Автор: Анастасия Заведенская, аналитик
Начало 2020 года встретило нас вступлением в силу ряда требований Банка России для кредитных организаций и некредитных финансовых организаций, а также официальными комментариями регулятора на этот счет. В сфере критической информационной инфраструктуры (КИИ) активно идут работы над административной ответственностью за нарушение требований по её безопасности. У Window 7 и Windows Server 2008 закончилась техническая поддержка производителем, а ФСБ России активизирует процесс по изменению нормативного регулирования системы сертификации.
Применение требований Положений Банка России № 683-П и № 684-П
С 1 января 2020 года в силу вступает пункт 4 Положения Банка России № 683-П [1], согласно которому кредитные организации в ряде случаев должны применять программное обеспечение, сертифицированное ФСТЭК России, или в отношении которого проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже чем ОУД 4 по ГОСТ 15408-2-2013 [2]. В связи с чем Банк России 31.12.2019 опубликовал «Информационное письмо № ИН-014-56/105 о неприменении мер к кредитным организациям при реализации отдельных требований Положения Банка России № 683-П». Данным информационным письмом Банк России сообщает, что применять к кредитным организациям меры за несоблюдение требований 4 Положения Банка России № 683-П начнут с 1 июля 2020 года.
Для некредитных финансовых организаций Банком России 31.12.2019 было опубликовано «Информационное письмо № ИН-014-56/106 о реализации некредитными финансовыми организациями требований Положения Банка России № 684-П [3]». Банк России сообщает, что также с 1 июля 2020 года начнут применять к некредитным финансовым организациям меры за несоблюдение требований, установленных Положением Банка России № 684-П, в части:
- используемого некредитной финансовой организацией программного обеспечения и приложений (пункт 9 Положения Банка России № 684-П);
- способов подписания некредитной финансовой организацией (ее уполномоченными лицами) электронных сообщений (пункт 10 Положения Банка России № 684-П);
- 2 технологии обработки защищаемой информации, указанной в абзацах втором – четвертом пункта 1 Положения № 684-П (пункт 11 Положения Банка России № 684-П).
Также Информационным письмом от 30.01.2020 № ИН-014-56/4 Банк России даёт пояснения к применению подпункта 5.1 пункта 5 Положения Банка России № 683-П и пункта 10 Положения Банка России № 684-П. Согласно упомянутым выше пунктам кредитные организации и некредитные финансовые организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом. Банк России разъясняет, что для целей выполнения описанных требований можно использовать подписание простой электронной подписью или усиленной неквалифицированной электронной подписью. Но рекомендуется отражать такое использование в договорах с клиентами.
КоАП и КИИ
В январе ФСТЭК России опубликовала доработанный по итогам обсуждения проект Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры (КИИ) Российской Федерации» (далее – Проект).
Суммы административных штрафов, предлагаемые Проектом, приведены в Таблице 1.
Таблица 1. Суммы административных штрафов, предлагаемые Проектом
Однако по итогам экспертизы была получена отрицательная оценка регулирующего воздействия Проекта. При этом Минэкономразвития России отмечает, что наличие проблемы и целесообразность ее решения с помощью регулирования, предусмотренного Проектом, обоснованы.
Прекращение поддержки и выпуска обновлений для ОС Windows 7 и Windows Server 2008
21 января 2020 года ФСТЭК Росси опубликовало Информационное сообщение О применении сертифицированных операционных систем (ОС) Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в связи с прекращением их технической поддержки от 20 января 2020 г. № 240/24/250.
Компанией Microsoft с 14 января 2020 г. прекращена поддержка и выпуск обновлений для ОС Windows 7 и Windows Server 2008 R2, на основании чего ФСТЭК России прекратил действие сертификатов соответствия № 2180/1 на ОС Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и № 2181/1 на ОС Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter. Также ввиду возможности обнаружения новых уязвимостей в указанных ОС отсутствие их обновлений производителем может привести к вероятной реализации угроз безопасности информации.
Органам государственной власти и организациям, использующим сертифицированные версии, рекомендуется до 1 июня 2020 г. перейти на ОС, поддерживаемые производителем, а до момента перехода применять перечень компенсирующих мер по защите информации указанный в Информационном письме ФСТЭК России.
Стоит отметить, что в действующей редакции Приказа ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» установлено требование об обязательном применении в значимом объекте КИИ только программных средств, обеспеченных гарантийной и (или) технической поддержкой.
Сертификация средств защиты информации по требованиям безопасности для обработки информации, составляющей государственную тайну
22 января 2020 г. ФСБ России опубликован проект Приказа «Об утверждении Положения о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (далее – Положение о системе сертификации СЗИ-ГТ), и Перечня средств защиты информации, подлежащих сертификации в системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну».
Действующая на данный момент система сертификации СЗИ-ГТ была утверждена еще в 1999 году Приказом ФСБ России от 13.11.1999 № 564 «Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия».
Проект Положение о системе сертификации СЗИ-ГТ распространяется на её участников:
- юридических лиц, аккредитованных ФСБ России в качестве органа по сертификации;
- юридических лиц, аккредитованных ФСБ России в качестве испытательной лаборатории (центра);
- юридических лиц – лицензиатов ФСБ России, разрабатывающих и производящих средства защиты информации;
- юридических лиц, органов и организаций – заявителей на осуществление сертификации средств защиты информации.
Также проектом Положения о системе сертификации СЗИ-ГТ предлагается установить, что сертификации подлежат только средства, разработанные и произведенные российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц. Хотя в действующем положение определено, что органы по сертификации системы сертификации СЗИ-ГТ могут проводить сертификацию СЗИ, используемых при работе со сведениями, составляющими государственную тайну, в том числе иностранного производства.
_________________________________________________
[2] ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», утвержденный приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года № 1340-ст «Об утверждении национального стандарта».
[3] Положение Банка России от 17 апреля 2019 года № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».