Обновление инфобеза
Что было и будет сделано в регулировании кибербезопасности РФ
В 2022 году государство основательно взялось за сферу безопасности в IT-индустрии. Какие нормативные документы сейчас обсуждаются среди экспертов, какие уже готовятся к публикации и что нового ожидает участников рынка, на SOC-Форум 2022 рассказали представители Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Национального координационного центра по компьютерным инцидентам (НКЦКИ) России.
ПРОЦЕДУРА ИНФОРМИРОВАНИЯ
Одной из задач НКЦКИ является помощь субъектам персональных данных (ПД) в реагировании на киберинциденты, отметил в своем выступлении представитель Центра Андрей Раевский. Он выделил основные векторы развития нормативно-правовой базы, которых сейчас придерживается НКЦКИ:
- Изменения в ФЗ-152 «О персональных данных», вступившие в силу 1 сентября 2022 года;
- Указ президента РФ №250 от 1 мая 2022 года «О дополнительных мерах по обеспечению информационной безопасности» и его реализация.
Андрей Раевский, НКЦКИ:
– Статья 19 ФЗ-152 дополнилась информацией об обязанности операторов ПД взаимодействовать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) через НКЦКИ. Теперь они обязаны информировать нас о киберинцидентах, повлекших неправомерную передачу данных.
Представитель Центра сообщил, что
порядок взаимодействия операторов ПД c НКЦКИ находится в разработке и будет определен приказом ФСБ России
Скорее всего, ожидается длительное согласование этого документа с Минюстом России, добавил он.
Порядок будет содержать два варианта уведомления регулятора:
- Операторы ПД заключают соглашение с ФСБ или НКЦКИ и передают им информацию о киберинциденте в течение трех часов. Подтверждением этого станет идентификатор инцидента, который присваивается НКЦКИ.
- Информирование будет осуществляться через сайт Роскомнадзора https://pd.rkn.gov.ru/incidents/form/. Сведения о киберинциденте из РКН будут поступать в НКЦКИ.
Также Центр по компьютерным инцидентам планируется наделить правом запрашивать у операторов ПД уточняющую информацию об утечках информации. Ответ на такой запрос, скорее всего, должен будет приходить в ведомство в течение 24 часов, отметил Андрей Раевский.
Ответственность оператора ПД за непередачу в ГосСОПКа информации об утечке будет введена, добавил представитель НКЦКИ Сергей Корелов. Он подчеркнул, что
НКЦКИ и ФСБ обязательно узнают, обо всех ли утечках сообщил оператор ПД, – для этого у ведомств есть средства
Президентским указом №250 на руководителя организации возлагается ответственность за обеспечение информационной безопасности (ИБ). Также в структуре компании должен быть создан специальный ИБ-отдел.
Андрей Раевский, НКЦКИ:
– Также вышло постановление правительства №1272 об утверждении типового положения о руководителе и таком структурном подразделении. В документе указано, что глава компании обязан осуществлять мероприятия по обнаружению, реагированию и ликвидации компьютерных атак.
Указ №250 требует:
- определить переходный период взаимодействия с НКЦКИ на основе соглашений или регламентов;
- организовать аккредитацию центров ГосСОПКа;
- определить порядок мониторинга защищенности информсистем.
Представитель НКЦКИ заверил, что
взаимодействие с ГосСОПКа – это не повинность, а реальная помощь операторам ПД
Приказ об аккредитации центров ГосСОПКа пока разрабатывается. За основу требований к соискателям аккредитации будут взяты изданные ранее документы, указал Андрей Раевский.
УСИЛЕНИЕ ОТВЕТСТВЕННОСТИ
Заместитель директора ФСТЭК России Виталий Лютиков рассказал о совершенствовании законодательства по обеспечению безопасности критической информационной инфраструктуры (КИИ).
По его словам,
сейчас ФСТЭК находится в режиме уговаривания субъектов КИИ в части повышения информационной безопасности. Но он уже заканчивается, потому что время требует адекватных мер
ФСТЭК подготовила проект внесения изменений в правила категорирования и список критериев значимости объектов КИИ «О внесении изменений в постановление правительства РФ от 8 февраля 2018 года №127».
Виталий Лютиков, ФСТЭК России:
– Все согласования для этого документа у федеральных органов исполнительной власти мы получили. Сейчас он готовится к внесению в правительство РФ. В основном проект затрагивает экономическую сферу – добавлены показатели в банковском и иных сегментах рынка.
Также исходные правила категорирования дополнены перечнями типовых объектов КИИ. Предполагается, говорит Виталий Лютиков, что отраслевые федеральные органы исполнительной власти разработают перечень типовых рекомендаций о том, какие объекты подлежат обязательному категорированию.
ФСТЭК хотел бы, чтобы такой перечень был в методиках категорирования у каждой отрасли. Все министерства и ведомства, а также Банк России согласились с такой постановкой задачи, подчеркнул представитель службы.
Кроме того, как рассказал Виталий Лютиков,
подготовлен проект внесения изменений в Кодекс РФ об административных правонарушениях (КОАП) в части повышения ответственности за предоставление недостоверных сведений при категорировании объектов КИИ
Виталий Лютиков, ФСТЭК России:
– Сейчас в рамках контрольных мероприятий мы часто выявляем случаи, когда при категорировании предоставляются не совсем некорректные сведения. Предложенными изменениями предусматривается усиление ответственности за повторное непредоставление информации.
Проект федерального закона поддержан законодателями и уже прошел первое чтение, отметил он.
СОГЛАСОВАНИЕ И СЕРТИФИКАЦИЯ
В целом правила игры в отечественной IT-сфере в настоящее время определяет постановление правительства №127 «Об утверждении правил категорирования объектов КИИ РФ», напомнила в своем выступлении начальник управления ФСТЭК России Елена Торбенко. У некоторых регуляторов существуют методические документы-рекомендации, как проводить категорирование в своих отраслях.
Елена Торбенко, ФСТЭК России:
– Часто задают вопрос: нужно ли согласовывать перечни объектов, подлежащих категорированию, с регулятором? Если организация является казенным учреждением, деятельность которого зависит от органов власти, – тогда нужно. Если же это микрофинансовая структура или завод и регулятор вашей сферы (ЦБ РФ или Минпромторг) не установил такого требования – ничего согласовывать не нужно.
Основным документом, определяющим порядок сертификации средств защиты информации (СЗИ) в части компетенций ФСТЭК, является «Положение о системе сертификации» (приказ ФСТЭК от 19 сентября 2022 года №172), указал Виталий Лютиков. В нем были сокращены регламентные сроки оценки материалов.
Также установлено изменение процедур безопасной разработки средств защиты. Так, с заявителя будет снята часть процедур, обратил внимание он.
Виталий Лютиков, ФСТЭК России:
– Если безопасная разработка сертифицирована у заявителя как процесс в компании, то отдельные материалы могут не направляться во ФСТЭК и заявитель может работать над совершенствованием своих СЗИ самостоятельно.
ФСТЭК включается в эту работу, только когда проходит новая сертификация средств защиты, пояснил он.
Тимур Халудоров