Обновление инфобеза
Регулирование / Статьи
информбезопасность персональные данные
18.11.2022

Обновление инфобеза

Что было и будет сделано в регулировании кибербезопасности РФ

В 2022 году государство основательно взялось за сферу безопасности в IT-индустрии. Какие нормативные документы сейчас обсуждаются среди экспертов, какие уже готовятся к публикации и что нового ожидает участников рынка, на SOC-Форум 2022 рассказали представители Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Национального координационного центра по компьютерным инцидентам (НКЦКИ) России.

ПРОЦЕДУРА ИНФОРМИРОВАНИЯ

Одной из задач НКЦКИ является помощь субъектам персональных данных (ПД) в реагировании на киберинциденты, отметил в своем выступлении представитель Центра Андрей Раевский. Он выделил основные векторы развития нормативно-правовой базы, которых сейчас придерживается НКЦКИ:

  • Изменения в ФЗ-152 «О персональных данных», вступившие в силу 1 сентября 2022 года;
  • Указ президента РФ №250 от 1 мая 2022 года «О дополнительных мерах по обеспечению информационной безопасности» и его реализация.

Андрей Раевский, НКЦКИ:

– Статья 19 ФЗ-152 дополнилась информацией об обязанности операторов ПД взаимодействовать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) через НКЦКИ. Теперь они обязаны информировать нас о киберинцидентах, повлекших неправомерную передачу данных.

Представитель Центра сообщил, что

порядок взаимодействия операторов ПД c НКЦКИ находится в разработке и будет определен приказом ФСБ России

Скорее всего, ожидается длительное согласование этого документа с Минюстом России, добавил он.

Порядок будет содержать два варианта уведомления регулятора:

  • Операторы ПД заключают соглашение с ФСБ или НКЦКИ и передают им информацию о киберинциденте в течение трех часов. Подтверждением этого станет идентификатор инцидента, который присваивается НКЦКИ.
  • Информирование будет осуществляться через сайт Роскомнадзора https://pd.rkn.gov.ru/incidents/form/. Сведения о киберинциденте из РКН будут поступать в НКЦКИ.

Также Центр по компьютерным инцидентам планируется наделить правом запрашивать у операторов ПД уточняющую информацию об утечках информации. Ответ на такой запрос, скорее всего, должен будет приходить в ведомство в течение 24 часов, отметил Андрей Раевский.

Ответственность оператора ПД за непередачу в ГосСОПКа информации об утечке будет введена, добавил представитель НКЦКИ Сергей Корелов. Он подчеркнул, что

НКЦКИ и ФСБ обязательно узнают, обо всех ли утечках сообщил оператор ПД, – для этого у ведомств есть средства

Президентским указом №250 на руководителя организации возлагается ответственность за обеспечение информационной безопасности (ИБ). Также в структуре компании должен быть создан специальный ИБ-отдел.

Андрей Раевский, НКЦКИ:

– Также вышло постановление правительства №1272 об утверждении типового положения о руководителе и таком структурном подразделении. В документе указано, что глава компании обязан осуществлять мероприятия по обнаружению, реагированию и ликвидации компьютерных атак.

Указ №250 требует:

  • определить переходный период взаимодействия с НКЦКИ на основе соглашений или регламентов;
  • организовать аккредитацию центров ГосСОПКа;
  • определить порядок мониторинга защищенности информсистем.

Представитель НКЦКИ заверил, что

взаимодействие с ГосСОПКа – это не повинность, а реальная помощь операторам ПД

Приказ об аккредитации центров ГосСОПКа пока разрабатывается. За основу требований к соискателям аккредитации будут взяты изданные ранее документы, указал Андрей Раевский.

УСИЛЕНИЕ ОТВЕТСТВЕННОСТИ

Заместитель директора ФСТЭК России Виталий Лютиков рассказал о совершенствовании законодательства по обеспечению безопасности критической информационной инфраструктуры (КИИ).

По его словам,

сейчас ФСТЭК находится в режиме уговаривания субъектов КИИ в части повышения информационной безопасности. Но он уже заканчивается, потому что время требует адекватных мер

ФСТЭК подготовила проект внесения изменений в правила категорирования и список критериев значимости объектов КИИ «О внесении изменений в постановление правительства РФ от 8 февраля 2018 года №127».

Виталий Лютиков, ФСТЭК России:

– Все согласования для этого документа у федеральных органов исполнительной власти мы получили. Сейчас он готовится к внесению в правительство РФ. В основном проект затрагивает экономическую сферу – добавлены показатели в банковском и иных сегментах рынка.

Также исходные правила категорирования дополнены перечнями типовых объектов КИИ. Предполагается, говорит Виталий Лютиков, что отраслевые федеральные органы исполнительной власти разработают перечень типовых рекомендаций о том, какие объекты подлежат обязательному категорированию.

ФСТЭК хотел бы, чтобы такой перечень был в методиках категорирования у каждой отрасли. Все министерства и ведомства, а также Банк России согласились с такой постановкой задачи, подчеркнул представитель службы.

Кроме того, как рассказал Виталий Лютиков,

подготовлен проект внесения изменений в Кодекс РФ об административных правонарушениях (КОАП) в части повышения ответственности за предоставление недостоверных сведений при категорировании объектов КИИ

Виталий Лютиков, ФСТЭК России:

– Сейчас в рамках контрольных мероприятий мы часто выявляем случаи, когда при категорировании предоставляются не совсем некорректные сведения. Предложенными изменениями предусматривается усиление ответственности за повторное непредоставление информации.

Проект федерального закона поддержан законодателями и уже прошел первое чтение, отметил он.

СОГЛАСОВАНИЕ И СЕРТИФИКАЦИЯ

В целом правила игры в отечественной IT-сфере в настоящее время определяет постановление правительства №127 «Об утверждении правил категорирования объектов КИИ РФ», напомнила в своем выступлении начальник управления ФСТЭК России Елена Торбенко. У некоторых регуляторов существуют методические документы-рекомендации, как проводить категорирование в своих отраслях.

Елена Торбенко, ФСТЭК России:

– Часто задают вопрос: нужно ли согласовывать перечни объектов, подлежащих категорированию, с регулятором? Если организация является казенным учреждением, деятельность которого зависит от органов власти, – тогда нужно. Если же это микрофинансовая структура или завод и регулятор вашей сферы (ЦБ РФ или Минпромторг) не установил такого требования – ничего согласовывать не нужно.

Основным документом, определяющим порядок сертификации средств защиты информации (СЗИ) в части компетенций ФСТЭК, является «Положение о системе сертификации» (приказ ФСТЭК от 19 сентября 2022 года №172), указал Виталий Лютиков. В нем были сокращены регламентные сроки оценки материалов.

Также установлено изменение процедур безопасной разработки средств защиты. Так, с заявителя будет снята часть процедур, обратил внимание он.

Виталий Лютиков, ФСТЭК России:

Если безопасная разработка сертифицирована у заявителя как процесс в компании, то отдельные материалы могут не направляться во ФСТЭК и заявитель может работать над совершенствованием своих СЗИ самостоятельно.

ФСТЭК включается в эту работу, только когда проходит новая сертификация средств защиты, пояснил он.

Тимур Халудоров

Изображение: RSpectr, Adobe Stock

Еще по теме

Эксперты обсудили идею введения штрафов за сбор избыточных персональных сведений

Эксперты отрасли оценили предложенный Минтрудом профстандарт ИБ-специалиста по защите КИИ

Как добиться максимальной компенсации в суде при защите персданных

Как институт уполномоченных операторов персданных поможет бизнесу

Как новый закон об обезличивании персданных повлияет на бизнес

Почему расследованием инцидентов с персональными данными должны заняться цифровые криминалисты

При каких условиях в организации может начаться проверка защиты персданных

Помогут ли механизмы самоконтроля операторов в защите личной информации граждан

Нужен ли ИТ-рынку национальный стандарт доверенной среды исполнения

Почему ограничения в размещении базовых станций угрожают развитию сетей связи

Поможет ли риск-ориентированная модель безопасному обороту персональных данных

Нужна ли правосубъектность искусственному интеллекту

Поможет ли «специальный оператор» защите персональной информации

Персданные должников по алиментам объединят в общедоступной базе: чего опасаться

Приведет ли новый налог на прибыль к росту цен на ИТ-продукты