Автор: Анастасия Заведенская, помощник аналитика
В апреле 2019 года произошли давно ожидаемые специалистами по информационной безопасности изменения в законодательстве по безопасности критической информационной инфраструктуры, а также общественные обсуждения административной ответственности за несоблюдение этого законодательства. Кроме того, произошли изменения в части правового регулирования государственных информационных систем.
Изменения в области обеспечения ИБ критической информационной инфраструктуры
16 апреля 2019 года было опубликовано Постановление Правительства РФ от 13.04.2019 № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» (далее по тексту – ПП № 127). Постановления Правительства вступают в силу по истечении семи дней после официального опубликования, следовательно, изменения в ПП №127 вступили в силу 24 апреля 2019 года.
В соответствии с изменениями, государственные органы и учреждения в срок до 1 сентября 2019 г должны утвердить перечни объектов критической информационной инфраструктуры (КИИ), подлежащих категорированию. Для юридических лиц и индивидуальных предпринимателей этот срок носит рекомендательный характер.
Из основных нововведений правил категорирования объектов КИИ можно выделить следующие:
- теперь достаточно лишь одного показателя критериев значимости, по которому объект КИИ соответствует высшей 1 категории значимости (при наличии такой категории по всем остальным показателям расчёты не проводятся);
- состав комиссии по категорированию больше не ограничен перечнем п.11 ПП №127. По решению руководителя в неё можно включить любого работника предприятия;
- филиалы и представительства теперь тоже могут иметь свои отдельные комиссии по категорированию на местах, подконтрольный основной комиссии субъекта КИИ;
- комиссия по категорированию отныне действует постоянно и при создании любого нового объекта КИИ должна проводить оценку необходимости его категорирования;
- акт о результатах категорирования может быть общим для всех объектов КИИ;
- пересмотр категории объектов КИИ должен осуществляться не только раз в 5 лет, но и в случае изменения показателей критериев значимости.
Постановление Правительства РФ от 13.04.2019 № 452 вносит изменения и в сами показатели критериев значимости, что как раз-таки ведёт к пересмотру субъектами КИИ уже присвоенных категорий объектов КИИ. Если сведения о результатах категорирования уже были направлены во ФСТЭК России, то комиссия по категорированию должна провести пересмотр установленных категорий значимости (решений об отсутствии необходимости присвоения категории), закрепив результаты актом. В случае изменения у какого-либо объекта КИИ категории значимости необходимо направить сведения во ФСТЭК России.
19 апреля 2019 г. опубликован Приказ ФСТЭК России от 21.03.2019 № 59 «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. № 236». Изменения вступили в силу 30 апреля 2019 г.
Опубликованный приказ не имеет особых отличий от текста проекта приказа, доработанного по итогам обсуждения. Обзор проекта приказа можно прочитать в обзоре изменений законодательства ИБ за февраль 2019 г. Анализ изменений представлен в таблице.
|
Сведения об ОКИИ |
Было |
Стало |
|
Наименование объекта |
+ |
+ (уточнения, что объектами являются ИС, АСУ, ИТКС) |
|
Адреса размещения объекта, в том числе адреса обособленных подразделений субъекта КИИ, в которых размещаются сегменты распределенного объекта |
+ |
+ (убраны примеры сегментов) |
|
Критические процессы, которые обеспечиваются объектом |
+ |
- |
|
Тип объекта (ИС, АСУ,ИТКС) |
- |
+ |
|
Информация о структурном подразделении, ответственном за обеспечение безопасности значимых объектов, и его руководителе или информация о специалисте, ответственного за обеспечение безопасности значимых объектов |
+ |
+ (специалист не обязательно штатный) |
|
ИНН субъекта и КПП его обособленных подразделений, в которых размещаются сегменты распределенного объекта |
- |
+ |
|
Тип доступа к сети электросвязи (проводной, беспроводной), протоколы взаимодействия |
+ |
+ |
|
Используемые технологии доступа к сети электросвязи |
+ |
- |
|
ИНН лица, эксплуатирующего объект и КПП его обособленных подразделений, в которых размещаются сегменты распределенного объекта |
- |
+ |
|
Наименования программно-аппаратных средств и их количество |
+ |
+ из примеров исключено производственное оборудование (исполнительные устройства) |
|
Применяемые средства защиты информации или сведения об отсутствии средств защиты информации |
+ |
+ |
|
Ущерб, который может быть причинен в результате возникновения компьютерных инцидентов, или обоснование отсутствия возможности причинения ущерба |
+ |
- |
|
Категория значимости, которая присвоена объекту |
+ |
+ |
|
Информация о неприсвоении объекту ни одной из таких категорий |
- |
+ |
|
Полученные значения по каждому из показателей критериев значимости и обоснование или информация о неприменимости показателя к объекту с обоснованием |
+ |
+ (обоснования вынесены отдельным разделом) |
Пояснения к таблице: ИС – информационная система, АСУ – автоматизированная система управления, ИТКС – информационной-телекоммуникационная сеть.
В этот же день, 19 апреля, был опубликован Приказ ФСТЭК России от 26.03.2019 № 60 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239». Изменения также вступили в силу 30 апреля 2019 г, а опубликованная версия не обладает значительными отличиями от мартовского проекта приказа.
Остановимся поподробнее на изменениях в составе мер по обеспечению безопасности значимых объектов КИИ. Все меры, имеющие номер 0 и касающиеся организационно-распорядительной документации, больше не требуют внедрения и разработки конкретных политик и переформулированы как «регламентация правил и процедур...». На рисунке ниже оранжевым цветом выделены меры, исключенные из базового набора мер для соответствующей категории значимого объекта, а зелёным – добавленные.
С 15 апреля по 29 апреля 2019 г. прошли общественные обсуждения Проекта Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов критической информационной инфраструктуры)».
Законопроект предусматривает введение административной ответственности за несоблюдение субъектами КИИ законодательства в области обеспечения безопасности объектов КИИ. В таблице приведена сводка предлагаемых административных штрафов за нарушения.
|
Лицо |
Административный штраф |
За что? |
|
Должностное лицо |
10 000 руб. – 50 000 руб. |
|
| 10 000 руб. – 40 000 руб. |
|
|
| 20 000 руб. – 50 000 руб. |
|
|
| Юридическое лицо | 50 000 руб. – 100 000 руб. |
|
| 150 000 руб. – 200 000 руб. |
|
|
| 100 000 руб. – 200 000 руб. |
|
|
| 100 000 руб. – 500 000 руб. |
|
Государственные органы, государственные информационные системы и требования к ним
17 апреля опубликовано Постановление Правительства Российской Федерации от 15.04.2019 № 454 «О внесении изменения в перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Постановление Правительства внесло небольшие корректировки для операторов персональных данных (далее – ПДн), являющихся государственными или муниципальными органами. Назначать ответственным за организацию обработки ПДн теперь можно и работников, замещающих должности, не являющиеся должностями государственной службы РФ или муниципальной службы, на основании трудового договора.
Постановление Правительства Российской Федерации от 11.04.2019 № 420 «О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации». Изменения вносятся в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем (ГИС) и дальнейшего хранения содержащейся в их базах данных информации, утвержденные Постановлением Правительства от 06.07.15 №676.
Теперь требования распространяются не только на органы исполнительной власти, но и на юридических лиц, с которыми заключено соглашение о государственно-частном партнерстве. Также внесены уточнения об обязательности выполнения требований к защите персональных данных, в случае если они обрабатываются в ГИС.
22 апреля 2019 г. ФСТЭК России опубликовал Проект Приказа «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17». Общественные обсуждения проекта изменений в 17 Приказе ФСТЭК прошли с 22 апреля по 6 мая 2019 г.
Предлагается дополнить нормы касательно ГИС, функционирование которых предполагается на базе информационной-телекоммуникационной инфраструктуры центров обработки данных. Кроме того, аттестат соответствия предлагается выдавать на весь срок эксплуатации ГИС. Это достаточно противоречиво, так как в том же Приказе № 17 есть указание о применении для проведения аттестации национальных стандартов, а также методических документов, разработанных и утвержденных ФСТЭК России. К таким документам относятся ГОСТ РО 0043-003-2012 «Аттестация объектов информатизации. Общие положения», ГОСТ РО 0043-004-2013 «Программа и методики аттестационных испытаний», в которых установлен конкретный срок, исчисляемый в годах. К методическим документам можно также отнести «Положение по аттестации объектов информатизации по требованиям безопасности информации» Гостехкомиссия, 25.11.1994 (актуален до сих пор), в котором прописано, что аттестат соответствия выдается на срок не более 3-х лет.
Обязательных мероприятий по обеспечению защиты информации в ходе эксплуатации аттестованной ГИС вместо 4 должно стать 7, добавились:
- планирование мероприятий по защите информации;
- анализ угроз безопасности информации в ходе эксплуатации ГИС;
- информирование и обучение персонала.
Стоит обратить внимание на изменения в ходе контроля за обеспечением уровня защищенности информации, содержащейся в ГИС. Предполагается установить периодичность проведения контроля для 1 класса защищенности – не реже 1 раза в год, а для 2 и 3 класса защищённости – не реже 1 раза в 2 года. При этом контроль может быть проведен как самостоятельно оператором, так и с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
Ожидаемо исключены уровни контроля отсутствия недекларированных возможностей для средств защиты информации и заменены на требования к уровню доверия. Для ГИС 1 класса защищенности в качестве маршрутизаторов, имеющих доступ к сети Интернет, предлагается ввести требование о сертификации на соответствие требованиям по безопасности информации.
Минкомсвязи 18 апреля 2019 г. опубликовало проект Постановления Правительства Российской Федерации с целью урегулирования некоторых вопросов выполнения требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем, а также дальнейшего хранения содержащейся в их базах данных информации.
Проектом предложено разрешить федеральным органам исполнительной власти эксплуатацию ГИС без аттестата соответствия безопасности информации до 1 июля 2020 г. Данный подход позволит спланировать органам исполнительной власти мероприятия по информатизации, направленные на обеспечение защиты информации, содержащей в ГИС, включая получение аттестата соответствия требованиям безопасности информации, на очередной финансовый 2019 год и плановый период 2020-2021 годы. Проектом постановления предлагается установить, что федеральные органы исполнительной власти должны будут получить аттестат соответствия до 1 июля 2020 года.