Автор: Татьяна Пермякова, старший аналитик
В обзоре изменений за май 2022 года рассмотрим следующие документы: Указ Президента РФ №250 и сопутствующие ему нормативные акты; эксперимент по повышению защищенности государственных информационных систем федеральных органов исполнительной власти; новый раздел Банка данных угроз и анонс новой версии Методики оценки угроз; отчеты деятельности ТК362 и новые стандарты; иные изменения и новости законодательства за май 2022.
Дополнительные требования по обеспечению ИБ
Указ Президента РФ №250
В начале мая (01.05) опубликован Указ Президента РФ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ).
Указ нацелен на повышение уровня информационной безопасности (далее – ИБ) критически важных организаций РФ: органов государственной власти, государственных фондов, госкорпораций, иных предприятий, созданных на основании федеральных законов, стратегических предприятий и акционерных обществ, системообразующих организаций экономики, субъектов критической информационной инфраструктуры (далее – КИИ).
Согласно Указу персональная ответственность за обеспечение целевого уровня ИБ в организации возлагается на заместителя руководителя организации (Правительство РФ планирует утвердить положение о таком заместителе). При этом задачи, решаемые в рамках обеспечения такого уровня ИБ, необходимо возложить на отдельное подразделение. Для решения этих задач необходимо создать отдельное подразделение или возложить ответственность за решение задач на уже существующее в организации подразделение.
Кроме того, Указ вводит зоны ответственности и права для органов исполнительной власти:
- Федеральная служба безопасности России (далее – ФСБ России) определит порядок мониторинга ИБ организаций, входящих в область действия Указа;
- Для мониторинга ИБ могут привлекаться только аккредитованные центры Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА), порядок аккредитации определяет ФСБ России (об этом далее в обзоре);
- ФСБ России также получает беспрепятственный доступ к инфраструктуре указанных организаций (в том числе удаленный).
Кроме того, Правительство РФ подготовило перечень ключевых организаций, которым необходимо до 1 июля 2022 года провести оценку текущего уровня защищенности и представить информацию о результатах такой оценки в Правительство РФ. В общем доступе перечень отсутствует, Правительством направлены отдельные уведомления каждой ключевой организации, попавшей в перечень.
К работам по оценке уровня защищенности могут привлекаться только организации, имеющие лицензию ФСТЭК России на проведение таких работ.
Более подробно положения Указа эксперты Аналитического центра УЦСБ прокомментировали в данном материале.
Центры ГосСОПКА: переходный период
Для общественного обсуждения представлен проект приказа ФСБ России «Об определении переходного периода», в котором предлагается определить период длиной в 365 календарных дней, в течение которого центры ГосСОПКА могут осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах организаций и органов, определенных в Указе Президента РФ №250.
Общественное обсуждение проекта завершилось 14 июня.
Центры ГосСОПКА: аккредитация
Также на этапе общественного обсуждения находится проект приказа ФСБ России «О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам, утвержденное приказом ФСБ России от 24 июля 2018 г. №366».
В проекте ФСБ России предлагает возложить на Национальный координационный центр по компьютерным инцидентам (НКЦКИ) функции определения порядка и проведения аккредитации центров ГосСОПКА. Отметим, что критерии и порядок такой аккредитации на данный момент не опубликован.
Общественное обсуждение проекта завершилось 14 июня.
Эксперимент по повышению уровня защищенности ГИС
16 мая опубликовано Постановление Правительства Российской Федерации от 13.05.2022 №860 «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений».
Согласно Постановлению эксперимент требуется провести в соответствии с утверждаемым Положением в период с 16.05.2022 по 30.03.2023. Ответственность за реализацию эксперимента возлагается на Министерство цифрового развития, связи и массовых коммуникаций (далее – Минцифры).
Основными целями эксперимента являются:
- проведение информационного обследования (инвентаризации) системы защиты государственных информационных систем (далее – ГИС) федеральных органов исполнительной власти (далее – ФОИВ) и подведомственных им учреждений;
- выявление существующих недостатков (проведение анализа уязвимостей, тестирования на проникновение, анализа угроз и рисков);
- получение независимой оценки текущего уровня защищенности ГИС;
- разработка перечня мер, направленных на устранение выявленных недостатков.
Постановление утверждает Положение о проведении соответствующего эксперимента, однако не приводит описания и (или) перечня конкретных мероприятий, необходимых для достижения указанных выше целей. Ответственность за разработку типового технического задания на проведение мероприятия в рамках эксперимента и его согласование со ФСТЭК России и ФСБ России возложена на Минцифры (сроки готовности технического задания Минцифры не обозначило).
Для проведения отдельных работ в рамках эксперимента Минцифры может привлекать коммерческие организации. Для участия в эксперименте ФОИВ и подведомственные им учреждения на добровольной основе могут направить в Минцифры заявку и получить ответ от Минцифры в 30-дневный срок о возможности участия в эксперименте. По окончании эксперимента Минцифры направляет информацию о результатах реализации защитных мер во ФСТЭК России и ФСБ России.
Согласно Постановлению по окончании эксперимента Минцифры должно сформировать перечень мер, направленных на нейтрализацию выявленных в рамках эксперимента недостатков (уязвимостей), сроки не обозначены.
Новый раздел БДУ
В начале мая была запущена тестовая эксплуатация нового раздела Банка данных угроз безопасности информации (далее – БДУ) ФСТЭК России. Об этом федеральная служба информирует в своем письме от 04.05.2022 № 240/22/2432 «О разработке нового раздела Банка данных угроз безопасности информации, содержащего сведения об угрозах безопасности информации».
Все желающие специалисты в области ИБ могли направить свои предложения и комментарии по доработке нового раздела ФСТЭК России. Тестовая эксплуатация завершилась 5 июня.
Новый раздел содержит сведения о объектах и компонентах воздействия, способах реализации угроз безопасности информации, уровне возможностей нарушителей и мерах защиты информации от реализации угроз. В тестовой эксплуатации принимали участие все желающие специалисты в области ИБ. На данный момент на сайте вновь доступна прежняя версия БДУ .
Кроме того, ФСТЭК России в письме информирует о скором завершении разработки новой версии Методики оценки угроз безопасности информации (далее – Методика), первая версия которой была утверждена ФСТЭК России 05.02.2021.
Федеральная служба уточняет, что модели угроз, разработанные до публикации нового раздела БДУ и редакции Методики, перерабатывать не требуется.
Изменение требований к удостоверяющим центрам
ФСБ России утвердило приказ от 13.04.2022 №179 «О внесении изменений в Требования к средствам удостоверяющего центра, утвержденные приказом ФСБ России от 27 декабря 2011 г. №796».
Приняты изменения в части изложения мер по обеспечению защиты механизма формирования меток доверенного времени при подключении средств, реализующих его, к сети Интернет, защиты от сетевых атак, вредоносного кода, обнаружения (предотвращения) вторжений, криптографической защите, а также доверенной загрузки средств вычислительной техники.
Приказ вступает в силу 1 сентября текущего года и действует до 01.01.2027.
Упрощение процедуры ввоза криптографических средств в РФ
16 мая опубликовано постановление Правительства Российской Федерации от 09.05.2022 №834 «Об установлении особенностей ввоза в Российскую Федерацию шифровальных (криптографических) средств и товаров, их содержащих».
По причине ухода из РФ многих мировых вендоров криптографических средств возник риск дефицита таких средств из-за невозможности подать заявления о нотификации. Цель Постановления – упростить порядок нотификации импортных электронных устройств, оснащенных средствами шифрования.
В соответствии с Постановлением в 2022 году при ввозе шифровальных (криптографических) средств и содержащих их товаров, включенных в перечень и ввозимых в соответствии с Положением, утвержденными Решением коллегии Евразийской экономической комиссии от 21.04.2015 №30 «О мерах нетарифного регулирования», допускается:
- оформление нотификации отраслевыми ассоциациями, перечень которых утвержден в приложении к постановлению (6 ассоциаций);
- производителям электронного оборудования и техники, включенных в перечень системообразующих организаций российской экономики, можно не предоставлять сведения о нотификации таможенным органам, если ввозимые средства являются комплектующими для промышленного производства.
Медицинский информационно-аналитический центр: новые положения ИБ
4 мая официально опубликован Приказ Министерства здравоохранения РФ от 25.03.2022 №205н «Об утверждении Типового положения о медицинском информационно-аналитическом центре».
Медицинский информационно-аналитический центр (далее – МИАЦ) является самостоятельной медицинской организацией, подведомственной органу государственной власти субъекта РФ в сфере охраны здоровья и создается в целях цифровизации сбора, обработки и анализа данных в сфере охраны здоровья. Согласно типовому положению в состав МИАЦ должен входить в том числе отдел защиты информации, в функции которого входят:
- автоматизация процессов обработки информации, техническая и технологическая поддержка медицинских организаций;
- проектирование информационных систем, в том числе систем защиты информации и систем обеспечения безопасности значимых объектов КИИ;
- организационно-методическое обеспечение при формировании требований к защите информации (в т.ч. объектов КИИ);
- подготовка организационно-распорядительных документов;
- организация работы защищенных сетей передачи данных;
- обнаружение компьютерных атак и т.д.
Отмена субсидий на разработку программы кибергигиены и повышения грамотности по вопросам ИБ
Для общественного обсуждения опубликован Проект постановления Правительства РФ «О признании утратившим силу постановления Правительства Российской Федерации от 03.02.2022 № 94 «Об утверждении Правил предоставления субсидий из федерального бюджета российскому юридическому лицу на разработку и реализацию на регулярной основе программы кибергигиены и повышения грамотности широких слоев населения по вопросам информационной безопасности» .
Напомним, что согласно Постановлению №94 Минцифры предоставляет субсидии организациям на основании конкурсного отбора. Кроме проверки требований к самой организации, Министерство в рамках конкурса оценивает разработанную организацией-конкурсантом программу по ряду критериев.
Предложение об отмене установленных правил связано с тем, что указанные программы будут разрабатываться образовательной подведомственной организацией Минцифры (уточняется в пояснительной запискек проекту).
Стандартизация в области защиты информации
Отчетность ТК 362
Опубликованы отчеты о результатах деятельности технического комитета по стандартизации «Защита информации» (далее ‑ ТК 362). Среди них отчет о результатах за 2021 год, за 1 квартал 2022 года, а также несколько промежуточных справок-докладов (последняя по состоянию на 31.05.2022).
За 2021 год:
- 4 стандарта разработаны и представлены в Федеральное агентство по техническому регулированию и метрологии (далее – Росстандарт);
- 5 проектов национальных стандартов разработаны и направлены на издательское редактирование;
- проведены работы по разработке 10 стандартов (в отчете обозначены статусы по каждому проекту);
- проведена работа по формированию рабочей группы 1 в целях разработки проектов национальных стандартов, устанавливающих требования к средствам защиты информации;
- сформирована рабочая группа 8 для обсуждения разработки национальных стандартов, регламентирующих методологию «Secure-by-Design»;
- разработана, утверждена, опубликована и направлена в Росстандарт перспективная программа работы ТК 362 на 2022-2024 годы;
- проведено 11 заседаний рабочих групп;
- проведена экспертиза 71 документа смежных технических комитетов по стандартизации;
- в состав ТК 362 включены 11 организаций, из состава исключена 1 организация и тд.
По результатам анализа работы ТК 362 в I квартале 2022:
- проводились работы по разработке и согласованию 15 проектов национальных и межгосударственных стандартов (по каждому документу приведено описание состояния работ);
- осуществлялось взаимодействие со смежными техническими комитетами по стандартизации (работа велась в отношении 5 стандартов);
- согласно плану перспективных работ проводились заседания рабочих групп, анализ активности организаций-членов ТК, организация деятельности ТК 362 (приведено описание состояния работ).
Уровни доверия идентификации – новый ГОСТ
ФСТЭК России также проинформировала о решении ТК 362 представить в Росстандарт на утверждение окончательной редакции проекта национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации». Решение было принято в феврале текущего года.
Голосование по данному вопросу проводилось по переписке.
ГОСТ Р «Интеллектуальные транспортные системы…»
На рассмотрение ТК 362 16 мая поступили следующие проекты национальных стандартов:
- ГОСТ Р «Интеллектуальные транспортные системы. Информационная безопасность. Надежность обмена данными между инфраструктурой и автомобилем»;
- ГОСТ Р «Интеллектуальные транспортные системы. Информационная безопасность. Термины и определения».
На данный момент сформирован перечень отзывов членов комитета, по заключению ТК 362 стандарты не рекомендованы к принятию в первых редакциях и требуют доработки.
Об усилении защиты персональных данных
В первом чтении принят законопроект ИТ-комитета Государственной Думы РФ об усилении защиты персональных данных (далее – ПДн).
Напомним, что законопроект предлагает ряд изменений к внесению в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»: введение роли «лица, осуществляющего обработку ПДн по поручению оператора», расширение понятия «трансграничной передачи ПДн», установление требований по оценке вреда, обязанность оператора непрерывно взаимодействовать с ГосСОПКА и т.д. Подробнее о законопроекте в обзоре изменений законодательства за апрель 2022.
Отметим, что проект по результатам рассмотрения требует доработок, срок предоставления поправок — конец июня.
Дополнительная аутентификация для пользователей ЕСИА
Правительство опубликовало Постановление от 14.05.2022 №875 «О внесении изменений в некоторые акты Правительства Российской Федерации», которое разрешает пользователям единой системы идентификации и аутентификации (ЕСИА) получать доступ к информации из государственных, муниципальных и иных информационных систем с помощью дополнительной аутентификации: через Единую биометрическую систему или с помощью СМС-кода.
Заседание Совета безопасности РФ
Совет Безопасности РФ на заседании 20 мая обсудил вопросы повышения устойчивости и безопасности функционирования информационной инфраструктуры государства, в том числе одобрил проект основ государственной политики в области обеспечения безопасности КИИ РФ