1. Главная
  2. Публикации
  3. Обзор изменений в законодательстве за июнь 2023

Обзор изменений в законодательстве за июнь 2023

6 июля 2023
1161
В обзоре изменений законодательства в области критической информационной инфраструктуры за июнь 2023 года рассмотрим: изменения в указ Президента РФ № 250 и приказ ФСТЭК России № 235, порядок мониторинга защищенности от ФСБ России, дополнительные сферы деятельности субъектов критической информационной инфраструктуры, импортонезависимость значимых объектов критической информационной инфраструктуры финансовых организаций, а также конфискация за неправомерное воздействие на критическую информационную инфраструктуру.

 

Указ 250

Мониторинг защищённости информационных ресурсов органов и организаций

Официально опубликован приказ Федеральной службы безопасности Российской Федерации от 11.05.2023 № 213 «Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими».

Согласно приказу, мониторинг защищенности осуществляется Центром защиты информации и специальной связи Федеральной службы безопасности Российской Федерации (далее – ФСБ России) в отношении информационных систем, автоматизированных систем управления и информационно-телекоммуникационных сетей, подключенных к сети Интернет или сопряженных с ней.

Для осуществления мониторинга субъекты критической информационной инфраструктуры (далее – КИИ), входящие в область действия приказа, должны направить в срок до 1 сентября 2023 года на адрес электронной почты monitoring@fsb.ru следующие сведения:

  • о доменных именах и внешних сетевых адресах информационных ресурсов;

  • об адресах электронной почты, используемых для переписки с органами безопасности по вопросам осуществления мониторинга.

В случае изменения указанных сведений необходимо отправить актуальную информацию на тот же адрес в срок не позднее 7 рабочих дней с момента изменений.

В рамках мониторинга осуществляется:

  • сбор и анализ сведений об информационных ресурсах;

  • выявление функционирующих сервисов и обнаружение уязвимостей (удаленно);

  • оценка защищенности информационных ресурсов.

Мероприятия в рамках мониторинга осуществляются в том числе на основании результатов мероприятий, проведенных центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА).


Изменения в Указ 250

Для общественного обсуждения опубликован проект указа Президента РФ
«О внесении изменений в Указ Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ).

Проектом предлагается дополнить Указ следующими пунктами:

  • необходимость информирования ФСБ России о компьютерных инцидентах и компьютерных атаках, связанных с функционированием информационных ресурсов органов (организаций);

  • ФСБ России необходимо:

o   определить порядок информирования о компьютерных инцидентах и компьютерных атаках;

o   определить порядок аккредитации центров ГосСОПКА и требования к центрам, а также осуществлять контроль их деятельности;

o   определить порядок, условия установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак, организовать установку таких средств.

Публичное обсуждение проекта завершится 10 июля.


Изменения в приказ ФСТЭК России № 235

Официально опубликован приказ Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) от 20.04.2023 № 69 «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21 декабря 2017 г. № 235» (далее – Приказ).

В Приказе скорректированы формулировки при упоминании лиц, ответственных за обеспечение информационной безопасности (далее – ИБ) (заместителей руководителей субъекта КИИ), а также скорректированы требования к специалистам структурного подразделения по безопасности. Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области ИБ.

Также Приказом вводятся обязательные меры по реализации компенсирующих мер в случае невозможности обеспечения технической поддержки средств защиты информации со стороны производителя.


Проект изменений в 187-ФЗ

Опубликован законопроект «О внесении изменения в статью 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».

Проектом предлагается отнести к субъектам КИИ лиц, которым принадлежат объекты КИИ, функционирующие в сферах «социального обеспечения» и «образования».

   

Проект изменений в 256-ФЗ

Опубликован законопроект «О внесении изменений в Федеральный закон «О безопасности объектов топливно-энергетического комплекса».

Проектом предполагается введение термина «Оценка готовности субъекта топливно-энергетического комплекса к противодействию целевым компьютерным атакам». Этот термин обозначает анализ совокупности мер, принимаемых субъектами топливно-энергетического комплекса (далее – ТЭК) для обеспечения безопасности своих объектов КИИ, а также устойчивости функционирования таких объектов к компьютерным атакам.

Также проектом предлагается изменение ст. 11 Федерального закона от 21.07.2011 № 256-ФЗ «О безопасности объектов ТЭК» (далее – 256-ФЗ), направленное на конкретизацию требований по обеспечению безопасности объектов ТЭК, в частности уточнение объектов, подлежащих защите. Так, текущая редакция ст. 11 256-ФЗ устанавливает требования к защите информации и информационно-телекоммуникационных сетей объектов ТЭК. В случае утверждения законопроекта, действие статьи будет направлено на обеспечение безопасности объектов КИИ в сфере ТЭК – информационных систем, автоматизированных систем управления и информационно-телекоммуникационных сетей субъектов ТЭК.

Согласно тексту предлагаемых изменений, на базе Министерства энергетики Российской Федерации (далее – Минэнерго России) будет создан отраслевой центр ИБ в ТЭК, в обязанности которого будут входить:

  • оценка готовности субъектов ТЭК к противодействию целевым компьютерным атакам совместно с ФСТЭК России и ФСБ России (в том числе предполагается утверждение Правительством РФ порядка проведения таких оценок);

  • по согласованию с ФСТЭК России и ФСБ России организация и установление порядка проведения тренировок по отработке субъектами ТЭК действий в условиях целенаправленных компьютерных атак;

  • мониторинг предоставления субъектами ТЭК сведений о результатах категорирования объектов КИИ, в том числе мониторинг актуальности и достоверности сведений;

  • координация действий субъектов ТЭК, которым на законном основании принадлежат объекты КИИ, в условиях проведения целевых атак и при ликвидации последствий таких атак (в том числе предполагается утверждение Правительством РФ порядка взаимодействия при осуществлении координации действий).

Последним пунктом проекта устанавливается новая обязанность субъектов ТЭК в части незамедлительного информирования об угрозах проведения целевых компьютерных атак и о проведенных атаках на информационную инфраструктуру, а также о мерах реагирования на них и ликвидации их последствий.

Предполагается, что изменения в 256-ФЗ, вносимые законопроектом, вступят в силу с 1 сентября 2024 года.

Публичное обсуждение проекта завершится 13 июля.

   

Импортонезависимость значимых объектов критической информационной инфраструктуры финансовых организаций

Официально опубликован Федеральный закон от 13.06.2023 № 243-ФЗ «О внесении изменений в Федеральный закон «О Центральном банке Российской Федерации (Банке России)».

Закон вносит изменения в Федеральный закон от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».

Изменения касаются введения требований для кредитных и некредитных финансовых организаций к переходу на преимущественное использование на значимых объектах КИИ российского программного обеспечения, отечественной радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов.

Изменения вступят в силу 4 августа 2023 года.


Требования Минэнерго России к системам дистанционного управления

Для общественного обсуждения опубликован проект приказа Минэнерго России «Об утверждении требований ‎по обеспечению безопасности значимых объектов критической информационной инфраструктуры при организации и осуществлении дистанционного управления технологическими режимами работы ‎и эксплуатационным состоянием объектов электроэнергетики ‎из диспетчерских центров субъекта оперативно-диспетчерского управления ‎в электроэнергетике».

Это версия проекта, исправленная по итогам первого публичного обсуждения. Напомним, что проект направлен на утверждение унифицированных требований, обеспечивающих ИБ при осуществлении дистанционного управления значимыми объектами КИИ и учитывающих специфику электроэнергетики.

Публичное обсуждение проекта завершится 7 июля.


Конфискация за неправомерное воздействие на критическую информационную инфраструктуру

Официально опубликован Федеральный закон от 13.06.2023 № 214-ФЗ «О внесении изменения в статью 104-1 Уголовного кодекса Российской Федерации».

Законом вводится санкция в виде конфискации имущества (денег, ценностей и т.д.) за совершение следующих преступлений:

  • неправомерный доступ к компьютерной информации (ч. 2-4 ст.272);

  • создание, использование и распространение вредоносных компьютерных программ (ст. 273);

  • нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ч.2 ст.274);

  • неправомерное воздействие на КИИ Российской Федерации (ст 274.1).