Автор: Анастасия Заведенская, старший аналитик
В мартовском обзоре законодательства за 2022 год: импортозамещение на объектах КИИ; дополнительное урегулирование мониторинга актуальности и достоверности представления субъектам КИИ сведений по результатам категорирования; рекомендации от регуляторов по противодействию компьютерным атакам.
Импортозамещение в критической информационной инфраструктуре
В конце марта 2022 г. официально опубликован Указ Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – Указ Президента № 166).
С комментариями Аналитического центра ООО «УЦСБ» к Указу Президента № 166 можно ознакомиться на нашем официальном сайте.
Отметим, что под действие Указа Президента № 166 попадают все субъекты критической информационной инфраструктуры (далее – КИИ), являющиеся заказчиками по Федеральному закону от 18.07.2011 №223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее – 223-ФЗ), за исключением организаций с муниципальным участием. На текущий момент указанные организации, не могут осуществлять закупки иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов для их использования на значимых объектах КИИ. Однако дополнительно в течение месяца должны быть утверждены правила согласования закупок иностранного программного обеспечения, а также закупок услуг, необходимых для использования этого программного обеспечения. С 1 января 2025 г. органам государственной власти, заказчикам, попадающим под действие 223-ФЗ, будет запрещено использовать иностранное программное обеспечение на принадлежащих им значимых объектах КИИ. Правительство РФ в течение полугода должно реализовать комплекс мероприятий, направленных на обеспечение преимущественного применения всеми субъектами КИИ отечественной продукции на значимых объектах КИИ.
Изменения в Правила категорирования
ФСТЭК России в марте 2022 г. представила к общественному обсуждению проект постановления Правительства Российской Федерации «О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации» (далее – проект ПП РФ).
Проект ПП РФ разработан в целях дополнительного урегулирования мониторинга актуальности и достоверности представления субъектам КИИ сведений. Напомним, что в соответствии с изменениями, вносимыми постановлением Правительства Российской Федерации от 24.12.2021 № 2431, такой мониторинг с января 2022 г. должны осуществлять государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности.
Проект ПП РФ предлагает предоставить отраслевым ведомствам право привлекать по согласованию с ФСТЭК России специализированные организации. В качестве специализированных организаций, проводящих проверку, предлагается рассматривать организации, подведомственные соответствующим отраслевым ведомствам и имеющие лицензию на проведение работ с использованием сведений, составляющих государственную тайну, а также лицензию на деятельность по технической защите конфиденциальной информации. Порядок проведения в отношении субъектов КИИ дополнительных периодических проверок будет определен отраслевыми ведомствами.
Рекомендации по противодействию компьютерным атакам
Приказ Минцифры России от 10.03.2022 № 186 «Об утверждении Методических рекомендаций по обеспечению необходимого уровня безопасности в сфере информационно-коммуникационных технологий государственных корпораций, компаний с государственным участием, а также их дочерних организаций и зависимых обществ» (далее – Приказ Минцифры № 186) официально опубликован 17 марта 2022 г.
Приказ Минцифры № 186 рекомендует государственным корпорациям, компаниям с государственным участием, а также их дочерним организациям и зависимым обществам реализовать перечень мероприятий в целях противодействия компьютерным атакам.
В перечень мероприятий, в частности, включено:
- Обеспечение на постоянной основе реализации организационно-технических мер, предусмотренных НПА, а также методическими рекомендациями, письмами и иными документами ФСБ России и ФСТЭК России.
- Возложение на лиц из числа заместителей руководителя полномочий по обеспечению информационной безопасности, а также обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в организации.
- Принятие решения о необходимости заключения договоров на оказание услуг с экспертными организациями, имеющими соглашение с ФСБ России или НКЦКИ (т.е. необходимо рассмотреть возможность привлечения внешних центров мониторинга – SOC).
- Организация взаимодействия с операторами связи, а также экспертными организациями для обеспечения защиты от распределенных компьютерных атак типа «отказ в обслуживании» на сетевом и прикладном уровнях.
По результатам реализации рекомендаций Приказа Минцифры № 186 необходимо организовать еженедельное направление не позднее предпоследнего рабочего дня календарной недели в Минцифры России, ФСБ России и ФСТЭК России отчетов о выполнении. Также необходимо участие ответственных по информационной безопасности в соответствующих совещаниях, проводимых Минцифры России.
ФСТЭК России опубликовала информационное сообщение от 24.03.2022 № 240/22/1549 «О мерах по повышению защищённости информационной инфраструктуры».
В информационном сообщение приведены меры по повышению уровня защищенности от компьютерных атак информационных инфраструктур организаций, используемых для разработки, поставки, распространения и технической поддержки программного обеспечения и оборудования автоматизированных систем управления производственными и технологическими процессами, в т.ч. применяемых на КИИ Российской Федерации.
НКЦКИ также в марте 2022 г. выпустил бюллетени: «О мерах повышения уровня защищенности информационных ресурсов Российской Федерации от целенаправленных компьютерных атак» с перечнем общих рекомендаций по противодействию угрозам безопасности информации; «Обобщенные рекомендации по минимизации возможных угроз информационной безопасности информационным ресурсам Российской Федерации», адресованные широкому кругу российских компаний.