            • UDV DATAPK Industrial Kit
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Центр кибербезопасности
          • USSC-SOC (центр мониторинга ИБ)
          • Импортозамещение
          • Проектирование АСУ
          • 187-ФЗ
          • Консалтинг ИБ
          • Сервисная поддержка
          • DevSecOps-решение Apsafe
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Telegram
        • YouTube
        • Хабр
        • Главная
        • Пресс-центр
        • Новости
        • Обзор изменений в законодательстве за июль 2019

        Обзор изменений в законодательстве за июль 2019

        8 августа 2019
        Новости

        Автор: Анастасия Заведенская, аналитик

        В обзоре законодательства за июль 2019 года: ФСБ России выпустила сразу два приказа, регулирующих сферу взаимодействия с Государственной системой обнаружения предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Роскомнадзор провел День открытых дверей, приуроченный к годовщине принятия закона «О персональных данных». Минспорт России рассмотрел угрозы безопасности персональных данных в сфере физической культуры и спорта. А также несколько интересных фактов.

        Средства ГосСОПКА 

        17 июля 2019 г. официально опубликован Приказ ФСБ России от 19.06.2019 № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации» (далее – Приказ). Приказ вступил в силу 28 июля 2019 г.

        Приказ не распространяется на средства, предназначенные для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ (далее – средства ППКА). Средства ППКА применяются для операторов связи. Требования к порядку, техническим условиям установки и эксплуатации средств ППКА устанавливаются Минкомсвязь России. Приказ с данными требованиями все еще находится на стадии разработки: в 2017 году проект Приказа получил отрицательную оценку регулирующего воздействия и был повторно опубликован с изменениями в конце 2018 года.

        Приказ ФСБ России №281 распространяется на средства обнаружения, предупреждения, ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее – средства).

        Требования Приказа применимы ко всем субъектам КИИ, в том числе и к субъектам КИИ, функционирующим в банковской сфере и в иных сферах финансового рынка.

        Субъекты КИИ могут приобретать, арендовать, устанавливать и обслуживать средства, но только при наличии согласия ФСБ России. Порядок согласования и описывает Приказ.

        Субъекты КИИ обязаны предоставить не позднее чем за 45 календарных дней до даты планируемой установки средств в ФСБ России регламентированный Приказом пакет документов. Рассмотрение представленных сведений ФСБ России составляет не более 45 календарных дней.


         

        Для субъектов КИИ, функционирующих в банковской сфере или в иных сферах финансового рынка, процедура согласования с ФСБ России аналогична. После согласования с ФСБ России упомянутые ранее субъекты КИИ обязаны предоставить весь пакет документов в течение не более 5 дней в Центральный банк России.


        При изменении структурно-функциональной схемы подключения, состава или места установки средств необходимо пройти повторно процедуру согласования с надзорным органом. О любых изменениях в остальных данных, которые были направлены в ФСБ России на согласование, обязательно информировать надзорный орган в течении 5 календарных дней. Для субъектов КИИ из банковской сферы или иных сфер финансового рынка дополнительно обязательно информирование Банка России – также в течении 5 дней.

        После приема в эксплуатацию средств субъект КИИ обязан информировать в течении 5 календарных дней об этом НКЦКИ (структурное подразделение ФСБ России). Дальнейший порядок доступа к средствам определяет и обеспечивает сам субъект КИИ. А для эксплуатации и технического обслуживания может быть привлечена подрядная организация, имеющая лицензию в области защиты информации. При этом субъект КИИ обязан при отключении электропитания обеспечить работу средств или их завершение работы с автоматическим оповещением ответственных за эксплуатацию лиц.

        Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации» (далее – Приказ) также был опубликован 17 июля 2019 года. Приказ вступает в силу 28 июля 2019 г.

        Исходя из названия Приказа, можно сделать вывод, что требования Приказа применимы только к субъектам КИИ, у которых есть значимые объекты КИИ, однако это не так. Информированием ФСБ России о компьютерных инцидентах является обязательным требованием ко всем субъектам КИИ. Требования же по реагированию и ликвидации устанавливаются для субъектов КИИ, которым принадлежат значимые объекты КИИ.

        Информирование

         Приказ определяет срок, в который субъект КИИ должен проинформировать НКЦКИ:
        • не позднее 3 часов с момента обнаружения – для значимых объектов КИИ;
        • не позднее 24 часов с момента обнаружения – для не значимых объектов КИИ.

        Также в тексте Приказа учтены особенности взаимодействия субъектов КИИ, функционирующих в банковской сфере или иных сферах финансового рынка, с Банком России. Таким образом, согласно Приказу, упомянутые ранее субъекты КИИ для информирования надзорных органов о компьютерных инцидентах могут быть подключены к двум техническим инфраструктурам: к инфраструктуре НКЦКИ и (или) инфраструктуре Банка России. 

        Реагирование и ликвидация

        После поступления уведомления о включении значимых объектов КИИ в реестр субъект КИИ в течении 90 дней разрабатывает план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (далее – План).  При необходимости в План можно включить порядок привлечения к реагированию и ликвидации ФСБ России. В таком случае План необходимо разработать совместно с НКЦКИ и согласовать с ФСБ России.

        Если субъект КИИ, функционирует в банковской сфере или иных сферах финансового рынка, то в План также должен быть включен порядок привлечения представителей Банка России. Такой План и любые его изменения согласовываются с Банком России.

        Субъекты КИИ должны проводить на ежегодной основе тренировки по отработке Плана.

        О результатах по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак не позднее 48 часов должен быть проинформирован НКЦКИ и для банковской сферы и сферы иных финансовых рынков Банк России.

        И ещё немного о критической информационной инфраструктуре РФ:

        • Опубликованы методические рекомендации по категорированию объектов КИИ, принадлежащих субъектам КИИ, функционирующим в сфере связи, согласованные с ФСБ России и ФСТЭК России. Однако в данных методических рекомендациях не учтены изменения нормативно-правовой базы в области КИИ, произошедшие в первом полугодие 2019 года.
        • Внесены изменения в закон о федеральном бюджете на 2019 год и на плановый период 2020 и 2021 годов. Данные изменения необходимо учитывать при категорировании объектов КИИ в расчетах показателей экономической значимости.

        И небольшой гид, как проводить расчет по показателю № 9 из Постановление Правительства РФ от 08.02.2018 №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»:

        1. Из Федерального закона «О федеральном бюджете на 2019 и плановый период 2020 и 2021 годов» берем прогнозируемый общий объем доходов ФБ за 2019, 2020, 2021 годы. Складываем три этих значения и получаем усредненный доход за планируемый трехлетний период.
        2. Считаем ущерб как сумму недополученных доходов в бюджеты всех уровней (по тем бюджетам, куда субъект КИИ платит налоги) в результате компьютерного инцидента.
        3. Делим сумму ущерба (п.2) на усредненный доход (п.1) и умножаем на 100% – получаем значение показателя критерия значимости по п. 9 ПП 127.
        Информационная безопасность персональных данных

        Роскомнадзор разработал памятку для торговых площадок, использующих персональные данные (ПДн) участников электронных аукционов.

        Надзорный орган напоминает о необходимости руководствоваться принципом целеполагания, согласно которому ПДн, указываемые в документах не должны быть избыточными по отношению к заявленным целям их обработки.

        Стоит также отметить, что Роскомнадзор в качестве примера ПДн указывает следующий набор информации о субъекте ПДн: ФИО, СНИЛС, адрес проживания и паспортные данные. При этом в качестве меры по обезличиванию ПДн предлагается использовать в документации только фамилию и инициалы лица.

        И в подтверждение важности принципа целеполагания слайд с презентации Роскомнадзора с Дня открытых дверей, приуроченного к годовщине принятия закона «О персональных данных», прошедшего 30-31 июля 2019 года:


        P.S.:

        Наличие высшего образования по специальности или направлению подготовки «Информационная безопасность» позволяет претендовать на замещение должностей:

        • главного судебного пристава субъекта (пристава субъектов) Российской Федерации;
        • судебного пристава по обеспечению установленного порядка деятельности судов.

        10 июля 2019 года опубликован приказ Министерства спорта РФ от 13.03.2019 № 197 «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в сфере физической культуры и спорта»(далее – Приказ). Приказ вступил в силу 21 июля 2019 года.

        Минспорт России разделил актуальные угрозы безопасности ПДн на угрозы безопасности, от которых можно защититься без использования средств криптографической защиты информации (СКЗИ), и угрозы, от которых необходима защита с использованием СКЗИ.

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Центр кибербезопасности
        USSC-SOC (центр мониторинга ИБ)
        Импортозамещение
        Проектирование АСУ
        187-ФЗ
        Консалтинг ИБ
        Сервисная поддержка
        DevSecOps-решение Apsafe
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Telegram
        • YouTube
        • Хабр
        Политика конфиденциальности
        © 2025 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы