В обзоре изменений за октябрь 2023 года рассмотрим: изменения в порядок ведения реестра ЗОКИИ, рекомендации по информированию об инцидентах для финансовых организаций и результаты работ в области стандартизации.
Изменения в Порядок ведения реестра значимых объектов КИИ
Официально опубликован приказ Федеральной службы по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России) от 01.09.2023 № 177 «О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227».
Приказ содержит корректировки, связанные с добавлением деятельности по государственной регистрации прав на недвижимое имущество и сделки с ним в перечень сфер функционирования объектов критической информационной инфраструктуры (далее – КИИ), а также с возможностью группировки значимых объектов КИИ или выделение нескольких объектов из одного.
Напомним, что общественное обсуждение проекта этого приказа состоялось в августе 2023 года, а предлагаемые изменения связаны с июльскими изменениями в Федеральный закон от 26.07.2017 №187 «О безопасности критической информационной инфраструктуры Российской Федерации».
Рекомендации для финансовых организаций
По информированию ФСБ России о компьютерных инцидентах
Опубликованы Методические рекомендации по выполнению кредитными и некредитными финансовыми организациями мероприятий по обеспечению безопасности критической информационной инфраструктуры Российской Федерации в части информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак, утверждённые Банком России 26.10.2023 № 14-МР.
Согласно рекомендациям, возможным способом информирования Федеральной службы безопасности Российской Федерации (далее – ФСБ России) о компьютерных инцидентах является передача сведений с использованием технической инфраструктуры Центрального банка Российской Федерации (далее – Банк России) – Автоматизированной системы обработки инцидентов ФинЦЕРТ Банка России (далее – ФинЦЕРТ). Далее Банк России направляет полученные сведения в Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ).
Для корректной реализации требований об информировании финансовым организациям рекомендуется использовать перечень компьютерных инцидентов и компьютерных атак, приведенный в приложении 18 к стандарту Банка России СТО БР БФБО-1.5-2023 «Безопасность финансовых (банковских) операций. Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности» (далее – СТО БР БФБО-1.5-2023).
По взаимодействию кредитных организаций с МВД России и ФСБ России
Также опубликованы Методические рекомендации по взаимодействию кредитных организаций с МВД России и ФСБ России в целях принятия процессуальных решений при проведении компьютерных атак в отношении объектов критической информационной инфраструктуры, утверждённые Банком России 26.10.2023 № 15-МР.
При выявлении инцидентов кредитная организация направляет уведомление, содержащее сведения о выявленном инциденте:
• в Банк России с использованием ФинЦЕРТ, по форме и в порядке, установленным СТО БР БФБО-1.5-2023;
• в НКЦКИ по форме и в порядке, установленным приказом ФСБ России №282;
• в случае утечки персональных данных – в НКЦКИ в соответствии с требованиями Приказа ФСБ России №77.
В случае необходимости уголовно-правовой оценки действий злоумышленника рекомендуется привлекать уполномоченные органы.
При подаче заявления в Министерство внутренних дел Российской Федерации (далее – МВД России), кроме описания событий, связанных с несанкционированным переводом денежных средств со счетов организации, рекомендуется указать факт незаконного воздействия на КИИ и изменения компьютерной информации. Обращение по факту выявления инцидентов подается очно в территориальное подразделение МВД России по месту нахождения юридического лица либо в исключительных случаях с использованием сервиса приема обращений граждан и организаций, размещенного на официальном сайте МВД России.
Помимо МВД России, кредитная организация обращается в ФСБ России с использованием сервиса приема обращений граждан и организаций, размещенного на официальном сайте ФСБ России, или очно в территориальные органы безопасности.
По результатам реагирования на инциденты кредитной организации рекомендуется определить суммы потерь в соответствии с Положением Банка России №716-П.
ГОСТы по КИИ
На сайте ФСТЭК России опубликованы проекты предварительных национальных стандартов, разработанные техническим комитетом по стандартизации «Программно-аппаратные комплексы для критической информационной инфраструктуры» (ТК 167):
• «Инфраструктура критическая информационная. Термины и определения»;
• «Инфраструктура критическая информационная. Доверенные интегральные микросхемы и модули. Общие положения»;
• «Инфраструктура критическая информационная. Доверенные программно-аппаратные комплексы. Общие положения».