В сентябре 2020 года в области обеспечения безопасности значимых объектов критической информационной инфраструктуры выпущены изменения в Приказ ФСТЭК России от 25 декабря 2017 г. № 239 и новый приказ о порядке согласования подключения значимых объектов к сетям связи общего пользования. Также в сентябре 2020 года Национальный координационный центр по компьютерным инцидентам запустил публикацию еженедельной статистики по своей работе.
Обеспечение безопасности значимых объектов КИИ
14 сентября 2020 г. официально опубликован приказ ФСТЭК России от 20.02.2020 № 35 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239» (далее – Приказ № 35).
Приказ № 35 был подписан ФСТЭК России ещё 20 февраля 2020 г., но регистрацию в Минюст России прошел только в сентябре. В целом, основные изменения, вводимые Приказом № 35, были представлены еще в проекте приказа ФСТЭК России, который был рассмотрен в обзоре изменений законодательства за февраль .
Из новых положений в области защиты значимых объектов критической информационной инфраструктуры (далее – КИИ), вводимых Приказом № 35 и вступивших в силу с 25 сентября 2020 г., можно выделить следующие:
- Модернизацией теперь официально считается изменение архитектуры значимого объекта КИИ, в том числе подсистемы его безопасности, в соответствии с отдельным техническим заданием (далее – ТЗ) на модернизацию значимого объекта КИИ и (или) ТЗ (частным ТЗ) на модернизацию подсистемы безопасности значимого объекта.
- Оценка выполнения требований по безопасности, предъявляемых к программным и программно-аппаратным средствам, в том числе средствам защиты информации (далее – СрЗИ) должна включаться в программы и методики предварительных испытаний.
- Удаленный доступ к программным и программно-аппаратным средствам, в т.ч. СрЗИ, для обновления или управления можно предоставлять не только работникам субъекта КИИ, как это было раньше, но также работниками его дочерних и зависимых обществ. При этом сделано послабление и для предоставления удаленного доступа другим лицам, кроме вышеупомянутых, однако только при условии наличия компенсирующих мер по защите, установленных Приказом № 35.
- Теперь на территории РФ должны размещаться не только технические средства, осуществляющие хранение и обработку информации, значимых объектов КИИ 1 категории, но и технические средства объектов КИИ 2 категории значимости.
С 1 января 2023 года вступят в силу требования Приказа № 35 к оценке соответствия СрЗИ в форме приемки или испытаний, а также к прикладному программному обеспечению (далее – ПО) значимых объектов КИИ. Не встроенные в общесистемное и прикладное ПО СрЗИ, оценка соответствия которых проводится в форме испытаний или приемки, дополнительно должны будут соответствовать 6 или более высокому уровню доверия.
Таким образом, в действующей редакции Приказа ФСТЭК России № 239 оценку соответствия СрЗИ необходимо проводить только по тем требованиям к функциям безопасности, которые были установлены в ТЗ на создание значимого объекта КИИ и (или) ТЗ (частное ТЗ) на создание подсистемы безопасности значимого объекта КИИ. Для СрЗИ, планируемых к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимых объектов КИИ, после 1 января 2023 г. кроме описанной выше оценки соответствия необходимо будет проводить оценку соответствия по 6 (шестому) или более высокому уровню доверия.
Прикладное ПО значимых объектов КИИ с января 2023 г. должно будет соответствовать требованиям:- по безопасной разработке ПО;
- к испытаниям по выявлению уязвимостей в ПО;
- к поддержке безопасности ПО.
Подключение значимых объектов КИИ к сетям связи общего пользования
Следом, 15 сентября 2020 г. был официально опубликован приказ ФСТЭК России от 28.05.2020 № 75 «Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования» (далее – Порядок).
Порядок вступил в силу 26 сентября 2020 г. и устанавливает процедуру согласования со ФСТЭК России подключения значимых объектов КИИ к сети связи общего пользования. При этом, если значимый объект КИИ с подключением к сети связи общего пользования уже был внесен в реестр значимых объектов КИИ с соответствующей информацией до 26 сентября 2020 г., то согласование со ФСТЭК России не нужно.
При этом для согласования необходимо будет также предоставить во ФСТЭК России:- копии моделей угроз безопасности информации значимого объекта КИИ;
- копии протоколов испытаний, содержащих результаты оценки соответствия СрЗИ (для СрЗИ, прошедших оценку соответствия в форме испытаний, приемки);
- схему организации связи (в случае предоставления оператором связи субъекту КИИ цифровых каналов связи).
Инфографика от НКЦКИ
Из интересных новостей за сентябрь 2020 года стоит отметить, что с 7 сентября Национальный координационный центр по компьютерным инцидентам (НКЦКИ) еженедельно публикует статистику, полученную по результатам своей деятельности.
Статистика представляется в форме инфографики, содержащей информацию о количестве выявленных различных видов компьютерных инцидентов, а также о количестве выданных рекомендаций по повышению защищенности, бюллетеней об актуальных уязвимостях от НКЦКИ и др. Ознакомиться со статистикой можно в новом разделе сайта www.safe-surf.ru – «Статистика НКЦКИ». В заключении приведу пример основных результатов деятельности НКЦКИ за последнюю неделю сентября 2020 года.
