1. Главная
  2. Публикации
  3. Обзор изменений законодательства КИИ за февраль 2020

Обзор изменений законодательства КИИ за февраль 2020

21 Февраля 2020

6 февраля 2020 г. опубликован Проект Приказа ФСТЭК России «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239» (далее – Проект). Общественные обсуждения проходили до 20 февраля 2020 г.

В Проекте, в частности, предлагается дать расшифровку термина «модернизация». При этом, не совсем понятно, почему «модернизацией является изменение архитектуры подсистемы безопасности», т.к. в текущей редакции Приказа ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (далее – Приказ № 239) модернизация касается непосредственно самого значимого объекта КИИ, т.е. всех его подсистем.

Согласно Приказу № 239 для обеспечения безопасности значимых объектов КИИ должны использоваться сертифицированные средства защиты информации (далее – СрЗИ) или СрЗИ, прошедшие оценку на соответствие требованиям в форме испытаний или приемки. Проектом приказа предлагается регламентировать процесс испытаний (приемки) и установить обязательное соответствия СрЗИ пятому или более высокому уровню доверия. При этом по решению субъекта КИИ испытания (приемка) могут проводиться им самостоятельно или с привлечением организаций, имеющих лицензии на деятельность в области защиты информации. Также, следует отметить, что Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, (утв. Приказом ФСТЭК России от 30 июля 2018 г. № 131) носят гриф «Для служебного пользования». Предполагается что все требования касательно приемки (испытаний) СрЗИ вступят в силу с 1 января 2023 г.

По Приказу № 239 удаленный доступ непосредственно (напрямую) к средствам значимых объектов КИИ для обновления или управления лицами, не являющимися работниками субъекта КИИ, запрещен. Проектом предлагается скорректировать область действия этого требования и запретить удаленный доступ только для лиц, являющихся работниками зарубежных организаций, а также организаций, находящих под прямым или косвенным контролем иностранных физических и (или) юридических лиц.

Пунктом 10 Проекта запрещается техническая поддержка средств, в том числе СрЗИ, применяемых в значимом объекте КИИ зарубежными организациями, а также организациями, находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц. По мнению ряда экспертов, это означает неизбежный переход к использованию отечественного программного обеспечения в значимых объектах КИИ.

Кроме того, нововведениями Проекта является предъявление к прикладному программному обеспечению объектов КИИ требований по безопасной разработке, выявлению уязвимостей и недекларированных возможностей, что, в свою очередь, подтверждает тезис о том, что нововведениями делается акцент на использовании отечественных разработок. А также входящие в состав объектов КИИ второй категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, по Проекту должны размещаться на территории Российской Федерации. В действующей редакции Приказа № 239 данное требование предъявляется только к объектам КИИ первой категории значимости.