В обзоре изменений в области критической информационной инфраструктуры за май 2023 года рассмотрим: актуальные угрозы безопасности информации в сфере транспорта, пилотный проект по обеспечению технологической независимости КИИ РФ и стандарт по управлению АСУ ТП железнодорожного транспорта.
Угрозы безопасности ПДн в сфере транспорта
Официально опубликован приказ Министерства транспорта Российской Федерации от 19.04.2023 № 141 «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством транспорта Российской Федерации».
Перечень включает угрозы:
- несанкционированного доступа:
к отчуждаемым носителям ПДн;
к ПДн пользователей информационных систем ПДн;
к ПДн лиц, не имеющих легальных прав к данным (с использованием уязвимостей как в программном обеспечении, сети, так и в организации защиты ПДн);
воздействия вредоносного кода;
физического доступа к средствам криптографической защиты ПДн;
целенаправленных компьютерных атак и т.д.
Опубликован проект постановления Правительства РФ «О реализации пилотного проекта по обеспечению технологической независимости КИИ РФ в атомной и космической отраслях».
Реализация пилотного проекта планируется с 1 августа 2023 по 1 августа 2025 года. За это время проектом предлагается реализовать ряд масштабных задач, в том числе:
выработка критериев технологической независимости критической информационной инфраструктуры (далее – КИИ);
выработка требований к доверенным программно-аппаратным комплексам (далее – ПАК) для КИИ;
развертывание системы испытательных полигонов атомной отрасли для проведения проверки ПАК;
разработка и утверждение правил формирования и ведения реестра доверенных ПАК для КИИ;
внедрение доверенных ПАК на значимых объектах КИИ в атомной и космической отраслях;
формирование предложений по поддержанию последующих проектов в сфере обеспечения технологической независимости КИИ РФ;
формирование предложений по изменению нормативной базы РФ в области обеспечения ИБ КИИ и т.д.
Участниками проекта являются государственные корпорации «Роскосмос» и «Росатом», а также Научно-производственное объединение «Критические информационные системы». Координация взаимодействия участников возлагается на Межведомственную комиссию Совета Безопасности РФ по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры РФ.
Стандарт АСУ ТП железнодорожного транспорта
Принят ГОСТ Р 70732-2023 «Автоматизированные системы управления технологическими процессами и техническими средствами железнодорожного транспорта. Требования к функциональной и информационной безопасности программного обеспечения и методы контроля».
Стандарт распространяется на приобретаемое, разрабатываемое или модернизируемое программное обеспечение систем автоматики и телемеханики, железнодорожного электроснабжения и систем электросвязи. Результаты оценки соответствия программного обеспечения требованиям по ИБ к тому или иному уровню доверия подлежат предъявлению ФСТЭК России для подтверждения выполнения нормативных требований в области обеспечения безопасности критической информационной инфраструктуры РФ.
Стандарт вступает в силу 01.11.2023.