Обзор изменений в законодательстве за июнь 2020

В обзоре российского законодательства за июнь 2020 г. рассмотрим:

• опубликованные требования к установке и эксплуатации средств ГосСОПКА в сетях связи, используемых для взаимодействия объектов КИИ;
• классификацию средств обеспечения ИБ;
• новое положение Банка России о системе управления операционным риском в кредитных организациях.

Средства ГосСОПКА

25 июня 2020 г. официально опубликован Приказ Минкомсвязи России от 17.03.2020 № 114 «Об утверждении Порядка и Технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации» (далее – Приказ Минкомсвязи России № 114), вступает в силу 6 июля 2020 г.

Приказ Минкомсвязи России № 114 направлен на урегулирование отношений между операторами связи, ФСБ России и Минкомсвязи России в контексте установки и эксплуатации средств поиска признаков компьютерных атак. Речь идет о средствах ГосСОПКА, а именно о технических, программных, программно-аппаратных и иных средствах поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры (далее – средства ППКА). Требования к средствам ППКА установлены Приказом ФСБ России от 06.05.2019 № 196.

Согласно Приказу Минкомсвязи России № 114 необходимость и места установки средств ППКА определяются ФСБ России. ФСБ России также организует установку средств ППКА, в том числе выбор и привлечение сторонних организаций для таких работ (при необходимости). О всех работах ФСБ России уведомляет оператора связи согласно установленным процедурам.

Эксплуатация средств ППКА осуществляется ФСБ России. Оператор связи обеспечивает непрерывность функционирования в круглосуточном режиме и сохранность средств ППКА. Техническое обслуживание установленных средств поиска атак также проводится ответственными лицами ФСБ России или организацией, которая была привлечена к работам.

Классификатор программ для электронных вычислительных машин и баз данных

Минкомсвязь России 22 июня 2020 г. опубликовало проект Приказа «Об утверждении классификатора программ для электронных вычислительных машин и баз данных» (далее – Проект Приказа Минкомсвязи России).

Проект Приказа Минкомсвязи России должен заменить предыдущий классификатор программ для электронных вычислительных машин и баз данных, утвержденный еще в 2015 г. По Проекту Приказа Минкомсвязи к средствам обеспечения информационной безопасности будут относиться следующие классы средств:

• средства защиты от несанкционированного доступа;
• системы управления событиями информационной безопасности;
• межсетевые экраны;
• средства фильтрации негативного контента;
• системы защиты сервисов онлайн-платежей и дистанционного банковского обслуживания;
• средства антивирусной защиты;
• средства выявления целевых атак;
• средства гарантированного уничтожения данных;
• системы предотвращения утечек информации;
• средства криптографической защиты информации и электронной подписи;
• системы управления доступом к информационным ресурсам;
• системы резервного копирования.

Управление рисками в кредитных организациях

Банк России опубликовал Положение от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение № 716-П).

Положение № 716-П устанавливает требования к системе управления операционным риском в кредитной организации и банковской группе. К операционным рискам в том числе относятся:

• Риск информационной безопасности (далее – ИБ) – риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения ИБ, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности кредитной организации.
• Риск информационных систем – риск отказов и (или) нарушения функционирования применяемых кредитной организацией информационных систем и (или) несоответствия их функциональных возможностей и характеристик потребностям кредитной организации.

При этом к рискам ИБ относятся:

• Киберриск – риск преднамеренных действий со стороны работников кредитной организации и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, направленных на объекты информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа.
• Другие виды риска ИБ, связанные с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры.

Положение № 716-П вступает в силу с 1 октября 2020 г., а систему управления операционным риском необходимо привести в соответствие его требованиями в срок до 1 января 2022 г. В случае, если система управления операционным риском будет приведена в соответствие ранее 1 января 2022 года, кредитные организации вправе проинформировать об этом Банк России в целях организации Банком России оценки соответствия системы управления операционным риском требованиям Положения № 716-П.