Методика оценки угроз безопасности информации
Информационным сообщением от 15 февраля 2021 г. N 240/22/690 ФСТЭК России сообщила об утверждении Методики оценки угроз безопасности информации (далее – Методика).
В связи с утверждением Методики для оценки угроз безопасности информации больше не применяются Методика определения актуальных угроз безопасности персональных данных (далее – ПДн) при их обработке в информационных системах ПДн (ФСТЭК России, 2008 г.) и Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.).
Методика обязательна к применению для систем и сетей, отнесенных к государственным и муниципальным информационным системам, информационным системам ПДн, значимым объектам критической информационной инфраструктуры (далее – КИИ), информационным системам управления производством, используемым организациями оборонно-промышленного комплекса, автоматизированным системам управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Модели угроз безопасности информации систем и сетей, разработанные и утвержденные до утверждения Методики, продолжают действовать и подлежат изменению при развитии (модернизации) соответствующих систем и сетей.
Импортозамещение в критической информационной инфраструктуре
2 февраля 2021г. Минцифры России в очередной раз представило к общественному обсуждению Проект постановления Правительства РФ «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции» (далее – Проект ПП РФ). К Проекту ПП РФ для публичного обсуждения также приложен порядок перехода на преимущественное использование российского программного обеспечения (далее – ПО), телекоммуникационного оборудования и радиоэлектронной продукции (далее при совместном упоминании – ПО и оборудование).
Напомним, что первые варианты проектов нормативно-правовых актов, направленных на импортозамещение в КИИ, были опубликованы еще в мае 2020 г. Октябрьские проекты 2020 года вовсе получили отрицательную оценку регулирующего воздействия.
В новой версии Проекта ПП РФ отказались от термина «оборудование, используемое на объектах КИИ», уточнив область действия импортозамещения: телекоммуникационного оборудования и радиоэлектронной продукции. Чтобы ПО и оборудование, используемые на объектах КИИ, соответствовали требованиям новой редакции Проекта ПП РФ они должны быть включены в единый реестр российских программ для электронных вычислительных машин и баз данных (далее – РПО) или единый реестр программ для электронных вычислительных машин и баз данных из государств – членов Евразийского экономического союза (далее – РЕП) и (или) в единый реестр российской радиоэлектронной продукции (далее – РРП). Если же ПО и оборудование, не включены в РПО (или РЕП) и (или) в РРП, субъект КИИ обязан предусмотреть для них:
- возможность модернизации российскими организациями;
- возможность гарантийного обслуживания и технической поддержки российскими организациями.
Таким образом субъект КИИ для всех объектов КИИ (независимо от присвоения им категории значимости) будет обязан:
- провести аудит существующего и (или) планируемого к созданию объекта КИИ;
- провести анализ требований, вводимых Проектом ПП РФ, и наличия аналогов используемого (планируемого к использованию) иностранного ПО и оборудования, включенных в РПО, РЕП и (или) РРП;
- провести анализ текущих сроков амортизации телекоммуникационного оборудования и радиоэлектронной продукции и срока действия прав на использование ПО для не включенных в РПО, РЕП и (или) РРП;
- по результатам проведенного анализа направить на согласование перечень используемых и (или) планируемых к использованию иностранных ПО и оборудования с кратким обоснованием предъявляемых требований: в части ПО в Минцифры России; в части телекоммуникационного оборудования и радиоэлектронной продукции в Минпромторг России;
- с учетом проведенного анализа и при наличии (в случае необходимости) согласования Минцифры России и (или) Минпромторга России определить перечень потенциального российского ПО и оборудование продукции для дальнейшего перехода на его использование;
- по итогам реализованных мероприятий, с учетом сроков перехода на преимущественное использование ПО и оборудование, подготовить и до 1 июля 2021 г. (утвердить план перехода на преимущественное использование российского ПО и оборудование (далее – План);
- в течение 30 рабочих дней с момента утверждения Плана направить копию Плана в Минцифры России и Минпромторг России.
Экономическая значимость объектов критической информационной инфраструктуре
ФСТЭК России в феврале 2021 года был опубликован Проект методических рекомендаций по оценке показателей критериев экономической значимости объектов КИИ (далее – Проект рекомендаций).
Проект рекомендаций определяет методические подходы к оценке показателей критериев экономической значимости объектов КИИ, проводимой в соответствии с Правилами категорирования объектов КИИ, утвержденными Постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
Следует отметить, что по Постановлению Правительства РФ от 13.04.2019 №452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. №127» субъекты КИИ, являющиеся государственными органами или учреждениями, должны были закончить процесс категорирования до 1 сентября 2020 г. Однако Проект рекомендаций публикуется впервые. Также, исходя из Проекта рекомендаций, регулятор считает, что показатель ущерба бюджетам Российской Федерации применим ко всем субъектам КИИ.
Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении
Информационным сообщением от 10 февраля 2021 г. N 240/24/647 ФСТЭК России сообщает о разработке новой редакции Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении (далее – Методика выявления уязвимостей и НДВ).
Методика выявления уязвимостей и НДВ предназначена для организаций, осуществляющих создание специализированных средств защиты информации, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств. Методика выявления уязвимостей и НДВ носит ограничительную пометку «ДСП» и предоставляет ФСТЭК России по мотивированному запросу.