1. Главная
  2. Публикации
  3. Обзор изменений в законодательстве за ноябрь 2022

Обзор изменений в законодательстве за ноябрь 2022

13 декабря 2022
632

В обзоре изменений законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации за ноябрь 2022 года рассмотрим: проект порядка осуществления мониторинга защищенности во исполнение Указа №250, перечень сведений потенциально используемых против безопасности РФ, сведения для служебного пользования в транспортной инфраструктуре, требования к отечественному программному обеспечению, требования к линиям связи, пересекающим границу РФ, а также предложения о внесении изменений в Уголовный кодекс РФ за нарушения в сфере критической информационной инфраструктуры.

Мониторинг защищенности во исполнение Указа №250

Для общественного обсуждения представлен проект приказа ФСБ России «Об утверждении Порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими». Перечисленные в наименовании проекта органы и организации далее будем называть организации.

Согласно проекту, мониторинг защищенности предлагается осуществлять непрерывно силами Центра защиты информации и специальной связи ФСБ России и территориальных органов безопасности (далее – органы безопасности) в отношении подключенных к сети Интернет информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления.

Организациям необходимо предоставить в Центр защиты информации и специальной связи ФСБ России сведения о доменных именах и внешних сетевых адресах принадлежащих им информационных ресурсов в срок не позднее 1 марта 2023 года (и информацию об изменениях доменных имен, адресов или появлении новых ресурсов в срок 7 календарных дней с момента изменений).

Мониторинг предполагает сбор сведений и документации на ресурсы, обнаружение уязвимостей и оценку защищенности.

Сведения о ресурсах включают:

  • документацию на информационные ресурсы и результаты их обследования;
  • результаты обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, полученные центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА);
  • сведения о состоянии защищенности информационных ресурсов организаций, содержащиеся в ГосСОПКА;
  • результаты осуществления оценки защищенности информационных ресурсов органов (организаций).

Организации должны исключить блокировку IP-адресов по запросу органов безопасности. Кроме того, выявление функционирующих сервисов и обнаружение уязвимостей информационных ресурсов органы по безопасности могут начать без предварительного предупреждения организаций о начале мероприятий.

При этом оценка защищенности ресурсов проводится на основании ежегодного плана, утверждаемого начальником Центра защиты информации и специальной связи ФСБ России, выписки из которого рассылаются организациям за 14 дней до начала мероприятий.

Оценка защищенности проводится путем подключения органами безопасности программных и программно-аппаратных комплексов (инструментов) к ресурсам как удаленно, так и на объектах организации. По результатам оценки защищенности Центром защиты информации и специальной связи ФСБ России формируются и направляются в адрес организации рекомендации по обеспечению защищенности информационных ресурсов.

Общественное обсуждение проекта завершилось 29 ноября.

Перечень сведений в области военной и военно-технической деятельности России, которые могут быть использованы против безопасности РФ

Официально опубликован приказ ФСБ России от 04.11.2022 № 547 «Об утверждении Перечня сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении иностранными источниками могут быть использованы против безопасности Российской Федерации».

Новая редакция приказа также содержит 60 наименований таких сведений, некоторые из них уточняя или дополняя. Наиболее интересными для специалистов по защите информации являются следующие позиции:

  • персональные данные военнослужащих и членов их семей, в т.ч. сведения об адресах проживания, посещаемые образовательные и медицинские учреждения, используемые транспортные средства и личные средства связи;
  • сведения о средствах и сетях связи, в т.ч. номера служебных телефонов;
  • сведения об использовании технологий криптографической защиты информации, квантовых технологий и искусственного интеллекта;
  • сведения о функционировании центров ГосСОПКА, сил и средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак;
  • сведения о проведении закупок в части программных и программно-аппаратных средств информатизации и защиты информации для нужд предприятий оборонно-промышленного комплекса;
  • сведения о составе и организации работы ГИС и объектов критической информационно инфраструктуры (далее – КИИ) (в т.ч. результатах анализа защищенности);
  • сведения об обеспечении ИБ при реализации государственной политики в области космической деятельности.

Приказ вступил в силу с 1 декабря 2022 года.

Сведения ограниченного доступа в транспортной инфраструктуре

Официально опубликовано постановление Правительства Российской Федерации от 14.11.2022 № 2051 «Об утверждении Правил обращения со сведениями о результатах проведенной оценки уязвимости объектов транспортной инфраструктуры, судов ледокольного флота, используемых для проводки по морским путям, судов, в отношении которых применяются правила торгового мореплавания и требования в области охраны судов и портовых средств, установленные международными договорами Российской Федерации, а также со сведениями, содержащимися в планах и паспортах обеспечения транспортной безопасности объектов транспортной инфраструктуры и (или) транспортных средств, которые являются информацией ограниченного доступа, и признании утратившими силу некоторых актов Правительства Российской Федерации».

Постановление распространяется на специализированные организации в области обеспечения транспортной безопасности, объекты транспортной инфраструктуры и силы обеспечения транспортной безопасности (далее –организации).

Допуск работников указанных организаций к информации ограниченного доступа осуществляется с письменного разрешения ответственного за обеспечения транспортной безопасности на объекте транспортной инфраструктуры. При допуске к таким сведениям соблюдаются принципы минимально необходимого доступа в рамках должностных обязанностей как для исполнителей работ, так и для сил обеспечения транспортной безопасности.

Устанавливаются требования к использованию носителей информации ограниченного доступа (бумажным и электронным):

  • ответственность за прием и учет носителей осуществляет уполномоченные на то должностные лица (ответственные, назначенные письменным распоряжением);
  • на носителях должна проставляться пометка «Для служебного пользования» (далее – ДСП) (постановление устанавливает четкий порядок маркировки, учета и копирования таких носителей);
  • работа с носителями с пометкой ДСП осуществляется на выделенных компьютерах;
  • инвентаризация носителей осуществляется не реже одного раза в год.

Постановление отменяет ранее действовавшее одноименное постановление Правительства Российской Федерации от 24.11.2015 № 1257, в котором кроме указанных выше положений также были утверждены Правила проверки субъектом транспортной инфраструктуры сведений в отношении лиц, принимаемых на работу, непосредственно связанную с обеспечением транспортной безопасности, или выполняющих такую работу (в новом постановлении таких Правил нет).

Постановление вступает в силу с 1 марта 2023 года и действует в течение 6 лет.

Конфискация за преступления в сфере компьютерной информации

В Государственной Думе РФ выступили с инициативой, позволяющей конфисковать имущество, полученное в результате совершения преступлений в сфере компьютерной информации (статьи 272, 273, 274, 2741 Уголовного Кодекса РФ).

В пояснительной записке уточняется, что по статистическим данным Министерства внутренних дел РФ в 2021 году совершено на 62,5% больше преступлений в сфере компьютерной информации, чем за аналогичный период 2020 года. Законопроект призван повысить эффективность мер по противодействию такого рода преступлениям.

Требования к отечественному ПО

Для общественного обсуждения представлен проект постановления Правительства РФ «О внесении изменений в некоторые акты Правительства Российской Федерации».

Проектом предлагается установить требования к программам для электронных вычислительных машин и базам данных, сведения о которых включены в единый реестр российских программ для электронных вычислительных машин и базам данных (далее – Реестр). Среди таких требований встречаются положения в области ИБ, а именно:

  • обновления ПО должны выполняться только после подтверждения со стороны пользователя ПО;
  • ПО должно соответствовать требованиям законодательства РФ о защите информации и о защите ПДн в случаях, установленных законодательством РФ;
  • передача данных по каналам связи, в том числе текстовых сообщений и (или) электронных документов, голосовой, звуковой, визуальной и иной информации, ‎с использованием ПО должна осуществляться с учетом требований законодательства РФ о защите информации ‎и о связи.

Проект содержит требования для каждого класса системного и прикладного ПО, среди которых:

  • поддержка шифрования жестких дисков, использования токенов, управления правами пользователей на уровне файловой системы для операционных систем;
  • наличие хотя бы одного сертифицированного в системе ФСТЭК России дистрибутива операционной системы/системы управления базами данных;
  • контроль целостности, резервное копирование, журналирование событий системы управления базами данных;
  • идентификация аутентификация пользователей, передача информации по защищенным каналам связи с применением криптографических средств защиты для офисных приложений;
  • использование сертифицированных средств электронной подписи, интеграция с внешним антивирусным ПО для почтовых приложений;
  • разграничение прав доступа пользователей органайзеров;
  • требования по защите данных для средств антивирусной защиты и т.д.

Кроме того, к ПО предъявляются требования по совместимости с иным ПО или аппаратными средствами, входящими в состав Реестра:

  • ПО должно быть совместимо хотя бы с одним центральным процессором, включенным в Реестр;
  • ПО должно работать под управлением хотя бы одной операционной системы, включенной в Реестр;
  • в случае доступа с использованием средств интернет-браузера – должен быть хотя бы один Интернет-браузер, включенный в Реестр, с помощью средств которого можно получить доступ к ПО.

Общественное обсуждение проекта завершилось 5 декабря. В случае утверждения проект вступает в силу с 1 июля 2023 года.

Требования к линиям связи, пересекающим границу РФ

Официально опубликован приказ Минцифры России от 12.09.2022 № 659 «Об утверждении требований к линиям связи, пересекающим Государственную границу Российской Федерации, и к средствам связи, к которым подключаются указанные линии связи».

Согласно Приказу трансграничные линии связи должны:

  1. обслуживаться и эксплуатироваться российскими организациями в соответствии с регламентами , утвержденными оператором связи (собственником или иными владельцами технологических сетей связи, точки обмена трафиком или трансграничной линии связи в соответствии с законодательством РФ);
  2. соответствовать проектной документации и регламентам эксплуатации;
  3. управляться с территории РФ, в случае их размещения за границей РФ и при наличии законного основания принадлежности операторам связи РФ;
  4. соответствовать коэффициенту эксплуатационного показателя надежности сети международной телефонной связи не менее 0,999.

Средства связи, подключенные к трансграничным линиям связи, должны быть:

  1. защищены от несанкционированного доступа;
  2. зарезервированы таким образом, чтобы отказ одного из них не мог привести к полному прекращению функционирования трансграничной линии связи;
  3. сертифицированы (иметь декларацию) в области связи, в случае присоединения трансграничных линий связи к сетям связи общего пользования;
  4. обеспечены электроснабжением, осуществляемым от двух независимых взаимно резервирующих источников электропитания с применением устройств автоматического ввода резерва.

Приказ вступает в силу с 1 января 2023 года.

+7 343 379-98-34
Заказать звонок
Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.