1. Главная
  2. Публикации
  3. Обзор изменений в законодательстве КИИ за май 2022

Обзор изменений в законодательстве КИИ за май 2022

21 июня 2022
2

Автор: Татьяна Пермякова, старший аналитик

В обзоре изменений законодательства РФ в области критической информационной инфраструктуры за май 2022 года рассмотрим следующие нововведения: Указ Президента РФ №250 и сопутствующие ему нормативные акты; переходный период и аккредитация центров Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак; стенограмма заседания Совета безопасности РФ: о проекте основ государственной политики в области обеспечения безопасности КИИ РФ.


Дополнительные требования по обеспечению ИБ

Указ Президента РФ №250

В начале мая (01.05) опубликован Указ Президента РФ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ).

Указ нацелен на повышение уровня информационной безопасности (далее – ИБ) критически важных организаций РФ: органов государственной власти, государственных фондов, госкорпораций, иных предприятий, созданных на основании федеральных законов, стратегических предприятий и акционерных обществ, системообразующих организаций экономики, субъектов критической информационной инфраструктуры (далее – КИИ).

Согласно Указу персональная ответственность за обеспечение целевого уровня ИБ в организации возлагается на заместителя руководителя организации (Правительство РФ планирует утвердить положение о таком заместителе). При этом задачи, решаемые в рамках обеспечения такого уровня ИБ, необходимо возложить на отдельное подразделение. Для решения этих задач необходимо создать отдельное подразделение или возложить ответственность за решение задач на уже существующее в организации подразделение.

Кроме того, Указ вводит зоны ответственности и права для органов исполнительной власти:

  • Федеральная служба безопасности России (далее – ФСБ России) определит порядок мониторинга ИБ организаций, входящих в область действия Указа;
  • Для мониторинга ИБ могут привлекаться только аккредитованные центры Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА), порядок аккредитации определяет ФСБ России (об этом далее в обзоре);
  • ФСБ России также получает беспрепятственный доступ к инфраструктуре указанных организаций (в том числе удаленный).

Кроме того, Правительство РФ подготовило перечень ключевых организаций, которым необходимо до 1 июля 2022 года провести оценку текущего уровня защищенности и представить информацию о результатах такой оценки в Правительство РФ. В общем доступе перечень отсутствует, Правительством направлены отдельные уведомления каждой ключевой организации, попавшей в перечень.

К работам по оценке уровня защищенности могут привлекаться только организации, имеющие лицензию ФСТЭК России на проведение таких работ.

Более подробно положения Указа прокомментировали эксперты Аналитического центра УЦСБ.


Центры ГосСОПКА: переходный период

Для общественного обсуждения представлен проект приказа ФСБ России «Об определении переходного периода», в котором предлагается определить период длиной в 365 календарных дней, в течение которого центры ГосСОПКА могут осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах организаций и органов, определенных в Указе Президента РФ №250.

Общественное обсуждение проекта завершилось 14 июня.


Центры ГосСОПКА: аккредитация

Также на этапе общественного обсуждения находится проект приказа ФСБ России «О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам, утвержденное приказом ФСБ России от 24 июля 2018 г. ‎№366».

В проекте ФСБ России предлагает возложить на Национальный координационный центр по компьютерным инцидентам (НКЦКИ) функции определения порядка и проведения аккредитации центров ГосСОПКА. Отметим, что критерии и порядок такой аккредитации на данный момент не опубликован.

Общественное обсуждение проекта завершилось 14 июня.


Заседание Совета безопасности РФ

Совет Безопасности РФ на заседании 20 мая обсудил вопросы повышения устойчивости и безопасности функционирования информационной инфраструктуры государства, в том числе одобрил проект основ государственной политики в области обеспечения безопасности КИИ РФ.