1. Главная
  2. Публикации
  3. Обзор изменений в законодательстве за октябрь 2023

Обзор изменений в законодательстве за октябрь 2023

14 ноября 2023
873

В обзоре изменений за октябрь 2023 года рассмотрим: изменения в порядок ведения реестра ЗОКИИ, рекомендации по информированию об инцидентах для финансовых организаций и результаты работ в области стандартизации.

 

Изменения в Порядок ведения реестра значимых объектов КИИ

Официально опубликован приказ Федеральной службы по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России) от 01.09.2023 № 177 «О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227».

Приказ содержит корректировки, связанные с добавлением деятельности по государственной регистрации прав на недвижимое имущество ‎и сделки с ним в перечень сфер функционирования объектов критической информационной инфраструктуры (далее – КИИ), а также с возможностью группировки значимых объектов КИИ или выделение нескольких объектов из одного.

Напомним, что общественное обсуждение проекта этого приказа состоялось в августе 2023 года, а предлагаемые изменения связаны с июльскими изменениями в Федеральный закон от 26.07.2017 №187 «О безопасности критической информационной инфраструктуры Российской Федерации».


   

Рекомендации для финансовых организаций

По информированию ФСБ России о компьютерных инцидентах

Опубликованы Методические рекомендации по выполнению кредитными и некредитными финансовыми организациями мероприятий по обеспечению безопасности критической информационной инфраструктуры Российской Федерации в части информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак, утверждённые Банком России 26.10.2023 № 14-МР.

Согласно рекомендациям, возможным способом информирования Федеральной службы безопасности Российской Федерации (далее – ФСБ России) о компьютерных инцидентах является передача сведений с использованием технической инфраструктуры Центрального банка Российской Федерации (далее – Банк России) – Автоматизированной системы обработки инцидентов ФинЦЕРТ Банка России (далее – ФинЦЕРТ). Далее Банк России направляет полученные сведения в Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ).

Для корректной реализации требований об информировании финансовым организациям рекомендуется использовать перечень компьютерных инцидентов и компьютерных атак, приведенный в приложении 18 к стандарту Банка России СТО БР БФБО-1.5-2023 «Безопасность финансовых (банковских) операций. Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности» (далее – СТО БР БФБО-1.5-2023).

 

По взаимодействию кредитных организаций с МВД России и ФСБ России

Также опубликованы Методические рекомендации по взаимодействию кредитных организаций с МВД России и ФСБ России в целях принятия процессуальных решений при проведении компьютерных атак в отношении объектов критической информационной инфраструктуры, утверждённые Банком России 26.10.2023 № 15-МР.

При выявлении инцидентов кредитная организация направляет уведомление, содержащее сведения о выявленном инциденте:

•         в Банк России с использованием ФинЦЕРТ, по форме и в порядке, установленным СТО БР БФБО-1.5-2023;

•         в НКЦКИ по форме и в порядке, установленным приказом ФСБ России №282;

•         в случае утечки персональных данных – в НКЦКИ в соответствии с требованиями Приказа ФСБ России №77.

В случае необходимости уголовно-правовой оценки действий злоумышленника рекомендуется привлекать уполномоченные органы.

При подаче заявления в Министерство внутренних дел Российской Федерации (далее – МВД России), кроме описания событий, связанных с несанкционированным переводом денежных средств со счетов организации, рекомендуется указать факт незаконного воздействия на КИИ и изменения компьютерной информации. Обращение по факту выявления инцидентов подается очно в территориальное подразделение МВД России по месту нахождения юридического лица либо в исключительных случаях с использованием сервиса приема обращений граждан и организаций, размещенного на официальном сайте МВД России.

Помимо МВД России, кредитная организация обращается в ФСБ России с использованием сервиса приема обращений граждан и организаций, размещенного на официальном сайте ФСБ России, или очно в территориальные органы безопасности.

По результатам реагирования на инциденты кредитной организации рекомендуется определить суммы потерь в соответствии с Положением Банка России №716-П.



ГОСТы по КИИ

На сайте ФСТЭК России опубликованы проекты предварительных национальных стандартов, разработанные техническим комитетом по стандартизации «Программно-аппаратные комплексы для критической информационной инфраструктуры» (ТК 167):

•         «Инфраструктура критическая информационная. Термины и определения»;

•         «Инфраструктура критическая информационная. Доверенные интегральные микросхемы и модули. Общие положения»;

•         «Инфраструктура критическая информационная. Доверенные программно-аппаратные комплексы. Общие положения».