Обзор изменений в законодательстве за июль 2019

17 июля 2019 г. официально опубликован Приказ ФСБ России от 19.06.2019 № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации» (далее – Приказ). Приказ вступил в силу 28 июля 2019 г.

Приказ не распространяется на средства, предназначенные для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ (далее – средства ППКА). Средства ППКА применяются для операторов связи. Требования к порядку, техническим условиям установки и эксплуатации средств ППКА устанавливаются Минкомсвязь России. Приказ с данными требованиями все еще находится на стадии разработки: в 2017 году проект Приказа получил отрицательную оценку регулирующего воздействия и был повторно опубликован с изменениями в конце 2018 года.

Приказ ФСБ России №281 распространяется на средства обнаружения, предупреждения, ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее – средства).

Требования Приказа применимы ко всем субъектам КИИ, в том числе и к субъектам КИИ, функционирующим в банковской сфере и в иных сферах финансового рынка.

Субъекты КИИ могут приобретать, арендовать, устанавливать и обслуживать средства, но только при наличии согласия ФСБ России. Порядок согласования и описывает Приказ.

Субъекты КИИ обязаны предоставить не позднее чем за 45 календарных дней до даты планируемой установки средств в ФСБ России регламентированный Приказом пакет документов. Рассмотрение представленных сведений ФСБ России составляет не более 45 календарных дней.

 

Для субъектов КИИ, функционирующих в банковской сфере или в иных сферах финансового рынка, процедура согласования с ФСБ России аналогична. После согласования с ФСБ России упомянутые ранее субъекты КИИ обязаны предоставить весь пакет документов в течение не более 5 дней в Центральный банк России.

При изменении структурно-функциональной схемы подключения, состава или места установки средств необходимо пройти повторно процедуру согласования с надзорным органом. О любых изменениях в остальных данных, которые были направлены в ФСБ России на согласование, обязательно информировать надзорный орган в течении 5 календарных дней. Для субъектов КИИ из банковской сферы или иных сфер финансового рынка дополнительно обязательно информирование Банка России – также в течении 5 дней.

После приема в эксплуатацию средств субъект КИИ обязан информировать в течении 5 календарных дней об этом НКЦКИ (структурное подразделение ФСБ России). Дальнейший порядок доступа к средствам определяет и обеспечивает сам субъект КИИ. А для эксплуатации и технического обслуживания может быть привлечена подрядная организация, имеющая лицензию в области защиты информации. При этом субъект КИИ обязан при отключении электропитания обеспечить работу средств или их завершение работы с автоматическим оповещением ответственных за эксплуатацию лиц.

Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации» (далее – Приказ) также был опубликован 17 июля 2019 года. Приказ вступает в силу 28 июля 2019 г.

Исходя из названия Приказа, можно сделать вывод, что требования Приказа применимы только к субъектам КИИ, у которых есть значимые объекты КИИ, однако это не так. Информированием ФСБ России о компьютерных инцидентах является обязательным требованием ко всем субъектам КИИ. Требования же по реагированию и ликвидации устанавливаются для субъектов КИИ, которым принадлежат значимые объекты КИИ.

Информирование

 Приказ определяет срок, в который субъект КИИ должен проинформировать НКЦКИ:

Также в тексте Приказа учтены особенности взаимодействия субъектов КИИ, функционирующих в банковской сфере или иных сферах финансового рынка, с Банком России. Таким образом, согласно Приказу, упомянутые ранее субъекты КИИ для информирования надзорных органов о компьютерных инцидентах могут быть подключены к двум техническим инфраструктурам: к инфраструктуре НКЦКИ и (или) инфраструктуре Банка России. 

Реагирование и ликвидация

После поступления уведомления о включении значимых объектов КИИ в реестр субъект КИИ в течении 90 дней разрабатывает план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (далее – План).  При необходимости в План можно включить порядок привлечения к реагированию и ликвидации ФСБ России. В таком случае План необходимо разработать совместно с НКЦКИ и согласовать с ФСБ России.

Если субъект КИИ, функционирует в банковской сфере или иных сферах финансового рынка, то в План также должен быть включен порядок привлечения представителей Банка России. Такой План и любые его изменения согласовываются с Банком России.

Субъекты КИИ должны проводить на ежегодной основе тренировки по отработке Плана.

О результатах по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак не позднее 48 часов должен быть проинформирован НКЦКИ и для банковской сферы и сферы иных финансовых рынков Банк России.

И ещё немного о критической информационной инфраструктуре РФ:

И небольшой гид, как проводить расчет по показателю № 9 из Постановление Правительства РФ от 08.02.2018 №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»:

1. Из Федерального закона «О федеральном бюджете на 2019 и плановый период 2020 и 2021 годов» берем прогнозируемый общий объем доходов ФБ за 2019, 2020, 2021 годы. Складываем три этих значения и получаем усредненный доход за планируемый трехлетний период.
2. Считаем ущерб как сумму недополученных доходов в бюджеты всех уровней (по тем бюджетам, куда субъект КИИ платит налоги) в результате компьютерного инцидента.
3. Делим сумму ущерба (п.2) на усредненный доход (п.1) и умножаем на 100% – получаем значение показателя критерия значимости по п. 9 ПП 127.

Информационная безопасность персональных данных

Роскомнадзор разработал памятку для торговых площадок, использующих персональные данные (ПДн) участников электронных аукционов.

Надзорный орган напоминает о необходимости руководствоваться принципом целеполагания, согласно которому ПДн, указываемые в документах не должны быть избыточными по отношению к заявленным целям их обработки.

Стоит также отметить, что Роскомнадзор в качестве примера ПДн указывает следующий набор информации о субъекте ПДн: ФИО, СНИЛС, адрес проживания и паспортные данные. При этом в качестве меры по обезличиванию ПДн предлагается использовать в документации только фамилию и инициалы лица.

И в подтверждение важности принципа целеполагания слайд с презентации Роскомнадзора с Дня открытых дверей, приуроченного к годовщине принятия закона «О персональных данных», прошедшего 30-31 июля 2019 года:

P.S.:

Наличие высшего образования по специальности или направлению подготовки «Информационная безопасность» позволяет претендовать на замещение должностей:

10 июля 2019 года опубликован приказ Министерства спорта РФ от 13.03.2019 № 197 «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в сфере физической культуры и спорта»(далее – Приказ). Приказ вступил в силу 21 июля 2019 года.

Минспорт России разделил актуальные угрозы безопасности ПДн на угрозы безопасности, от которых можно защититься без использования средств криптографической защиты информации (СКЗИ), и угрозы, от которых необходима защита с использованием СКЗИ.