Автор: Анастасия Заведенская, аналитик
В феврале 2020 года ФСТЭК России провела общественные обсуждения проекта изменений требований по обеспечению безопасности значимых объектов КИИ, в котором, в частности, затрагиваются модернизация значимых объектов КИИ, сертификация средств защиты информации, которые на них устанавливаются, а также предоставление удаленного доступа к значимым объектам КИИ.
6 февраля 2020 г. был опубликован Проект Приказа ФСТЭК России «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239» (далее – Проект). Общественные обсуждения проходили до 20 февраля 2020 г. Доработанная по результатам обсуждения версия также была опубликована на федеральном портале проектов нормативно-правовых актов.
В первой версии Проекта запрещалась техническая поддержка средств, в том числе средств защиты информации (далее – СрЗИ), применяемых в значимом объекте КИИ, зарубежными организациями, а также организациями, находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц. Что, по мнению ряда экспертов, означало неизбежный переход к использованию отечественного программного обеспечения в значимых объектах КИИ. В конечной же версии Проекта о таком ограничении речи не идет. Возможность удаленного доступа к программным и программно-аппаратным средствам, в том числе СрЗИ, для обновления или управления предлагается предоставить дочерним (зависимым) обществам субъекта КИИ, юридическим лицам, в которых субъект КИИ имеет возможность определять принимаемые этими лицами решения, обществам, имеющим более двадцати процентов уставного капитала субъекта КИИ, а также юридическим лицам, имеющим возможность определять решения, принимаемые субъектом КИИ. В случае технической невозможности исключения удаленного доступа к программным и программно-аппаратным средствам, в том числе СрЗИ, в значимом объекте КИИ предлагается принимать организационные и технические меры по обеспечению безопасности такого доступа.
Далее приведем еще несколько нововведений, предлагаемых Проектом:- В Проекте, в частности, предлагается дать расшифровку термина «модернизация». А именно: «модернизацией является изменение архитектуры значимого объекта КИИ, в том числе подсистемы его безопасности, в соответствии с отдельным техническим заданием на модернизацию значимого объекта КИИ и (или) техническим заданием (частным техническим заданием) на модернизацию подсистемы безопасности значимого объекта КИИ».
- Согласно Приказу № 239 для обеспечения безопасности значимых объектов КИИ должны использоваться сертифицированные СрЗИ или СрЗИ, прошедшие оценку на соответствие требованиям в форме испытаний или приемки. Проектом приказа предлагается регламентировать процесс испытаний (приемки) и установить обязательное соответствие не встроенных в общесистемное и прикладное программное обеспечение СрЗИ шестому или более высокому уровню доверия. При этом по решению субъекта КИИ испытания (приемка) могут проводиться им самостоятельно или с привлечением организаций, имеющих лицензии на деятельность в области защиты информации. Также следует отметить, что Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, (утв. Приказом ФСТЭК России от 30 июля 2018 г. № 131) носят гриф «Для служебного пользования». Выписка из упомянутых выше требований опубликована на сайте ФСТЭК России. Предполагается что все требования касательно приемки (испытаний) СрЗИ вступят в силу с 1 января 2023 г.
- Кроме того, нововведением Проекта является предъявление к прикладному программному обеспечению объектов КИИ требований по безопасной разработке, выявлению уязвимостей и недекларированных возможностей, что, в свою очередь, подтверждает тезис о том, что нововведениями делается акцент на использовании отечественных разработок. Также входящие в состав объектов КИИ не только первой, но и второй категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, по Проекту должны размещаться на территории Российской Федерации. В действующей редакции Приказа № 239 данное требование предъявляется только к объектам КИИ первой категории значимости.