1. Главная
  2. Публикации
  3. Обзор изменений в законодательстве КИИ за март 2020

Обзор изменений в законодательстве КИИ за март 2020

20 апреля 2020
2252

COVID-19

В связи с пандемией коронавируса в марте 2020 г. регуляторы провели активную разъяснительную деятельность по предотвращению угроз информационной безопасности. Далее представлена краткая сводка рекомендаций по деятельности в условиях пандемии от надзорных органов:

ФСТЭК России
ФСТЭК России разработала для субъектов критической информационной инфраструктуры (далее – КИИ) рекомендации по обеспечению безопасности объектов КИИ при реализации дистанционного режима исполнения должностных обязанностей работниками. Отмечается, что предоставление удаленного доступа для управления режимами функционирования оборудования, входящего в состав автоматизированных систем управления, являющихся значимыми объектами КИИ, запрещено. Также в рекомендациях приводится ряд мер по минимизации рисков возникновения угроз безопасности информации, обрабатываемой объектами КИИ, при осуществлении удаленного доступа. Руководствоваться рекомендованными мерами можно и не только во время пандемии. 

Национальный координационный центр по компьютерным инцидентам (НКЦКИ)
НКЦКИ опубликовал уведомление об угрозах безопасности информации, связанных с пандемией коронавируса. НКЦКИ предупреждает об активном использовании злоумышленниками ситуации вокруг пандемии коронавируса для осуществления широкого спектра вредоносной деятельности и публикует рекомендации по противодействию угрозам информационной безопасности. Специалисты НКЦКИ выделяют два типа вероятных угроз:
1. Мошенничество.
2. Угрозы, связанные с удаленным режимом работы.
Стоит отметить, что данные угрозы актуальны не только в обстоятельствах пандемии, а значит руководствоваться рекомендациями НКЦКИ можно и нужно не только в ее условиях.

Требования доверия

ФСТЭК Росси 5 марта 2020 г. разместила для общего доступа выписку из Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденных приказом ФСТЭК России от 30 июля 2018 г. № 131 (далее – Требования к уровням доверия).

Выполнение Требований к уровням доверия является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств защиты информации (далее – СрЗИ). Требования к уровням доверия носят гриф «Для служебного пользования», а СрЗИ, соответствующие 1, 2 и 3 уровням доверия, должны применяться в информационных (автоматизированных) системах, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну. Поэтому опубликованная выписка содержит лишь информацию о требованиях, предъявляемых к 4, 5 и 6 уровню доверия.

Информация о том, в каких случаях необходимо применение СрЗИ, соответствующих 4, 5 и 6 уровню доверия приведена в таблице ниже.

СрЗИ, 
соответствующие уровню доверия

Класс систем, требующий применения соответствующих
СрЗИ

Уровни контроля по выявлению уязвимостей и НДВ

6 уровень доверия  - Значимые объекты КИИ 3 категории 
 - ГИС 3 класса защищенности 
 - АСУ производственными и технологическими процессами 3 класса защищенности 
 - ИСПДн при 3 и 4 УЗ ПДн
 6 уровень контроля
5 уровень доверия  - Значимые объекты КИИ 2 категории 
 - ГИС 2 класса защищенности 
 - АСУ производственными и технологическими процессами 2 класса защищенности 
 - ИСПДн при 2 УЗ ПДн
 5 уровень контроля
4 уровень доверия  - Значимые объекты КИИ 1 категории 
 - ГИС 1 класса защищенности 
 - АСУ производственными и технологическими процессами 1 класса защищенности 
 - ИСПДн при 1 УЗ ПДн 
 - Информационные системы общего пользования II класса
 4 уровень контроля

Перечень сокращений и обозначений:
АСУ – автоматизированные системы управления;
ГИС – государственные информационные системы;
ИСПДн – информационные системы персональных данных;
КИИ – критическая информационная инфраструктура;
НДВ – недекларированные возможности;
ПДн – персональные данные;
УЗ – уровень защищенности.