О пополнениях в рядах документов законодательства КИИ и других изменениях – в первом осеннем выпуске дайджеста от Аналитического центра.
Согласно проекту Минкомсвязи контракты на разработку и развитие программ для ЭВМ и информационных систем, а также создание программной и методической документации к ним, должны содержать следующие разделы:
- предмет контракта (сведения о наименовании работ, сроках их выполнения, недопустимости изменения существенных условий контракта, также может быть включено условие о поэтапном выполнении работ в соответствии с графиком);
- стоимость работ по контракту, в котором в качестве переменных условий могут включаться условия о цене отдельных этапов выполнения работ и порядке их оплаты;
- исполнители работ;
- права, обязанности и ответственность заказчика и исполнителя;
- гарантии качества работ;
- иные условия.
При этом предполагается, что данный приказ не будет применяться в отношении закупок работ для обеспечения государственных и муниципальных нужд, извещения об осуществлении которых размещены в единой информационной системе в сфере закупок.
На сегодняшний день Роскомнадзором утверждены требования и методы по обезличиванию персональных данных (ПДн), распространяющиеся только на операторов, являющихся государственными или муниципальными органами. Однако обезличивание ПДн могут осуществлять в том числе операторы, не являющиеся указанными органами.
В проекте приказа предлагается решить вопрос отсутствия требований и методов обезличивания, поручив Роскомнадзору разработать соответствующие документы и обязать операторов определить правила работы с обезличенными ПДн (читай: плюс один обязательный документ для операторов ПДн). Предполагается, что данные изменения исключат угрозы при обезличивании ПДн операторами.
Также, согласно предлагаемым поправкам в КоАП РФ, за несоблюдение требований по обезличиванию ПДн юридическому лицу может грозить штраф до 30 000 руб.
ФСБ утвердила 3 приказа, регламентирующих работу Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Приказ № 366 закрепляет права и функции Национального координационного центра по компьютерным инцидентам (НЦКИ). Данная структура теперь отвечает за оперирование информацией о компьютерных инцидентах, участвует в обнаружении и ликвидации таких инцидентов, а также организует методическое обеспечение субъектов критической информационной инфраструктуры (КИИ) информацией о способах проведения атак и методах их предотвращения.
Приказ № 367 определяет перечень информации и порядок ее предоставления в ГосСОПКА. Таким образом, через НЦКИ в ГосСОПКА отправляются:
- сведения о самих объектах КИИ, занесенных в Реестр значимых объектов КИИ, а также информацию о необходимости исключения объекта из Реестра;
- сведения об изменении категории значимости объектов КИИ или отсутствии необходимости присвоения такой категории;
- сведения о произошедших компьютерных инцидентах.
По последнему пункту возникает больше всего вопросов. Информацию необходимо отправить в течении 24 часов после обнаружения инцидента, при этом успев выяснить причинно-следственную связь между компьютерной атакой и инцидентом, оценить последствия и зафиксировать все технические параметры инцидента. Вероятно, для большинства организаций честное исполнение данного требования может стать проблемой.
И, наконец, приказ № 368 устанавливает порядок обмена информацией о компьютерных инцидентах между субъектами КИИ. При этом остаются под вопросом конкретные форматы обмена такой информацией.
В целом, документы носят общий организационный характер, все еще оставляя пробелы в порядке работы ГосСОПКА и НЦКИ. Ожидается, что методические документы Национального центра внесут большую ясность по вопросам функционирования всей системы. Однако ознакомиться с ними можно будет только по официальному обоснованному запросу в 8-ой Центр ФСБ России, приложив в обязательном порядке копию лицензии на работу с гостайной.
Будем ждать новых документов, которые, возможно, прояснят возникающие вопросы и дадут больше конкретной информации по взаимодействию организаций с ГосСОПКА. А пока наш выпуск завершен, до новых встреч!