В обзоре изменений за май 2024 года рассмотрим следующие темы:
Опубликован приказ Минэнерго России, согласно которому к обеспечению безопасности значимых объектов КИИ, функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления предъявляются дополнительные требования.
ФСТЭК России опубликовала Методику оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ. Показатель, расчет которого описан в Методике, характеризует степень достижения организацией минимально необходимого уровня защиты информации от типовых актуальных угроз безопасности информации.
Банк России опубликовал Условия по защите информации для участников платформы цифрового рубля и Указания о порядке осуществления Банком России контроля перехода кредитных и некредитных финансовых организаций на российское ПО на значимых объектах КИИ.
Принятые НПА включают расширенный перечень сведений, включаемых в реестр иностранных агентов, требования к схеме пропуска трафика через средства противодействия угрозам сети «Интернет» и сети связи общего пользования, правила размещения информации в системе координации информации.
Предложены проекты требований по включению в перечень провайдеров хостинга, требования по защите информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к сети «Интернет», также предложено включить провайдеров хостинга в перечень пользователей национальной системы доменных имен.
Опубликована справка-доклад за апрель о ходе работ по плану ТК 362 на 2024 год.
Критическая информационная инфраструктура
Дополнительные требования к значимым объектам КИИ в сфере энергетики
Министерство энергетики Российской Федерации (далее – РФ) опубликовало приказ от 26.12.2023 № 1215 «Об утверждении дополнительных требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике».Требования распространяются на дистанционное управление:
‒ выключателями, разъединителями, заземляющими разъединителями, технологическим режимом работы электросетевого оборудования и устройствами релейной защиты и автоматики;
‒ активной и реактивной мощностью:
o генерирующего оборудования ветровых и солнечных электростанций;
o гидравлических электростанций установленной генерирующей мощностью менее 50 МВт;
‒ активной мощностью:
o гидравлических и гидроаккумулирующих электростанций;
o тепловых электростанций.
С учетом особенностей функционирования таких объектов устанавливаются следующие дополнительные требования:
‒ обеспечить защиту трафика команд дистанционного управления между диспетчерским центром и объектами электроэнергетики, между диспетчерским центром и центром управления сетями, посредством применения:
o виртуальных локальных сетей в локальной сети объекта электроэнергетики;
o криптографической защиты трафика команд дистанционного управления;
‒ установить защищенное соединение с использованием средств криптографической защиты информации (далее – СКЗИ) между:
o устройствами телемеханики (или серверами обработки команд дистанционного управления) и устройствами передачи команд дистанционного управления диспетчерского центра;
o сетевым оборудованием локальной вычислительной сети объекта электроэнергетики и криптошлюзом диспетчерского центра;
‒ запретить доступ из сети «Интернет» в сегмент технологических сетей связи, используемых для осуществления дистанционного управления;
‒ организовать взаимодействие технологических сетей связи, используемых для осуществления дистанционного управления, с внешними выделенными сетями связи через межсетевой экран;
‒ обеспечить в используемых для реализации дистанционного управления программно-аппаратных комплексах (далее – ПАК), системах и в сегментах технологических сетей связи:
o целостность передаваемого трафика команд дистанционного управления;
o межсетевое экранирование;
o антивирусную защиту и регулярное обновление баз данных сигнатур;
‒ применять средства защиты информации (далее – СрЗИ), встроенные в программное обеспечение (далее – ПО) или программно-аппаратные средства (при наличии таких СрЗИ);
‒ в отношении ПО, используемого для реализации дистанционного управления из диспетчерских центров, должно быть реализовано:
o наличие процедур отслеживания, исправления обнаруженных ошибок и уязвимостей ПО;
o определение способов и сроков доведения организациями - разработчиками или производителями ПО до его пользователей информации об уязвимостях ПО, о компенсирующих мерах по защите информации или ограничениях по применению ПО, о способах получения пользователями ПО обновлений, проверки их целостности и подлинности.
Приказ вступает в силу 1 сентября 2024 года и будет действовать до 1 сентября 2030 года.
Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов КИИ
2 мая 2024 года на сайте Федеральной службы по техническому и экспортному контролю России (далее – ФСТЭК России) был опубликован методический документ «Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ РФ» (далее – Методика).
Методика применяется для оценки текущего состояния защиты информации или обеспечения безопасности объектов КИИ, для разработки на основе такой оценки мер по повышению уровня защищенности, а также оценки эффективности деятельности лиц, ответственных за обеспечение информационной безопасности (далее – ИБ) организации.
Основным критерием оценки является показатель, который характеризует степень достижения организацией минимально необходимого уровня защиты информации от типовых актуальных угроз безопасности информации. Методика содержит нормированное значение показателя, порядок его расчета и оценки.
Оценка показателя защищенности включает:
‒ сбор и анализ исходных данных, необходимых для оценки показателя;
‒ оценку значений частных показателей безопасности;
‒ расчет значения показателя и его сравнение с нормированным значением.
В качестве исходных данных рассматриваются:
‒ акты, протоколы, иные документы, составленные по результатам государственного контроля в области защиты информации или внутреннего контроля уровня защищенности информации;
‒ внутренние организационно-распорядительные документы;
‒ эксплуатационная документация на СрЗИ, сведения об их настройках и конфигурации;
‒ результаты инвентаризации информационных систем (далее – ИС);
‒ результаты интервьюирования работников о выполнении ими задач с использованием ИС;
‒ результаты анализа функционирования (применения) отдельных программных, программно-аппаратных средств ИС;
‒ результаты работы инструментальных средств оценки защищенности ИС или мониторинга ИБ и иное.
Методика содержит таблицу, содержащую сведения для определения значений частных показателей безопасности, а также формулу расчета показателя. Частные показатели безопасности сгруппированы следующим образом:
‒ организация и управление;
‒ защита пользователей;
‒ защита ИС;
‒ мониторинг ИБ и реагирование.
Итоговый результат оценки значения показателя представлен в таблице ниже:
|
Значение показателя Кзи |
Состояние защиты информации |
|
Кзи = 1 |
Обеспечивается минимальный уровень защиты от типовых актуальных угроз безопасности информации |
|
0,75 < Кзи < 1 |
Минимальный уровень защиты не обеспечивается, имеются предпосылки реализации актуальных угроз безопасности информации |
|
Кзи ≤ 0.75 |
Минимальный уровень защиты не обеспечивается, имеется реальная возможность реализации актуальных угроз безопасности информации |
При значении показателя меньше 1 необходимо разработать план реализации мероприятий по достижению следующего уровня защиты от актуальных угроз. Рекомендуется проводить оценку показателя не реже 1 раза в полгода в отношении всех систем, подлежащих защите. Внеочередная оценка показателя защищенности проводится в случаях:
‒ возникновения инцидента ИБ, повлекшего наступление негативных последствий;
‒ изменения архитектуры ИС;
‒ запроса руководителя организации о текущем значении показателя защищенности;
‒ запроса ФСТЭК России.
До введения в действие нормативных правовых актов, устанавливающих требования по оценке показателя, применение Методики не является обязательным.
Безопасность финансовых организаций
Защита информации для участников платформы цифрового рубля
Центральный банк РФ (далее – Банк России) опубликовал Условия по защите информации для участников платформы цифрового рубля (далее – Условия). Выполнение Условий является обязательным для участников платформы цифрового рубля, которые являются кредитными организациями (далее – Клиенты).
Открытие счета цифрового рубля и предоставление доступа к платформе цифрового рубля осуществляются при условии готовности выполнения Клиентами установленных требований к обеспечению защиты информации. Подтверждением готовности выполнения требований является Акт о готовности выполнения Клиентом требований, который содержит:
‒ перечень объектов информационной инфраструктуры, используемых при совершении операций с цифровым рублем, размещенных в выделенных сегментах вычислительных сетей Клиента;
‒ свидетельства применения усиленного уровня защиты информации для системно значимых кредитных организаций и стандартного уровня для организаций, не являющихся системно значимыми;
‒ подтверждение, что во внутренних документах клиента определены:
o состав организационных мер защиты информации, состав технических СрЗИ и порядок их использования;
o порядок подготовки, обработки, передачи и хранения электронных сообщений, связанных с осуществлением операций с цифровыми рублями и защищаемой информации;
o список лиц, допущенных к работе с СКЗИ, ответственных за обеспечение функционирования и безопасности СКЗИ, обладающих правами по управлению криптографическими ключами;
o состав технологических мер защиты информации, используемых для контроля целостности, подтверждения подлинности и обеспечения конфиденциальности электронных сообщений;
‒ подтверждение обеспечения защиты электронных сообщений при передаче:
o между Клиентом и оператором платформы;
o между пользователем платформы и Клиентом;
‒ подтверждение реализации иных требований по защите информации.
Условия вступают в силу 1 января 2025 года.
Контроль перехода на российское ПО на значимых объектах КИИ кредитных и некредитных финансовых организаций
Банк России опубликовал Указания:‒ для кредитных организаций от 05.02.2024 № 6679-У;
‒ для некредитных финансовых организаций от 05.02.2024 № 6680-У,
которые устанавливают порядок контроля Банком России реализации планов по переходу на преимущественное использование российского ПО, радиоэлектронной продукции и телекоммуникационного оборудования на значимых объектах КИИ, принадлежащих кредитным и некредитным финансовым организациям (далее – План перехода).
Банк России осуществляет мониторинг за соблюдением реализации Планов перехода на основании:
‒ отчетности организации;
‒ информации о реализации плана мероприятий, предоставляемой в ответ на запрос Банка России;
‒ плана мероприятий.
Мониторинг закупок иностранного ПО осуществляется на основании:
‒ отчетности организации;
‒ информации об осуществлении закупок, предоставляемой в ответ на запрос;
‒ заявок на согласование закупок, предусмотренных Федеральным законом от 10.07.2002 №86-ФЗ «О Центральном банке РФ (Банке России)», а также документов и информации, прилагаемых организацией к заявкам на закупки.
Банк России направляет запрос о предоставлении информации в последний месяц каждого квартала в личном кабинете на официальном сайте Банка России. Ответ на направляется путем его размещения в личном кабинете в течение 10 рабочих дней после получения запроса.
В Указаниях представлены рекомендуемые формы направления ответов на запросы Банка России. При предоставлении информации о реализации Плана перехода рекомендуется указывать:
‒ перечень принадлежащих организации значимых объектов КИИ, на которых используются российское ПО, с указанием:
o технологических процессов из Положения Банка России от 15.11.2021 № 779-П и Положения Банка России от 12.01.2022 № 787-П, для реализации которых используются значимые объекты КИИ;
o наименований значимых объектов КИИ;
o категорий значимости;
o доменного имени и адреса официального сайта (при наличии) разработчика значимых объектов КИИ;
o функционального назначения значимых объектов КИИ;
‒ перечень используемого ПО, радиоэлектронной продукции и телекоммуникационного оборудования с указанием:
o технологических процессов, для реализации которых они используются;
o доменного имени и адреса официального сайта разработчика (при наличии);
o наименований, версии и класса;
o информации о наличии ПО в Реестре российского ПО или в Реестре евразийского ПО;
o информации о наличии радиоэлектронной продукции и телекоммуникационного оборудования в Едином реестре российской радиоэлектронной продукции;
‒ перечень реализованных мероприятий из Плана перехода и иное.
При предоставлении информации о закупках иностранного ПО, радиоэлектронной продукции и телекоммуникационного оборудования рекомендуется указывать:
‒ наименование ПО, радиоэлектронной продукции и телекоммуникационного оборудования;
‒ доменное имя и адрес официального сайта разработчика, а также поставщика услуг, необходимых для использования иностранного ПО, радиоэлектронной продукции и телекоммуникационного оборудования;
‒ информацию о наличии сертификата ФСТЭК России или Федеральной службы безопасности РФ (далее – ФСБ России) для ПО, предназначенного для обеспечения безопасности значимых объектов КИИ;
‒ класс ПО, радиоэлектронной продукции и телекоммуникационного оборудования и иное.
Указания начали действовать с 28 мая 2024 года.
Иное
Схема пропуска трафика через средства противодействия угрозам сети «Интернет» и сети связи общего пользования
Правительство РФ опубликовало постановление от 23.05.2024 № 639 «Об утверждении Положения о схеме пропуска трафика через технические средства противодействия угрозам устойчивости, безопасности и целостности функционирования на территории РФ информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования, в том числе пропуска трафика на присоединенную сеть связи оператора связи, оказывающего услуги по предоставлению доступа к сети «Интернет», согласно которому схема пропуска трафика должна содержать сведения о:
‒ планируемых маршрутах пропуска трафика;
‒ местах размещения средств связи, местах установки технических средств противодействия угрозам устойчивости, безопасности и целостности функционирования сети «Интернет» и сети связи общего пользования;
‒ планируемых подключениях сети связи заявителя к точкам обмена трафиком;
‒ присоединениях сети связи заявителя к другим сетям связи с указанием взаимодействующих сетей, точек присоединения, в том числе другого оператора связи, к сети связи которого планируется осуществить присоединение;
‒ планируемой пропускной способности линий связи;
‒ типах конечных интерфейсов присоединения;
‒ технических характеристиках средств связи (монтируемая емкость, интерфейсы взаимодействия, пропускная способность каналов передачи данных), планируемых к размещению в сооружениях связи.
Схема может быть представлена в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) в электронном виде или на бумажном носителе следующими способами:
‒ через личный кабинет на официальном сайте Роскомнадзора;
‒ через личный Единый портал государственных и муниципальных услуг;
‒ заказным почтовым отправлением с уведомлением о вручении;
‒ предоставить на бумажном носителе в Роскомнадзор.
Также в постановлении определен порядок согласования схемы, внесения изменений, сроки согласования, а также основания для отказа в согласовании.
Постановление вступает в силу с 1 сентября 2024 года.
Защита информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к сети «Интернет»
Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) представило для общественного обсуждения проект приказа «Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к сети «Интернет», операторам государственных ИС, муниципальных ИС, ИС государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений».
Провайдер хостинга при предоставлении вычислительной мощности операторам ИС обязан соблюдать:
‒ требования о защите информации, закрепленные в приказе Минцифры России от 01.11.2023 № 936;
‒ требования к вычислительной мощности, закрепленные в приказе Минцифры России от 01.11.2023 № 935;
‒ требования о защите информации, содержащейся в государственных ИС, в соответствии с приказом ФСТЭК России от 11.02.2013 №17 и приказом ФСБ России от 24.10.2022 № 524;
Публичное обсуждение завершится 17 июня 2024 года. Планируется, что приказ вступит в силу с 1 сентября 2024 года.
Требования по включению в перечень провайдеров хостинга
В заявлении для включения в перечень провайдер хостинга должен предоставить заявление, а также документы, подтверждающие соблюдение требований:
‒ о защите информации, закрепленных в приказе Минцифры России от 01.11.2023 № 936;
‒ к вычислительной мощности, закрепленных в приказе Минцифры России от 01.11.2023 № 935;
‒ о защите информации, содержащейся в государственных ИС, в соответствии с приказом ФСТЭК России от 11.02.2013 №17 и приказом ФСБ России от 24.10.2022 № 524.
Правила размещения информации в системе координации информации
26 мая вступил в силу приказ Минцифры России от 16.01.2024 № 15 «Об утверждении Правил размещения информации в федеральной государственной ИС координации информатизации» (далее – Правила).
Приказом признается утратившим силу аналогичный приказ от 11.02.2016 № 44, а также устанавливается новый порядок размещения информации в системе. Система координации информации используется в том числе для осуществления контроля за соблюдением требований, предусмотренных Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» к размещению технических средств ИС, используемых субъектами системы координации.
Правилами регламентированы порядок и способы размещения информации в системе, требования к подписи и форме предоставления данных, а также требования к лицам, организующим размещение информации.
Включение провайдеров хостинга в перечень пользователей национальной системы доменных имен
Роскомнадзор представил для общественного обсуждения проект приказа «О внесении изменений в приказ Роскомнадзора от 31.07.2019 № 229 «Об утверждении Положения о национальной системе доменных имен, требований к ней, порядка ее создания, в том числе формирования информации, содержащейся в ней, а также правил ее использования, включая условия и порядок предоставления доступа к информации (далее – Положение)».
Проектом планируется ограничить срок действия приказа до 1 сентября 2030 года, а также включить провайдеров хостинга в перечень пользователей национальной системы доменных имен.
Планируется, что приказ вступит в силу с 1 сентября 2024 года.
Стандартизация
Деятельность ТК 362
На официальном сайте ФСТЭК России опубликована апрельская справка-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2024 год.ТК 362 были проведены следующие работы:
‒ в рамках публичного обсуждения рассмотрены организациями-членами ТК 362 проекты:
o ГОСТ Р «Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения»;
o ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации»;
o ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»;
o ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
o ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом»;
‒ представлены председателю и руководителям организаций-членов ТК 362 результаты анализа работы и активности организаций-членов ТК 362 в I квартале 2024 года;
‒ для принятия решения об организации публичного обсуждения представлены проекты:
o ГОСТ Р 52447 «Защита информации. Техника защиты информации. Классификация средств защиты информации от несанкционированного доступа и номенклатура показателей качества»;
o ГОСТ Р «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования»;
‒ проект ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения» дорабатывается по замечаниям;
‒ разработана окончательная редакция проекта ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» и другое.