Автор: Татьяна Пермякова, старший аналитик
В обзоре изменений законодательства РФ в области критической информационной инфраструктуры за май 2022 года рассмотрим следующие нововведения: Указ Президента РФ №250 и сопутствующие ему нормативные акты; переходный период и аккредитация центров Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак; стенограмма заседания Совета безопасности РФ: о проекте основ государственной политики в области обеспечения безопасности КИИ РФ.
Дополнительные требования по обеспечению ИБ
Указ Президента РФ №250
В начале мая (01.05) опубликован Указ Президента РФ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ).
Указ нацелен на повышение уровня информационной безопасности (далее – ИБ) критически важных организаций РФ: органов государственной власти, государственных фондов, госкорпораций, иных предприятий, созданных на основании федеральных законов, стратегических предприятий и акционерных обществ, системообразующих организаций экономики, субъектов критической информационной инфраструктуры (далее – КИИ).
Согласно Указу персональная ответственность за обеспечение целевого уровня ИБ в организации возлагается на заместителя руководителя организации (Правительство РФ планирует утвердить положение о таком заместителе). При этом задачи, решаемые в рамках обеспечения такого уровня ИБ, необходимо возложить на отдельное подразделение. Для решения этих задач необходимо создать отдельное подразделение или возложить ответственность за решение задач на уже существующее в организации подразделение.
Кроме того, Указ вводит зоны ответственности и права для органов исполнительной власти:
- Федеральная служба безопасности России (далее – ФСБ России) определит порядок мониторинга ИБ организаций, входящих в область действия Указа;
- Для мониторинга ИБ могут привлекаться только аккредитованные центры Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА), порядок аккредитации определяет ФСБ России (об этом далее в обзоре);
- ФСБ России также получает беспрепятственный доступ к инфраструктуре указанных организаций (в том числе удаленный).
Кроме того, Правительство РФ подготовило перечень ключевых организаций, которым необходимо до 1 июля 2022 года провести оценку текущего уровня защищенности и представить информацию о результатах такой оценки в Правительство РФ. В общем доступе перечень отсутствует, Правительством направлены отдельные уведомления каждой ключевой организации, попавшей в перечень.
К работам по оценке уровня защищенности могут привлекаться только организации, имеющие лицензию ФСТЭК России на проведение таких работ.
Более подробно положения Указа прокомментировали эксперты Аналитического центра УЦСБ.
Центры ГосСОПКА: переходный период
Для общественного обсуждения представлен проект приказа ФСБ России «Об определении переходного периода», в котором предлагается определить период длиной в 365 календарных дней, в течение которого центры ГосСОПКА могут осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах организаций и органов, определенных в Указе Президента РФ №250.
Общественное обсуждение проекта завершилось 14 июня.
Центры ГосСОПКА: аккредитация
Также на этапе общественного обсуждения находится проект приказа ФСБ России «О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам, утвержденное приказом ФСБ России от 24 июля 2018 г. №366».
В проекте ФСБ России предлагает возложить на Национальный координационный центр по компьютерным инцидентам (НКЦКИ) функции определения порядка и проведения аккредитации центров ГосСОПКА. Отметим, что критерии и порядок такой аккредитации на данный момент не опубликован.
Общественное обсуждение проекта завершилось 14 июня.
Заседание Совета безопасности РФ
Совет Безопасности РФ на заседании 20 мая обсудил вопросы повышения устойчивости и безопасности функционирования информационной инфраструктуры государства, в том числе одобрил проект основ государственной политики в области обеспечения безопасности КИИ РФ.