В обзоре изменений за июль 2024 года рассмотрим следующие темы:
1. Критическая информационная инфраструктура
Из Правил категорирования объектов КИИ РФ планируется исключить требования к субъектам КИИ по формированию перечня объектов КИИ, подлежащих категорированию. Росатом наделили полномочиями в области обеспечения технологической независимости объектов КИИ.
2. Персональные данные
Предложены новые требования к согласию на обработку ПДн. Согласие необходимо будет оформлять отдельным документом, включать его в состав других документов, которые подписывает субъект ПДн, будет запрещено. Также предложен ряд изменений в 152-ФЗ в области обезличивания ПДн.
3. Безопасность финансовых организаций
Банк России представил проект приказа, который устанавливает порядок управления рисками и непрерывностью функционирования платформы цифрового рубля.
4. Иное
Принятые НПА включают санкции к организаторам распространения информации за повторное нарушение требования по направлению уведомления в Роскомнадзор, положение о государственной единой облачной платформе и перечень российских программ для ЭВМ, которые должны быть предварительно установлены на отдельные виды технически сложных товаров в 2025 году.
Также рассмотрены проект постановления Правительства РФ, предлагающий дополнить перечень служебной информации ограниченного распространения информацией, которая содержится в документах Архивного фонда РФ, проект создания Единой цифровой платформы МИД России и проект указания о проведении аудита АИС страхования.
5. Деятельность ФСТЭК России
ФСТЭК России предложила внести изменения в Требования о защите информации, не составляющей государственную тайну, содержащейся в ГИС, и Требования по обеспечению безопасности значимых объектов КИИ РФ, а также увеличить штрафы за нарушение правил защиты информации.
6. Стандартизация
Опубликованы справка-доклад за июль о ходе работ по плану ТК 362 на 2024 год, результаты анализа работы ТК 362 и активности организаций-членов ТК 362 во 2 квартале 2024 года и сведения о принятых национальных и международных стандартах за 2 квартал 2024 года.
Рассмотрен стандарт «Требования к функциональной безопасности и защите системы контроля промышленной автоматизации на протяжении жизненного цикла».
Критическая информационная инфраструктура
Исключение требования по формированию перечня объектов КИИ
Правительство Российской Федерации (далее – РФ) представило проект постановления «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры (далее – КИИ) РФ».
Согласно проекту из Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений», будут исключены требования к субъектам КИИ по формированию, утверждению и направлению в Федеральную службу по техническому и экспортному контролю РФ (далее – ФСТЭК России) перечня объектов КИИ, подлежащих категорированию, а также по подготовке предложений для включения в перечень объектов КИИ и оценке необходимости категорирования вновь создаваемых информационных систем (далее – ИС), автоматизированных систем управления, информационно-телекоммуникационных сетей.
Изменения связаны с тем, что согласно подпункту «ж» пункта 10 Правил категорирования объектов КИИ РФ в качестве исходных данных при категорировании объектов КИИ должны использоваться перечни типовых отраслевых объектов КИИ, дополнительное формирование перечней объектов КИИ субъектами КИИ является избыточным.
Общественное обсуждение проекта завершилось 24 июля 2024 года.
Полномочия Росатома в области обеспечения технологической независимости объектов КИИ
19 июля 2024 года вступил в силу Федеральный закон от 08.07.2024 № 170-ФЗ «О внесении изменений в Федеральный закон «О Государственной корпорации по атомной энергии «Росатом». «Росатом» наделяется полномочиями в области обеспечения технологической независимости объектов КИИ, среди которых:
‒ разработка предложений по формированию государственной политики и нормативно-правовому регулированию в области обеспечения технологической независимости объектов КИИ;
‒ организация, координация и мониторинг деятельности по обеспечению технологической независимости объектов КИИ и в области информационных технологий учреждений «Росатом», акционерных и дочерних обществ, а также подведомственных предприятий;
‒ проведение фундаментальных исследований, научно-исследовательских, опытно-конструкторских и проектно-изыскательских работ и иное.
Персональные данные
Требования к согласию на обработку ПДн и запрет на ограничение доступа к информации при отказе от предоставления ПДн
В Государственную думу (далее – Госдума) внесен законопроект «О внесении изменений в статью 9 Федерального закона «О персональных данных» (далее – 152-ФЗ) и статью 10 Закона РФ «О защите прав потребителей».
Законопроект дополняет требования к согласию субъекта персональных данных (далее – ПДн) на обработку его ПДн. Согласно новым требованиям согласие на обработку ПДн должно быть оформлено отдельно от иных документов, которые подписывает субъект ПДн, в том числе отдельно от других согласий на обработку ПДн, которые предоставляются в иных целях.
В случае принятия законопроекта согласие на обработку ПДн нельзя будет включать в пользовательские соглашения или другие документы, размещаемые на информационных ресурсах или предоставляемые субъектам ПДн на бумажных носителях, а посещение сайта или страницы сайта в сети «Интернет» и принятие пользовательского соглашения путем проставления «галочки» не сможет быть приравнено к согласию на обработку ПДн.
Также законопроектом устанавливается запрет на ограничение доступа потребителей к информации о потребительских свойствах товара, цене, гарантийном сроке, правилах и условиях работы, сроке службы, сроке годности и иной информации в случае отказа потребителя предоставить свои ПДн.
Планируется, что закон вступит в силу с 1 марта 2025 года.
Изменения в 152-ФЗ
Правительством РФ внесен на рассмотрение в Госдуму законопроект «О внесении изменений в Федеральный закон «О персональных данных» и Федеральный закон «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте РФ - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных».
Законопроектом предлагаются следующие изменения в 152-ФЗ:
1) Добавление статьи, регламентирующей особенности обработки обезличенных ПДн. Согласно изменениям Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) направляет операторам ПДн требование о предоставлении обезличенных ПДн и формирует составы обезличенных ПДн, сгруппированные по одному признаку.
Оператор ПДн после получения требования должен обезличить обрабатываемые им ПДн в соответствии с законодательством РФ и предоставить полученные данные. Данные планируется использовать в государственной информационной системе (далее – ГИС) Минцифры в целях повышения эффективности государственного и муниципального управления, а также в иных целях, предусмотренных федеральными законами.
2) Меры по обеспечению безопасности ПДн при их обработке дополняются применением для уничтожения ПДн СрЗИ, которые прошли процедуру оценки соответствия и в составе которых реализована функция уничтожения информации.
3) Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) наделяется полномочиями по определению требований к обезличиванию ПДн и методов обезличивания.
Безопасность финансовых организаций
Управление рисками и непрерывностью функционирования платформы цифрового рубля
Центральный банк России (далее – Банк России) представил проект приказа «О порядке управления рисками и непрерывностью функционирования платформы цифрового рубля». Банк России для обеспечения бесперебойного функционирования платформы:
‒ создает организационную структуру, используемую оператором платформы для обеспечения бесперебойности её функционирования;
‒ осуществляет управление рисками, присущими бизнес-процессу, в рамках которого обеспечивается функционирование платформы;
‒ осуществляет управление непрерывностью функционирования платформы;
‒ организует и обеспечивает взаимодействие Банка России, участников платформы, пользователей платформы, направленное на обеспечение бесперебойного функционирования платформы.
В рамках управления рисками платформы цифрового рубля осуществляется:
‒ оценка значимых рисков платформы и действующих мер реагирования (самооценка), которая включает:
o идентификацию значимых рисков;
o определение уровня значимого риска;
o принятие решения о реагировании на значимые риски;
o разработка плана обеспечения непрерывности и восстановления деятельности (далее – ОНиВД);
o заполнение профиля рисков платформы;
‒ разработка и мониторинг ключевых индикаторов рисков, которая включает:
o выявление существенных изменений уровней наиболее значимых остаточных рисков;
o реагирование на достижение расчетными значениями ключевых индикаторов рисков порогового уровня.
В рамках управления непрерывностью функционирования платформы цифрового рубля осуществляется:
‒ выявление и регистрация инцидентов;
‒ применение ответных мер, в том числе выполнение плана ОНиВД.
В приложении к проекту приказа представлены:
‒ критерии доступности платформы;
‒ карта зон рисков;
‒ порядок мониторинга уровней значимых рисков платформы;
‒ шкала оценки вероятности реализации риска;
‒ шкала оценки воздействия риска;
‒ требования к содержанию плана ОНиВД;
‒ профиль рисков платформы цифрового рубля и требования к заполнению;
‒ параметры ключевых индикаторов рисков и требования к заполнению.
Порядок информационного взаимодействия Банка России с участниками финансового рынка
18 июля 2024 года вступило в силу указание Банка России от 09.01.2024 № 6655 - У «О порядке взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями, лицами, оказывающими профессиональные услуги на финансовом рынке, и другими участниками информационного обмена при использовании ими информационных ресурсов Банка России, в том числе личного кабинета, а также о порядке и сроках направления уведомления об использовании личного кабинета и уведомления об отказе от использования личного кабинета».
Подробнее с указанием можно ознакомиться в обзоре изменений законодательства за июнь 2024 года[ЛЛВ1] , подготовленном Аналитическим центром УЦСБ.
Стандарт «Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации»
1 июля 2024 года вступил в силу стандарт Банка России СТО БР БФБО-1.8-2024 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации».
Документ носит рекомендательный характер, подробнее с содержанием стандарта можно ознакомиться в обзоре изменений законодательства за март 2024 года[ЛЛВ2] , подготовленном Аналитическим центром УЦСБ.
Иное
Включение в реестр организаторов распространения информации
27 июля 2024 года вступило в силу постановление Правительства РФ от 18.07.2024 № 973 «О внесении изменения в постановление Правительства РФ от 12.11.2020 № 1824», которое дополняет Правила уведомления организаторами распространения информации в сети «Интернет» Роскомнадзор о начале осуществления деятельности по обеспечению функционирования ИС и (или) программ для электронных вычислительных машин (далее – ЭВМ), которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет», а также ведения реестра указанных организаторов.
При повторном нарушении организатором распространения информации требования по направлению уведомления в Роскомнадзор и при наличии соответствующего постановления по делу об административном правонарушении Роскомнадзор сможет формировать реестровую запись о включении нарушителя в реестр организаторов распространения информации.
Государственная облачная платформа
Правительство РФ приняло постановление от 10.07.2024 № 929 «Об утверждении Положения о государственной единой облачной платформе (далее – Гособлако)».
Целью Гособлака является предоставление облачных услуг потребителям с возможностью масштабирования, совместного использования и перераспределения объемов облачных услуг для повышения эффективности расходования средств на приобретение и эксплуатацию необходимых вычислительных ресурсов.
Гособлако обеспечивает решение следующих задач:
‒ управление параметрами и уровнем предоставления облачных услуг, мониторинг функционирования всех элементов Гособлака;
‒ снижение рисков для потребителей, связанных с возникновением сбоев в функционировании ИС, информационных ресурсов и информационно-телекоммуникационной инфраструктуры;
‒ обеспечение необходимого уровня информационной безопасности (далее – ИБ) для информационно-телекоммуникационной инфраструктуры и размещаемых на ней ИС и информационных ресурсов потребителей, выявление угроз безопасности информации и уязвимостей и другое.
Гособлако обеспечивает возможность предоставления потребителям следующих групп облачных услуг:
‒ вычислительные ресурсы и ресурсы хранения данных;
‒ системы управления резервным копированием;
‒ каналы связи и публичные IPv4-адреса;
‒ системное программное обеспечение (далее – ПО);
‒ комплекты средств защиты информации (далее – СрЗИ);
‒ аппаратные средства и программно-аппаратные комплексы;
‒ защищенное размещение СрЗИ, в том числе криптографического оборудования;
‒ конфигурирование виртуальных машин и их сопровождение, предоставление балансировки нагрузки информационно-телекоммуникационной инфраструктуры;
‒ обеспечение ИБ и иное.
Согласно постановлению требования к обеспечению ИБ в рамках предоставления облачных услуг посредством Гособлака будут определены Минцифры России, а поставщики услуг – юридические или физические лица, предоставляющие облачные услуги, будут обязаны применять технические и организационные меры по обеспечению ИБ Гособлака.
Постановление вступает в силу с 1 января 2025 года.
Дополнение перечня служебной информации ограниченного распространения
Для общественного обсуждения представлен проект постановления Правительства РФ «О внесении изменений в Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности».
Инициатором внесения изменений является Федеральное архивное агентство РФ (далее – Росархив). Изменениями предлагается отнести к служебной информации ограниченного распространения несекретную информацию, распространение которой может создать потенциальную угрозу интересам РФ, и которая содержится в документах Архивного фонда РФ, хранящихся в государственных, муниципальных архивах и архивах федеральных органов исполнительной власти, иных федеральных государственных органов, уполномоченного органа управления использованием атомной энергии и уполномоченного органа по космической деятельности (далее – органы власти). Перечень такой несекретной информации формируется Росархивом по предложениям заинтересованных органов власти.
Для определения целесообразности отнесения документов Архивного фонда РФ
к документам, содержащим служебную информацию ограниченного распространения, Росархив планирует создать специальную комиссию.
Дата окончания общественного обсуждения проекта – 13 августа 2024 года.
Единая цифровая платформа МИД России
Для общественного обсуждения представлен проект постановления Правительства РФ «О государственной информационной системе» Единая цифровая платформа МИД России». Документ регламентирует цели и задачи, состав, а также основные принципы построения, функционирования и развития ГИС «Единая цифровая платформа МИД России» (далее – ЕЦП МИД России).
В состав ЕЦП МИД России входят системы и подсистемы, среди которых следует выделить следующие подсистемы технологического уровня:
‒ подсистема мониторинга и поддержки инфраструктуры информационно-технологического взаимодействия, обеспечивающая контроль функционирования ЕЦП МИД России и текущего состояния защищенности ресурсов ЕЦП МИД России;
‒ подсистема защищенных интегрированных коммуникаций между сотрудниками Министерства иностранных дел РФ (далее – МИД России), реализующая объединение всех каналов служебного взаимодействия МИД России в единую и доступную систему;
‒ подсистема ИБ, предназначенная для осуществления защиты информации в ходе создания, обеспечения функционирования и развития ЕЦП МИД России.
К уровню инфраструктуры относятся следующие подсистемы ЕЦП МИД России:
‒ вычислительная подсистема в составе вычислительных ресурсов и ресурсов хранения данных, а также технологических и инфраструктурных сервисов;
‒ подсистема связи и передачи данных;
‒ подсистема резервного копирования и восстановления данных;
‒ подсистема организации удаленного доступа, обеспечивающая защищенный доступ пользователей к информационным ресурсам ЕЦП МИД России;
‒ подсистема жизнеобеспечения, обеспечивающая надежное функционирование вычислительных ресурсов, ресурсов хранения данных, сетевого оборудования и иные.
Защита информации, содержащейся в ЕЦП МИД России, обеспечивается посредством применения сертифицированных СрЗИ, организационных и технических мер системы защиты, а также осуществления контроля за эксплуатацией ЕЦП МИД России.
Технические (аппаратные) и программные средства ЕЦП МИД России должны обеспечивать:
‒ защиту информации, содержащейся в ЕЦП МИД России, в том числе от копирования, распространения, уничтожения, модификации и блокирования доступа к ней, а также от иных неправомерных действий;
‒ применение усиленной квалифицированной электронной подписи;
‒ разграничение прав доступа пользователей ЕЦП МИД России;
‒ ведение электронных журналов учета операций, выполненных с использованием технических (аппаратных) и программных средств;
‒ распределенное резервное хранение документов в электронном виде.
Дата окончания общественного обсуждения проекта постановления – 30 июля 2024 года.
Программы, подлежащие установке на отдельные виды технически сложных товаров
Опубликовано распоряжение Правительства РФ от 25.07.2024 № 1972-р «Об утверждении перечня российских программ для ЭВМ, которые должны быть предварительно установлены на отдельные виды технически сложных товаров в 2025 году и о признании утратившими силу некоторых распоряжений Правительства РФ», согласно которому с 1 января 2025 года на отдельные виды технически сложных товаров, среди которых:
‒ оборудование беспроводной связи для бытового использования, персональные ЭВМ, имеющие сенсорный экран, имеющие возможность установки ПО из магазинов приложений;
‒ компьютеры стационарные и портативные (за исключением планшетных компьютеров), системные блоки, имеющие операционную систему;
‒ телевизоры с цифровым блоком управления, имеющие возможность установки ПО из магазинов приложений,
в зависимости от товара должны быть установлены средства антивирусной защиты Kaspersky Free, Kaspersky Security Cloud, Kaspersky Free Antivirus или средства с альтернативными названиями Kaspersky: Антивирус и защита, Kaspersky Internet Security, Kaspersky: Антивирус, Kaspersky: Mobile Security.
Аудит АИС страхования
Банк России представил проект указания «О порядке проведения оператором автоматизированной информационной системы страхования (далее – АИС страхования) операционного аудита», согласно которому в рамках операционного аудита оператор АИС страхования должен оценить эффективность:
‒ системы управления рисками;
‒ процедур, направленных на обеспечение операционной надежности;
‒ обеспечения защиты и конфиденциальности информации, обрабатываемой в АИС страхования;
‒ мер, применяемых для обеспечения безопасности ПДн при их обработке в соответствии с 152-ФЗ;
‒ обеспечения бесперебойности и непрерывности функционирования АИС страхования.
Оценка также включает тестирование на предмет проникновений объектов информационной инфраструктуры, обрабатывающих защищаемую информацию при приеме электронных сообщений, и анализ уязвимостей ИБ объектов информационной инфраструктуры.
Деятельность ФСТЭК России
Изменения в 17 и 239 приказы ФСТЭК России
ФСТЭК России опубликовала проект приказа «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в ГИС, утвержденные приказом ФСТЭК России от 11.02.2013 № 17, и Требования по обеспечению безопасности значимых объектов КИИ РФ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239».
В отношении значимых объектов КИИ и ИС, имеющих интерфейсы и сервисы, которые должны быть постоянно доступны из сети «Интернет», должны применяться следующие меры защиты от угроз типа «отказ в обслуживании»:
‒ выявление интерфейсов и сервисов, которые должны быть постоянно доступны из сети «Интернет»;
‒ выявление публичных сетевых адресов и доменных имен, используемых для обеспечения функционирования;
‒ исключение интерфейсов и сервисов, доступных из сети «Интернет», публичных сетевых адресов и доменных имен, не используемых для обеспечения функционирования или принадлежность которых не установлена;
‒ формирование матрицы коммуникаций, содержащей перечень ресурсов сети «Интернет», с которыми может взаимодействовать ИС или значимый объект КИИ, а также исходящий и входящий сетевые трафики и их характеристики, используемые протоколы;
‒ определение сетевых адресов, с которыми должно быть обеспечено взаимодействие;
‒ формирование списка разрешенных сетевых адресов в условиях реализации угроз типа «отказ в обслуживании»;
‒ обеспечение хранения в течение трех лет следующей информации о фактах реализации угроз типа «отказ в обслуживании»:
o дата и время начала и окончания реализации угрозы;
o тип угрозы;
o объем (Гбит/с, сетевых пакетов/с);
o перечень сетевых адресов, являющихся источником угроз, и сетевых адресов, подверженных угрозам;
o принимаемые меры защиты;
‒ использование программных, программно-аппаратных средств, обеспечивающих анализ и фильтрацию сетевых запросов в соответствии с матрицей коммуникаций, возможность блокирования сетевых запросов, обладающих признаками угроз типа «отказ в обслуживании», на сетевом и прикладном уровнях, а также другие меры.
Меры, направленные на защиту от угроз типа «отказ в обслуживании», должны предусматривать:
‒ взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, а также национальной системой противодействия DdoS-атакам;
‒ взаимодействие с провайдером хостинга или организацией, предоставляющей услуги связи, программно-аппаратные средства которых участвуют в контроле, фильтрации и блокировании сетевых запросов, обладающих признаками угроз типа «отказ в обслуживании», и расположены на территории РФ;
‒ предоставление доступа из сети «Интернет» к интерфейсам и сервисам обладателя информации и оператора после принятия мер по контролю и фильтрации сетевого трафика в соответствии с матрицей коммуникаций;
‒ возможность размещения ИС или значимого объекта КИИ в информационно-телекоммуникационной инфраструктуре провайдера хостинга, обеспечивающей защиту от угроз типа «отказ в обслуживании», при отсутствии технической возможности у оператора необходимо самостоятельно организовать защиту.
Общественное обсуждение проекта приказа завершилось 7 августа 2024 года.
Увеличение штрафов за нарушение правил защиты информации
ФСТЭК России представила для общественного обсуждения проект Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (далее – КоАП РФ)».
Проект предусматривает ужесточение административной ответственности за нарушения правил защиты информации:
Нарушение |
Было |
Стало |
Использование несертифицированных ИС, баз и банков данных, а также несертифицированных СрЗИ, если они подлежат обязательной сертификации (за исключением СрЗИ, составляющей государственную тайну) |
Для граждан: от 1 до 2,5 тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
Для должностных лиц: от 2,5 до 3 тысяч рублей. Для юридических лиц: от 20 до 25 тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой |
Для граждан: от 5 до 10 тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
Для должностных лиц: от 10 до 50 тысяч рублей. Для юридических лиц: от 50 до 100 тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой |
Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну |
Для должностных лиц: от 3 до 4 тысяч рублей.
Для юридических лиц: от 20 до 30 тысяч рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой |
Для должностных лиц: от 20 до 50 тысяч рублей.
Для юридических лиц: от 50 до 100 тысяч рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой |
Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, за исключением случаев, предусмотренных частями 1, 2 и 5 статьи 13.12 КоАП РФ |
Для граждан: от пятисот рублей до одной тысячи рублей. Для должностных лиц: от 1 до 2 тысяч рублей. Для юридических лиц: от 10 до 15 тысяч рублей |
Для граждан: от 5 до 10 тысяч рублей.
Для должностных лиц: от 10 до 50 тысяч рублей. Для юридических лиц: от 50 до 100 тысяч рублей |
Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, за исключением случаев, предусмотренных частями 3 и 4 статьи 13.12 КоАП РФ, если такие действия (бездействие) не содержат уголовно наказуемого деяния |
Для граждан: от 1 до 2 тысяч рублей.
Для должностных лиц: от 3 до 4 тысяч рублей. |
Для граждан: от 10 до 20 тысяч рублей.
Для должностных лиц: от 20 до 50 тысяч рублей. |
Публичное обсуждение проекта завершилось 24 июля 2024 года.
Стандартизация
Справка-доклад о деятельности ТК 362 за июль
На официальном сайте ФСТЭК России опубликована июльская справка-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2024 год.
В июле ТК 362 были проведены следующие работы:
‒ подготовлены и представлены председателю ТК 362:
o результаты анализа работы ТК 362 и активности организаций-членов ТК 362 во II квартале 2024 года;
o предложения по вопросу подготовки предварительных национальных стандартов в области методов и технологий повышения конфиденциальности, а также оценки рисков деобезличивания при обработке ПДн с использованием соответствующих методов и технологий;
‒ доработаны по замечаниям проекты:
o ГОСТ Р «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения»;
o ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
o ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом»;
o ГОСТ Р «Защита информации. Системы с конструктивной ИБ. Методология разработки»;
o ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие требования»;
‒ проводятся работы по заключению договора на издательское редактирование и подготовке к утверждению проектов:
o ГОСТ Р 56939 «Защита информации. Разработка безопасного ПО. Общие требования»;
o ГОСТ Р «Защита информации. Система автоматизированного управления учетными записями и правами доступа. Общие требования»;
‒ организовано и проведено рассмотрение организациями-членами ТК 362 первой редакции проектов:
o ГОСТ Р «Аэродромы гражданские. Искусственные покрытия. Искусственный интеллект при распознавании дефектов. Общие положения»;
o ГОСТ Р/IEC TS 63074:2023 «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности»;
‒ подготовлен и направлен в ТК 058 «Функциональная безопасность» запрос на проект ГОСТ Р/IEC TS 63074:2023 «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности»;
‒ разосланы на рассмотрение в организации-члены ТК 362 окончательные редакции проектов Рекомендаций по стандартизации:
o «Информационная технология. Криптографическая защита информации. Ключевая система сети шифрованной связи с использованием квантовой криптографической системы выработки и распределения ключей (ККСВ ВРК) с сетевой топологией «звезда»;
o «Информационная технология. Криптографическая защита информации. Ключевая система полносвязной многоарендаторной сети шифрованной связи на базе квантовой криптографической системы выработки и распределения ключей (ККС ВРК) с доверенным промежуточным узлом (ДПУ)»;
‒ проведено голосование по вопросу принятия АО «МЦСТ» в состав ТК 362 и направлено в ООО «Облачные технологии» письмо о принятии его в состав ТК 362.
Анализ работы ТК 362 за 2 квартал
На сайте ФСТЭК России опубликованы результаты анализа работы ТК 362 и активности организаций-членов ТК 362 во 2 квартале 2024 года и сведения о принятых национальных и международных стандартах за 2 квартал 2024 года.
Во 2 квартале осуществлялись взаимодействие со смежными техническими комитетами по стандартизации, планирование и организация деятельности ТК 362, а также разработка и согласование проектов следующих национальных стандартов:
‒ ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения»;
‒ ГОСТ Р «Защита информации. Защита информации от утечки
из программной среды информационных и автоматизированных систем. Общие положения»;
‒ ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации»;
‒ ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации»;
‒ ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»;
‒ ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
‒ ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом»;
‒ ГОСТ Р 52447 «Защита информации. Техника защиты информации. Классификация средств защиты информации от несанкционированного доступа и номенклатура показателей качества»;
‒ ГОСТ Р «Защита информации. Система автоматизированного управления учетными записями и правами доступа. Общие требования»;
‒ ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие требования»;
‒ ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования»;
‒ ГОСТ Р «Защита информации. Системы с конструктивной ИБ. Методология разработки»;
‒ ГОСТ Р 56939 «Защита информации. Разработка безопасного ПО. Общие требования (пересмотр ГОСТ Р 56939-2016).
С апреля по июнь 2024 года Федеральным агентством по техническому регулированию и метрологии национальные стандарты в области защиты информации не утверждались, а ИСО/МЭК были утверждены два международных стандарта в области защиты информации:
‒ ISO/IEC TR 5891:2024 «Информационная технология, компьютерная безопасность и обеспечение конфиденциальности. Технология мониторинга для оценки безопасности аппаратных средств» («Information security, cybersecurity and privacy protection – Hardware monitoring technology for hardware security assessment»);
‒ ISO/IEC 27011:2024 «ИБ, компьютерная безопасность и обеспечение конфиденциальности. Меры обеспечения ИБ на основе ИСО/МЭК 27002 для телекоммуникационных организаций» («Information security, cybersecurity and privacy protection – Information security controls based on ISO/IEC 27002 for telecommunications organizations»).
Стандарт «Требования к функциональной безопасности и защите системы контроля промышленной автоматизации на протяжении жизненного цикла»
На сайте Федерального агентства по техническому регулированию и метрологии опубликован ГОСТ Р 71452-2024 «Требования к функциональной безопасности и защите системы контроля промышленной автоматизации (IACS) на протяжении жизненного цикла».
Стандарт содержит требования и рекомендации по обеспечению и подтверждению функциональной безопасности и защиты информации на различных этапах жизненного цикла систем контроля промышленной автоматизации.
В стандарте описываются этапы жизненного цикла, подход к управлению изменениями, требования к жизненному циклу и оценке рисков, а также возможные меры по координации функциональной безопасности и защиты информации на различных этапах жизненного цикла.
В качестве возможных мер по координации функциональной безопасности и защиты информации на различных этапах жизненного цикла предлагаются:
‒ оценка рисков;
‒ разработка и внедрение:
o мер физической защиты и контроля доступа;
o защиты периметра;
o мер по защите передаваемых данных;
o контроля удаленного доступа и доступа с использованием беспроводной связи;
o контроля за уровнем устройств и уровнем управления;
o мер защиты информации в систему функциональной безопасности;
o мониторинга;
o планового технического обслуживания и другое
Стандарт вводится в действие 1 июля 2025 года.