Обзор изменений в законодательстве за май 2024 года

В обзоре изменений за май 2024 года рассмотрим следующие темы:

1.      Критическая информационная инфраструктура

Опубликован приказ Минэнерго России, согласно которому к обеспечению безопасности значимых объектов КИИ, функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления предъявляются дополнительные требования.

ФСТЭК России опубликовала Методику оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ. Показатель, расчет которого описан в Методике, характеризует степень достижения организацией минимально необходимого уровня защиты информации от типовых актуальных угроз безопасности информации.

2.      Безопасность финансовых организаций

Банк России опубликовал Условия по защите информации для участников платформы цифрового рубля и Указания о порядке осуществления Банком России контроля перехода кредитных и некредитных финансовых организаций на российское ПО на значимых объектах КИИ.

3.      Иное

Принятые НПА включают расширенный перечень сведений, включаемых в реестр иностранных агентов, требования к схеме пропуска трафика через средства противодействия угрозам сети «Интернет» и сети связи общего пользования, правила размещения информации в системе координации информации.

Предложены проекты требований по включению в перечень провайдеров хостинга, требования по защите информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к сети «Интернет», также предложено включить провайдеров хостинга в перечень пользователей национальной системы доменных имен.

4.      Стандартизация

Опубликована справка-доклад за апрель о ходе работ по плану ТК 362 на 2024 год.

Критическая информационная инфраструктураДополнительные требования к значимым объектам КИИ в сфере энергетики

Министерство энергетики Российской Федерации (далее – РФ) опубликовало приказ от 26.12.2023 № 1215 «Об утверждении дополнительных требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике».

Требования распространяются на дистанционное управление:

выключателями, разъединителями, заземляющими разъединителями, технологическим режимом работы электросетевого оборудования и устройствами релейной защиты и автоматики;

активной и реактивной мощностью:

генерирующего оборудования ветровых и солнечных электростанций;

гидравлических электростанций установленной генерирующей мощностью менее 50 МВт;

активной мощностью:

гидравлических и гидроаккумулирующих электростанций;

тепловых электростанций.

С учетом особенностей функционирования таких объектов устанавливаются следующие дополнительные требования:

обеспечить защиту трафика команд дистанционного управления между диспетчерским центром и объектами электроэнергетики, между диспетчерским центром и центром управления сетями, посредством применения:

виртуальных локальных сетей в локальной сети объекта электроэнергетики;

криптографической защиты трафика команд дистанционного управления;

установить защищенное соединение с использованием средств криптографической защиты информации (далее – СКЗИ) между:

устройствами телемеханики (или серверами обработки команд дистанционного управления) и устройствами передачи команд дистанционного управления диспетчерского центра;

сетевым оборудованием локальной вычислительной сети объекта электроэнергетики и криптошлюзом диспетчерского центра;

запретить доступ из сети «Интернет» в сегмент технологических сетей связи, используемых для осуществления дистанционного управления;

организовать взаимодействие технологических сетей связи, используемых для осуществления дистанционного управления, с внешними выделенными сетями связи через межсетевой экран;

обеспечить в используемых для реализации дистанционного управления программно-аппаратных комплексах (далее – ПАК), системах и в сегментах технологических сетей связи:

целостность передаваемого трафика команд дистанционного управления;

межсетевое экранирование;

антивирусную защиту и регулярное обновление баз данных сигнатур;

применять средства защиты информации (далее – СрЗИ), встроенные в программное обеспечение (далее – ПО) или программно-аппаратные средства (при наличии таких СрЗИ);

в отношении ПО, используемого для реализации дистанционного управления из диспетчерских центров, должно быть реализовано:

наличие процедур отслеживания, исправления обнаруженных ошибок и уязвимостей ПО;

определение способов и сроков доведения организациями — разработчиками или производителями ПО до его пользователей информации об уязвимостях ПО, о компенсирующих мерах по защите информации или ограничениях по применению ПО, о способах получения пользователями ПО обновлений, проверки их целостности и подлинности.

Приказ вступает в силу 1 сентября 2024 года и будет действовать до 1 сентября 2030 года.

Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов КИИ

2 мая 2024 года на сайте Федеральной службы по техническому и экспортному контролю России (далее – ФСТЭК России) был опубликован методический документ «Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ РФ» (далее – Методика).

Методика применяется для оценки текущего состояния защиты информации или обеспечения безопасности объектов КИИ, для разработки на основе такой оценки мер по повышению уровня защищенности, а также оценки эффективности деятельности лиц, ответственных за обеспечение информационной безопасности (далее – ИБ) организации.

Основным критерием оценки является показатель, который характеризует степень достижения организацией минимально необходимого уровня защиты информации от типовых актуальных угроз безопасности информации. Методика содержит нормированное значение показателя, порядок его расчета и оценки.

Оценка показателя защищенности включает:

сбор и анализ исходных данных, необходимых для оценки показателя;

оценку значений частных показателей безопасности;

расчет значения показателя и его сравнение с нормированным значением.

В качестве исходных данных рассматриваются:

акты, протоколы, иные документы, составленные по результатам государственного контроля в области защиты информации или внутреннего контроля уровня защищенности информации;

внутренние организационно-распорядительные документы;

эксплуатационная документация на СрЗИ, сведения об их настройках и конфигурации;

результаты инвентаризации информационных систем (далее – ИС);

результаты интервьюирования работников о выполнении ими задач с использованием ИС;

результаты анализа функционирования (применения) отдельных программных, программно-аппаратных средств ИС;

результаты работы инструментальных средств оценки защищенности ИС или мониторинга ИБ и иное.

Методика содержит таблицу, содержащую сведения для определения значений частных показателей безопасности, а также формулу расчета показателя. Частные показатели безопасности сгруппированы следующим образом:

организация и управление;

защита пользователей;

защита ИС;

мониторинг ИБ и реагирование.

Итоговый результат оценки значения показателя представлен в таблице ниже:

Значение показателя Кзи

Состояние защиты информации

Кзи = 1

Обеспечивается минимальный уровень защиты от типовых актуальных угроз безопасности информации

0,75 < Кзи < 1

Минимальный уровень защиты не обеспечивается, имеются предпосылки реализации актуальных угроз безопасности информации

Кзи ≤ 0.75

Минимальный уровень защиты не обеспечивается, имеется реальная возможность реализации актуальных угроз безопасности информации

При значении показателя меньше 1 необходимо разработать план реализации мероприятий по достижению следующего уровня защиты от актуальных угроз. Рекомендуется проводить оценку показателя не реже 1 раза в полгода в отношении всех систем, подлежащих защите. Внеочередная оценка показателя защищенности проводится в случаях:

возникновения инцидента ИБ, повлекшего наступление негативных последствий;

изменения архитектуры ИС;

запроса руководителя организации о текущем значении показателя защищенности;

запроса ФСТЭК России.

До введения в действие нормативных правовых актов, устанавливающих требования по оценке показателя, применение Методики не является обязательным.

Безопасность финансовых организацийЗащита информации для участников платформы цифрового рубля

Центральный банк РФ (далее – Банк России) опубликовал Условия по защите информации для участников платформы цифрового рубля (далее – Условия). Выполнение Условий является обязательным для участников платформы цифрового рубля, которые являются кредитными организациями (далее – Клиенты).

Открытие счета цифрового рубля и предоставление доступа к платформе цифрового рубля осуществляются при условии готовности выполнения Клиентами установленных требований к обеспечению защиты информации. Подтверждением готовности выполнения требований является Акт о готовности выполнения Клиентом требований, который содержит:

перечень объектов информационной инфраструктуры, используемых при совершении операций с цифровым рублем, размещенных в выделенных сегментах вычислительных сетей Клиента;

подтверждение, что во внутренних документах клиента определены:

состав организационных мер защиты информации, состав технических СрЗИ и порядок их использования;

порядок подготовки, обработки, передачи и хранения электронных сообщений, связанных с осуществлением операций с цифровыми рублями и защищаемой информации;

список лиц, допущенных к работе с СКЗИ, ответственных за обеспечение функционирования и безопасности СКЗИ, обладающих правами по управлению криптографическими ключами;

состав технологических мер защиты информации, используемых для контроля целостности, подтверждения подлинности и обеспечения конфиденциальности электронных сообщений;

подтверждение обеспечения защиты электронных сообщений при передаче:

между Клиентом и оператором платформы;

между пользователем платформы и Клиентом;

подтверждение реализации иных требований по защите информации.

Условия вступают в силу 1 января 2025 года.

Контроль перехода на российское ПО на значимых объектах КИИ кредитных и некредитных финансовых организаций

Банк России опубликовал Указания:

для кредитных организаций от 05.02.2024 № 6679-У;

для некредитных финансовых организаций от 05.02.2024 № 6680-У, которые устанавливают порядок контроля Банком России реализации планов по переходу на преимущественное использование российского ПО, радиоэлектронной продукции и телекоммуникационного оборудования на значимых объектах КИИ, принадлежащих кредитным и некредитным финансовым организациям (далее – План перехода).

Банк России осуществляет мониторинг за соблюдением реализации Планов перехода на основании:

отчетности организации;

информации о реализации плана мероприятий, предоставляемой в ответ на запрос Банка России;

плана мероприятий.

Мониторинг закупок иностранного ПО осуществляется на основании:

отчетности организации;

информации об осуществлении закупок, предоставляемой в ответ на запрос;

заявок на согласование закупок, предусмотренных Федеральным законом от 10.07.2002 №86-ФЗ «О Центральном банке РФ (Банке России)», а также документов и информации, прилагаемых организацией к заявкам на закупки.

Банк России направляет запрос о предоставлении информации в последний месяц каждого квартала в личном кабинете на официальном сайте Банка России. Ответ на направляется путем его размещения в личном кабинете в течение 10 рабочих дней после получения запроса.

В Указаниях представлены рекомендуемые формы направления ответов на запросы Банка России. При предоставлении информации о реализации Плана перехода рекомендуется указывать:

перечень принадлежащих организации значимых объектов КИИ, на которых используются российское ПО, с указанием:

технологических процессов из Положения Банка России от 15.11.2021 № 779-П и Положения Банка России от 12.01.2022 № 787-П, для реализации которых используются значимые объекты КИИ;

наименований значимых объектов КИИ;

категорий значимости;

доменного имени и адреса официального сайта (при наличии) разработчика значимых объектов КИИ;

функционального назначения значимых объектов КИИ;

перечень используемого ПО, радиоэлектронной продукции и телекоммуникационного оборудования с указанием:

технологических процессов, для реализации которых они используются;

доменного имени и адреса официального сайта разработчика (при наличии);

наименований, версии и класса;

информации о наличии ПО в Реестре российского ПО или в Реестре евразийского ПО;

информации о наличии радиоэлектронной продукции и телекоммуникационного оборудования в Едином реестре российской радиоэлектронной продукции;

перечень реализованных мероприятий из Плана перехода и иное.

Указания начали действовать с 28 мая 2024 года.

ИноеСхема пропуска трафика через средства противодействия угрозам сети «Интернет» и сети связи общего пользования

Правительство РФ опубликовало постановление от 23.05.2024 № 639 «Об утверждении Положения о схеме пропуска трафика через технические средства противодействия угрозам устойчивости, безопасности и целостности функционирования на территории РФ информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования, в том числе пропуска трафика на присоединенную сеть связи оператора связи, оказывающего услуги по предоставлению доступа к сети «Интернет», согласно которому схема пропуска трафика должна содержать сведения о:

планируемых маршрутах пропуска трафика;

местах размещения средств связи, местах установки технических средств противодействия угрозам устойчивости, безопасности и целостности функционирования сети «Интернет» и сети связи общего пользования;

планируемых подключениях сети связи заявителя к точкам обмена трафиком;

присоединениях сети связи заявителя к другим сетям связи с указанием взаимодействующих сетей, точек присоединения, в том числе другого оператора связи, к сети связи которого планируется осуществить присоединение;

планируемой пропускной способности линий связи;

типах конечных интерфейсов присоединения;

технических характеристиках средств связи (монтируемая емкость, интерфейсы взаимодействия, пропускная способность каналов передачи данных), планируемых к размещению в сооружениях связи.

Схема может быть представлена в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) в электронном виде или на бумажном носителе следующими способами:

через личный кабинет на официальном сайте Роскомнадзора;

через личный Единый портал государственных и муниципальных услуг;

заказным почтовым отправлением с уведомлением о вручении;

предоставить на бумажном носителе в Роскомнадзор.

Также в постановлении определен порядок согласования схемы, внесения изменений, сроки согласования, а также основания для отказа в согласовании.

Постановление вступает в силу с 1 сентября 2024 года.

Защита информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к сети «Интернет»

Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) представило для общественного обсуждения проект приказа «Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к сети «Интернет», операторам государственных ИС, муниципальных ИС, ИС государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений».

Провайдер хостинга при предоставлении вычислительной мощности операторам ИС обязан соблюдать:

требования о защите информации, закрепленные в приказе Минцифры России от 01.11.2023 № 936;

требования к вычислительной мощности, закрепленные в приказе Минцифры России от 01.11.2023 № 935;

требования о защите информации, содержащейся в государственных ИС, в соответствии с приказом ФСТЭК России от 11.02.2013 №17 и приказом ФСБ России от 24.10.2022 № 524;

Публичное обсуждение завершится 17 июня 2024 года. Планируется, что приказ вступит в силу с 1 сентября 2024 года.

Требования по включению в перечень провайдеров хостинга

Правительство РФ опубликовало проект постановления «Об утверждении Правил включения сведений о провайдере хостинга в перечень провайдеров хостинга, предоставляющих вычислительные мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет», операторам государственных ИС, муниципальных ИС, ИС государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений, а также исключения таких сведений из него».

В заявлении для включения в перечень провайдер хостинга должен предоставить заявление, а также документы, подтверждающие соблюдение требований:

о защите информации, закрепленных в приказе Минцифры России от 01.11.2023 № 936;

к вычислительной мощности, закрепленных в приказе Минцифры России от 01.11.2023 № 935;

о защите информации, содержащейся в государственных ИС, в соответствии с приказом ФСТЭК России от 11.02.2013 №17 и приказом ФСБ России от 24.10.2022 № 524.

Правила размещения информации в системе координации информации

26 мая вступил в силу приказ Минцифры России от 16.01.2024 № 15 «Об утверждении Правил размещения информации в федеральной государственной ИС координации информатизации» (далее – Правила).

Приказом признается утратившим силу аналогичный приказ от 11.02.2016 № 44, а также устанавливается новый порядок размещения информации в системе. Система координации информации используется в том числе для осуществления контроля за соблюдением требований, предусмотренных Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» к размещению технических средств ИС, используемых субъектами системы координации.

Правилами регламентированы порядок и способы размещения информации в системе, требования к подписи и форме предоставления данных, а также требования к лицам, организующим размещение информации.

Включение провайдеров хостинга в перечень пользователей национальной системы доменных имен

Роскомнадзор представил для общественного обсуждения проект приказа «О внесении изменений в приказ Роскомнадзора ‎от 31.07.2019 № 229 «Об утверждении Положения о национальной системе доменных имен, требований к ней, порядка ее создания, в том числе формирования информации, содержащейся в ней, а также правил ‎ее использования, включая условия и порядок предоставления ‎доступа к информации (далее – Положение)».

Проектом планируется ограничить срок действия приказа до 1 сентября 2030 года, а также включить провайдеров хостинга в перечень пользователей национальной системы доменных имен.

Планируется, что приказ вступит в силу с 1 сентября 2024 года.

СтандартизацияДеятельность ТК 362

На официальном сайте ФСТЭК России опубликована апрельская справка-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее –  ТК 362) на 2024 год.

ТК 362 были проведены следующие работы:

в рамках публичного обсуждения рассмотрены организациями-членами ТК 362 проекты:

ГОСТ Р «Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения»;

ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации»;

ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»;

ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;

ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом»;

представлены председателю и руководителям организаций-членов ТК 362 результаты анализа работы и активности организаций-членов ТК 362 в I квартале 2024 года;

для принятия решения об организации публичного обсуждения представлены проекты:

ГОСТ Р 52447 «Защита информации. Техника защиты информации. Классификация средств защиты информации от несанкционированного доступа и номенклатура показателей качества»;

ГОСТ Р «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования»;

проект ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения» дорабатывается по замечаниям;

разработана окончательная редакция проекта ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» и другое.

Автор: Любовь Лобачева, аналитик

Источник: habr.com