Обзор изменений в законодательстве за октябрь 2023 года

Автор:
Татьяна Кошелева, старший аналитик, СISA

В обзоре изменений за октябрь 2023 года рассмотрим: изменения в порядок ведения реестра ЗОКИИ, рекомендации по информированию об инцидентах для финансовых организаций, порядок сертификации процессов безопасной разработки ПО, результаты работ в области стандартизации и другое.

Новый индикатор риска нарушений в сфере электронной подписи

Для общественного обсуждения представлен проект приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России) «О внесении изменений в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 7 декабря 2021 г. № 1312».

Проектом предлагается дополнить перечень индикаторов пунктом:

«5. Увеличение за календарный год более чем в 10 раз, но не менее чем ‎на 10 тысяч, количества выданных квалифицированных сертификатов, ‎сведения о которых направлены аккредитованным удостоверяющим центром ‎в единую систему идентификации и аутентификации, по сравнению с аналогичным периодом за предыдущий год»

Общественное обсуждение проекта завершилось 30 октября.

Изменения в Порядок ведения реестра значимых объектов КИИ

Официально опубликован приказ Федеральной службы по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России) от 01.09.2023 № 177 «О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227».

Приказ содержит корректировки, связанные с добавлением деятельности по государственной регистрации прав на недвижимое имущество ‎и сделки с ним в перечень сфер функционирования объектов критической информационной инфраструктуры (далее – КИИ), а также с возможностью группировки значимых объектов КИИ или выделение нескольких объектов из одного.

Напомним, что общественное обсуждение проекта этого приказа состоялось в августе 2023 года , а предлагаемые изменения связаны с июльскими изменениями в Федеральный закон от 26.07.2017 №187 «О безопасности критической информационной инфраструктуры Российской Федерации».

Рекомендации для финансовых организаций

По информированию ФСБ России о компьютерных инцидентах

Опубликованы Методические рекомендации по выполнению кредитными и некредитными финансовыми организациями мероприятий по обеспечению безопасности критической информационной инфраструктуры Российской Федерации в части информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак, утверждённые Банком России 26.10.2023 № 14-МР.

Согласно рекомендациям, возможным способом информирования Федеральной службы безопасности Российской Федерации (далее – ФСБ России) о компьютерных инцидентах является передача сведений с использованием технической инфраструктуры Центрального банка Российской Федерации (далее – Банк России) – Автоматизированной системы обработки инцидентов ФинЦЕРТ Банка России (далее – ФинЦЕРТ). Далее Банк России направляет полученные сведения в Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ).

Для корректной реализации требований об информировании финансовым организациям рекомендуется использовать перечень компьютерных инцидентов и компьютерных атак, приведенный в приложении 18 к стандарту Банка России СТО БР БФБО-1.5-2023 «Безопасность финансовых (банковских) операций. Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности» (далее – СТО БР БФБО-1.5-2023).

По взаимодействию кредитных организаций с МВД России и ФСБ России

Также опубликованы Методические рекомендации по взаимодействию кредитных организаций с МВД России и ФСБ России в целях принятия процессуальных решений при проведении компьютерных атак в отношении объектов критической информационной инфраструктуры, утверждённые Банком России 26.10.2023 № 15-МР.

При выявлении инцидентов кредитная организация направляет уведомление, содержащее сведения о выявленном инциденте:

• в Банк России с использованием ФинЦЕРТ, по форме и в порядке, установленным СТО БР БФБО-1.5-2023;
• в НКЦКИ по форме и в порядке, установленным приказом ФСБ России №282;
• в случае утечки персональных данных – в НКЦКИ в соответствии с требованиями Приказа ФСБ России №77.

В случае необходимости уголовно-правовой оценки действий злоумышленника рекомендуется привлекать уполномоченные органы.

При подаче заявления в Министерство внутренних дел Российской Федерации (далее – МВД России), кроме описания событий, связанных с несанкционированным переводом денежных средств со счетов организации, рекомендуется указать факт незаконного воздействия на КИИ и изменения компьютерной информации. Обращение по факту выявления инцидентов подается очно в территориальное подразделение МВД России по месту нахождения юридического лица либо в исключительных случаях с использованием сервиса приема обращений граждан и организаций, размещенного на официальном сайте МВД России.

Помимо МВД России, кредитная организация обращается в ФСБ России с использованием сервиса приема обращений граждан и организаций, размещенного на официальном сайте ФСБ России, или очно в территориальные органы безопасности.

По результатам реагирования на инциденты кредитной организации рекомендуется определить суммы потерь в соответствии с Положением Банка России №716-П.

ГОСТы по КИИ

На сайте ФСТЭК России опубликованы проекты предварительных национальных стандартов, разработанные техническим комитетом по стандартизации «Программно-аппаратные комплексы для критической информационной инфраструктуры» (ТК 167):

• «Инфраструктура критическая информационная. Термины и определения»;
• «Инфраструктура критическая информационная. Доверенные интегральные микросхемы и модули. Общие положения»;
• «Инфраструктура критическая информационная. Доверенные программно-аппаратные комплексы. Общие положения».

Порядок сертификации процессов безопасной разработки СрЗИ

Для общественного обсуждения представлен проект приказа ФСТЭК России «Об утверждении Порядка сертификации процессов безопасной разработки программного обеспечения средств защиты информации».

Согласно пояснительной записке, проект приказа определяет порядок проведения сертификации процессов безопасной разработки программного обеспечения (далее – ПО) средств защиты информации (далее – СрЗИ) в рамках действующей системы сертификации ФСТЭК России.

Сертификация проводится в целях подтверждения соответствия процессов безопасной разработки ПО, внедренных изготовителем СрЗИ, требованиям национального стандарта ‎ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

Участниками процесса сертификации являются:

• Заявитель – изготовитель СрЗИ;
• Орган по сертификации – назначается ФСТЭК России при формировании решения о сертификации;
• ФСТЭК России.

Сертификация включает:

• оценку соответствия руководства по безопасной разработке ПО и документации по безопасной разработке ПО, имеющихся у изготовителя, требованиям ГОСТ Р 56939-2016;
• проверку наличия у изготовителя средств разработки ПО, а также средств, предназначенных для проведения композиционного анализа ПО, статического и динамического анализа исходного кода ПО;
• проверку реализации изготовителем процессов безопасной разработки ПО, приведенных в руководстве и в документации по безопасной разработке ПО;
• проверку реализации изготовителем процедур поддержки безопасности ПО;
• проверку знаний и навыков специалистов изготовителя, участвующих в реализации процессов безопасной разработки ПО.

В остальном процедура сертификации похожа на сертификацию СрЗИ (см. схему ниже), проект устанавливает сроки, состав предоставляемой документации, формы заявки, решения о проведении сертификации и самого сертификата соответствия.

Сертификация является добровольной и позволит разработчикам и производителям СрЗИ проводить испытания, обусловленные внесением изменений в ПО сертифицированных СрЗИ, самостоятельно без привлечения испытательной лаборатории.

Напомним, что в соответствии с актуальными требованиями Приказа ФСТЭК России от 03.04.2018 №55 «Об утверждении положения о системе сертификации средств защиты информации» самостоятельные испытания СрЗИ без привлечения испытательной лаборатории возможны только в случае, если изменения, внесенные в СрЗИ, не связаны с добавлением новых или изменением существующих функций безопасности информации.

Общественное обсуждение проекта завершится 17 ноября. Предлагаемая дата вступления приказа в силу – 1 июня 2024 года.

Организации, осуществляющие образовательную деятельность

На сайте ФСТЭК России обновлен Перечень организаций, осуществляющих образовательную деятельность, имеющих дополнительные профессиональные программы в области информационной безопасности, согласованные с ФСТЭК России.

ГОСТ Р ИСО/МЭК 27005. Руководство по управлению рисками ИБ

В октябре состоялось рассмотрение проекта национального стандарта ГОСТ Р ИСО/МЭК 27005 «Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства» организациями-членами Технического комитета по стандартизации «Защита информации» (далее – ТК 362).

Проект разработан на основе стандарта ISO/IEC 27005:2022. Согласно пояснительной записке к проекту, по сравнению с предыдущей версией (ISO/IEC 27005:2018) предложены следующие изменения:

• процесс управления риском осуществляется в 5 этапов вместо 6 (пересмотрен подход к принятию риска);
• добавлено два новых пункта в части документирования управления риском;
• всем действиям по управлению риском сопоставлены триггеры, при выполнении которых эти действия должны быть осуществлены;
• 6 приложений в предыдущей версии стандарта заменены одним комплексным в новой;
• изменена структура пунктов в соответствии со структурой ISO/IEC 27001;
• адаптирована терминология с учетом ISO 31000:2018.

Рассмотрение проекта завершилось 20 октября.

О работе ТК 362

Справка-доклад ТК 263

Опубликована справка-доклад о ходе работ по плану ТК 362 (по состоянию на 28.09.2023). Согласно справке ТК 362 выполнены следующие работы:

1.    Организовано рассмотрение проекта национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации».

2.    Представлены председателю ТК 362 для принятия решения об организации публичного обсуждения проекты национальных стандартов:

• ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»;
• ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
• ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации формальных описаний модулей средства защиты, реализующих политики управления доступом».

3.    Ведется доработка по результатам публичного обсуждения проектов национальных стандартов:

• ГОСТ Р «Защита информации. Система автоматизированного управления учетными записями и правами доступа. Общие требования»;
• ГОСТ Р «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки»;
• ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Управление безопасностью программного обеспечения при использовании заимствованных и привлекаемых компонентов»;
• ГОСТ Р 56939-20хх «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;
• ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Термины и определения»;
• ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие требования».

4.    Принято решение о представлении в Росстандарт на утверждение окончательных редакций проектов национальных стандартов:

• ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования»;
•  ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования».

5.    Подготовлены и направлены в ТК 26 «Криптографическая защита информации» результаты рассмотрения первой редакции проекта национального стандарта ГОСТ Р «Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем».

6.    Повторно рассмотрен проект национального стандарта ГОСТ Р «Интеллектуальные системы учета электрической энергии (мощности). Общие технические требования».

Результаты работы ТК 362 за III квартал

Опубликованы результаты анализа работы ТК 362 и активности организаций-членов ТК 362 в 3 квартале 2023 года.

Результаты работ комитета отражены в справке-докладе о ходе работ по плану ТК 362 (по состоянию на 28.09.2023) и обзоре за август 2023 года.

Также ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за III квартал 2023 года.