Обновление инфобеза
Регулирование / Статьи
информбезопасность персональные данные
18.11.2022

Обновление инфобеза

Что было и будет сделано в регулировании кибербезопасности РФ

В 2022 году государство основательно взялось за сферу безопасности в IT-индустрии. Какие нормативные документы сейчас обсуждаются среди экспертов, какие уже готовятся к публикации и что нового ожидает участников рынка, на SOC-Форум 2022 рассказали представители Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Национального координационного центра по компьютерным инцидентам (НКЦКИ) России.

ПРОЦЕДУРА ИНФОРМИРОВАНИЯ

Одной из задач НКЦКИ является помощь субъектам персональных данных (ПД) в реагировании на киберинциденты, отметил в своем выступлении представитель Центра Андрей Раевский. Он выделил основные векторы развития нормативно-правовой базы, которых сейчас придерживается НКЦКИ:

  • Изменения в ФЗ-152 «О персональных данных», вступившие в силу 1 сентября 2022 года;
  • Указ президента РФ №250 от 1 мая 2022 года «О дополнительных мерах по обеспечению информационной безопасности» и его реализация.

Андрей Раевский, НКЦКИ:

– Статья 19 ФЗ-152 дополнилась информацией об обязанности операторов ПД взаимодействовать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) через НКЦКИ. Теперь они обязаны информировать нас о киберинцидентах, повлекших неправомерную передачу данных.

Представитель Центра сообщил, что

порядок взаимодействия операторов ПД c НКЦКИ находится в разработке и будет определен приказом ФСБ России

Скорее всего, ожидается длительное согласование этого документа с Минюстом России, добавил он.

Порядок будет содержать два варианта уведомления регулятора:

  • Операторы ПД заключают соглашение с ФСБ или НКЦКИ и передают им информацию о киберинциденте в течение трех часов. Подтверждением этого станет идентификатор инцидента, который присваивается НКЦКИ.
  • Информирование будет осуществляться через сайт Роскомнадзора https://pd.rkn.gov.ru/incidents/form/. Сведения о киберинциденте из РКН будут поступать в НКЦКИ.

Также Центр по компьютерным инцидентам планируется наделить правом запрашивать у операторов ПД уточняющую информацию об утечках информации. Ответ на такой запрос, скорее всего, должен будет приходить в ведомство в течение 24 часов, отметил Андрей Раевский.

Ответственность оператора ПД за непередачу в ГосСОПКа информации об утечке будет введена, добавил представитель НКЦКИ Сергей Корелов. Он подчеркнул, что

НКЦКИ и ФСБ обязательно узнают, обо всех ли утечках сообщил оператор ПД, – для этого у ведомств есть средства

Президентским указом №250 на руководителя организации возлагается ответственность за обеспечение информационной безопасности (ИБ). Также в структуре компании должен быть создан специальный ИБ-отдел.

Андрей Раевский, НКЦКИ:

– Также вышло постановление правительства №1272 об утверждении типового положения о руководителе и таком структурном подразделении. В документе указано, что глава компании обязан осуществлять мероприятия по обнаружению, реагированию и ликвидации компьютерных атак.

Указ №250 требует:

  • определить переходный период взаимодействия с НКЦКИ на основе соглашений или регламентов;
  • организовать аккредитацию центров ГосСОПКа;
  • определить порядок мониторинга защищенности информсистем.

Представитель НКЦКИ заверил, что

взаимодействие с ГосСОПКа – это не повинность, а реальная помощь операторам ПД

Приказ об аккредитации центров ГосСОПКа пока разрабатывается. За основу требований к соискателям аккредитации будут взяты изданные ранее документы, указал Андрей Раевский.

УСИЛЕНИЕ ОТВЕТСТВЕННОСТИ

Заместитель директора ФСТЭК России Виталий Лютиков рассказал о совершенствовании законодательства по обеспечению безопасности критической информационной инфраструктуры (КИИ).

По его словам,

сейчас ФСТЭК находится в режиме уговаривания субъектов КИИ в части повышения информационной безопасности. Но он уже заканчивается, потому что время требует адекватных мер

ФСТЭК подготовила проект внесения изменений в правила категорирования и список критериев значимости объектов КИИ «О внесении изменений в постановление правительства РФ от 8 февраля 2018 года №127».

Виталий Лютиков, ФСТЭК России:

– Все согласования для этого документа у федеральных органов исполнительной власти мы получили. Сейчас он готовится к внесению в правительство РФ. В основном проект затрагивает экономическую сферу – добавлены показатели в банковском и иных сегментах рынка.

Также исходные правила категорирования дополнены перечнями типовых объектов КИИ. Предполагается, говорит Виталий Лютиков, что отраслевые федеральные органы исполнительной власти разработают перечень типовых рекомендаций о том, какие объекты подлежат обязательному категорированию.

ФСТЭК хотел бы, чтобы такой перечень был в методиках категорирования у каждой отрасли. Все министерства и ведомства, а также Банк России согласились с такой постановкой задачи, подчеркнул представитель службы.

Кроме того, как рассказал Виталий Лютиков,

подготовлен проект внесения изменений в Кодекс РФ об административных правонарушениях (КОАП) в части повышения ответственности за предоставление недостоверных сведений при категорировании объектов КИИ

Виталий Лютиков, ФСТЭК России:

– Сейчас в рамках контрольных мероприятий мы часто выявляем случаи, когда при категорировании предоставляются не совсем некорректные сведения. Предложенными изменениями предусматривается усиление ответственности за повторное непредоставление информации.

Проект федерального закона поддержан законодателями и уже прошел первое чтение, отметил он.

СОГЛАСОВАНИЕ И СЕРТИФИКАЦИЯ

В целом правила игры в отечественной IT-сфере в настоящее время определяет постановление правительства №127 «Об утверждении правил категорирования объектов КИИ РФ», напомнила в своем выступлении начальник управления ФСТЭК России Елена Торбенко. У некоторых регуляторов существуют методические документы-рекомендации, как проводить категорирование в своих отраслях.

Елена Торбенко, ФСТЭК России:

– Часто задают вопрос: нужно ли согласовывать перечни объектов, подлежащих категорированию, с регулятором? Если организация является казенным учреждением, деятельность которого зависит от органов власти, – тогда нужно. Если же это микрофинансовая структура или завод и регулятор вашей сферы (ЦБ РФ или Минпромторг) не установил такого требования – ничего согласовывать не нужно.

Основным документом, определяющим порядок сертификации средств защиты информации (СЗИ) в части компетенций ФСТЭК, является «Положение о системе сертификации» (приказ ФСТЭК от 19 сентября 2022 года №172), указал Виталий Лютиков. В нем были сокращены регламентные сроки оценки материалов.

Также установлено изменение процедур безопасной разработки средств защиты. Так, с заявителя будет снята часть процедур, обратил внимание он.

Виталий Лютиков, ФСТЭК России:

Если безопасная разработка сертифицирована у заявителя как процесс в компании, то отдельные материалы могут не направляться во ФСТЭК и заявитель может работать над совершенствованием своих СЗИ самостоятельно.

ФСТЭК включается в эту работу, только когда проходит новая сертификация средств защиты, пояснил он.

Тимур Халудоров

Изображение: RSpectr, Adobe Stock

Еще по теме

Насколько эффективной будет маркировка синтезированного нейросетью контента

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании