1. Главная
  2. Публикации
  3. Обзор изменений законодательства КИИ за август 2020

Обзор изменений законодательства КИИ за август 2020

3 сентября 2020
949

Стандартизация терминологии в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты

В начале августа на сайте ФСТЭК России опубликована первая редакция проекта национального стандарта ГОСТ Р «Защита информации. Обнаружение, предупреждение и ликвидация последствий компьютерных атаки и реагирование на компьютерные инциденты».

Стандарт дополняет уже существующий ГОСТ Р 50922, а также основывается на многих других стандартах, содержащих термины и определения. Схема ниже отображает структуру разделов ГОСТ и классификационную схему понятий, входящих в область действия стандарта.

800.png

Проект предназначен для стандартизации терминологии в указанной области для их дальнейшего использования при разработке национальных стандартов, нормативных правовых актов и методических документов. Согласно пояснительной записке к опубликованному проекту, документ необходим для установления единой терминологии в целях взаимопонимания между заказчиками, исполнителями и организаторами. Авторами стандарта предполагается, что ввод в действие проекта приведет к повышению эффективности мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.


Методические рекомендации для категорирования объектов КИИ в сфере здравоохранения

Министерство здравоохранения Российской Федерации разработало и отправило на согласование во ФСТЭК России Методические рекомендации по категорированию объектов КИИ сферы здравоохранения. В настоящий момент проект документа опубликован на портале оперативного взаимодействия участников единой государственной информационной системы в сфере здравоохранения для общественных обсуждений.

Рекомендации содержат:

  1. Подробный перечень организаций сферы здравоохранения, на которые распространяются методические рекомендации:
    • органы управления системой здравоохранения;
    • лечебные организации;
    • медицинские организации особого типа (медицинские центры, воинские формирования, лаборатории и т.д.);
    • медицинские организации по надзору в сфере защиты прав потребителей и благополучия человека;
    • организации, осуществляющие фармацевтическую деятельность;
    • частные организации в сфере здравоохранения.
  2. Примеры объектов КИИ, на которые распространяются методические рекомендации.
  3. Рекомендации к формированию комиссии по категорированию (а также к форме приказа о создании комиссии и пример положения о комиссии).

Документ содержит также справочную информацию, в частности:

  • справочные материалы по оценке критичности бизнес-процессов (примеры и разъяснения для оценки критичности применимых к сфере здравоохранения показателей и примеры обоснования неприменимости показателей из Правил категорирования для сферы здравоохранения);
  • состав возможных событий (инцидентов), которые могут возникнуть в результате реализации компьютерных атак (на основании перечня критериев значимости объектов КИИ);
  • варианты обоснования неприменимости критериев значимости, установленных Постановлением Правительства от 08.02.2018 №127;
  • справочные материалы по подготовке документов для отправки во ФСТЭК России (содержащие формы писем и документов для отправки регулятору и указания по их заполнению).

В приложениях к методическим рекомендациям разработчики приводят формы промежуточной отчетности, разрабатываемой комиссией по категорированию, а именно:

  • форма и пример заполнения реестра бизнес-процессов организации сферы здравоохранения, выделяемых для определения перечня критических процессов;
  • форма и пример заполнения Перечня критических процессов;
  • реестр систем и информационно-телекоммуникационных сетей, принадлежащих на законном основании организации в сфере здравоохранения;
  • форма перечня объектов КИИ, подлежащих категорированию (направляемая во ФСТЭК России);
  • форма и пример заполнения протокола расчетов значений критериев значимости объектов КИИ.

Документ содержит описание процессов в рамках категорирования объектов КИИ как в словесной форме, так и в формате наглядных блок-схем.

Кроме описания процесса категорирования Методические рекомендации содержат состав и последовательность работ по обеспечению безопасности значимых объектов КИИ.