Предполагаемый порядок ведения реестра значимых объектов критической информационной инфраструктуры (КИИ)
На официальном портале нормативных правовых актов опубликован Проект приказа ФСТЭК России «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации», который вступит в силу с 1 января 2018 года.
Реестр представляет собой информационную систему, обрабатывающую сведения (представлены ниже) о значимых объектах КИИ, принадлежащих субъектам КИИ на праве собственности, аренды или ином законном основании.
Реестр формируется и ведется ФСТЭК России на основе сведений, предоставляемых субъектами КИИ, а именно:
- Наименование значимого объекта КИИ.
- Наименование субъекта КИИ.
- Сведения о взаимодействии значимого объекта КИИ и сетей электросвязи.
- Сведения о лице, эксплуатирующем значимый объект КИИ.
- Категория значимости, которая присвоена объекту КИИ.
- Сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ.
- Меры, применяемые для обеспечения безопасности значимого объекта КИИ.
Хотелось бы отметить, что в соответствии с Проектом Постановления Правительства Российской Федерации «Об утверждении показателей критериев значимости объектов КИИ РФ и их значений, а также порядка и сроков осуществления их категорирования» (данный проект был рассмотрен в предыдущем обзоре) не исключено, что указанные выше сведения необходимо будет направить в Реестр до 1 июля 2019 года.
Предполагаемый порядок государственного контроля в области обеспечения безопасности значимых объектов КИИ
На официальном портале нормативных правовых актов опубликован Проект Постановления Правительства Российской Федерации «Об утверждении порядка осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», который вступит в силу с 1 января 2018 года.
Согласно документу, государственный контроль осуществляется путем проведения плановых и внеплановых выездных проверок.
Срок проведения плановой проверки не должен превышать 20 рабочих дней.
Срок проведения внеплановой проверки не должен превышать 10 рабочих дней.
Основанием для осуществления плановой проверки является истечение 3х лет со дня:
- Внесения сведений об объекте КИИ в Реестр значимых объектов КИИ.
- Окончания осуществления последней плановой проверки в отношении значимого объекта КИИ.
Выписки из утвержденного ежегодного плана проведения плановых проверок до 1 января года проведения плановых проверок направляются органом государственного контроля субъектам КИИ.
Основанием для осуществления внеплановой проверки является:
- Истечение срока выполнения субъектом КИИ выданного органом государственного контроля предписания об устранении выявленного нарушения требований по обеспечению безопасности.
- Возникновение компьютерного инцидента, повлекшего негативные последствия, на значимом объекте КИИ.
- Приказ органа государственного контроля, изданный в соответствии с поручением Президента Российской Федерации или Правительства Российской Федерации либо на основании требования прокурора об осуществлении внеплановой проверки в рамках проведения надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.
О проведении внеплановой проверки субъект КИИ уведомляется органом государственного контроля не менее чем за 24 часа до начала ее проведения.
По итогам проверки оформляется акт проверки, форма которого уже опубликована на официальном портале нормативных правовых актов и находится на этапе обсуждения.
Предполагаемый порядок подготовки и использования ресурсов единой сети электросвязи РФ для обеспечения функционирования значимых объектов КИИ
На официальном портале нормативных правовых актов опубликован Проект Постановления Правительства Российской Федерации «Об утверждении порядка подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры», который вступит в силу с 1 января 2018 года.
Согласно документу, подготовка и использование ресурсов сети электросвязи осуществляются на основании договора или государственного контракта, заключаемого субъектом КИИ с оператором связи.
В целях заключения договора или государственного контракта субъект КИИ направляет запрос оператору связи о наличии возможности предоставления услуг связи с учетом требований обеспечения информационной безопасности при организации взаимодействия значимых объектов КИИ. Неотъемлемой частью запроса является выписка из видов угроз безопасности информации и модели нарушителей в отношении значимого объекта КИИ.
В случае если существующая инфраструктура оператора связи не позволяет обеспечить требования субъекта КИИ по обеспечению информационной безопасности (с учетом видов угроз безопасности информации и модели нарушителей в отношении соответствующего объекта КИИ), то оператор связи определяет возможность доведения уровня информационной безопасности своей сети связи до уровня требований информационной безопасности в соответствии с категорией значимого объекта КИИ и направляет субъекту КИИ технико-экономическое обоснование проведения указанных работ с указанием:
- Объема работ.
- Сроков проведения работ.
- Предложения по перерасчету стоимости услуг с учетом услуги обеспечения защиты от компьютерных атак.
Хотелось бы отметить, что доведение уровня информационной безопасности сети связи оператора до требуемого уровня информационной безопасности, определенной категорией значимого объекта КИИ, осуществляется за счет субъекта КИИ.
О ликвидации понятия «Ключевые системы информационной инфраструктуры»
На официальном портале нормативных правовых актов опубликован Проект Указа Президента Российской Федерации «О федеральном органе исполнительной власти, уполномоченном в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации», который вступит в силу с 1 января 2018 года.
Согласно документу, в качестве федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности КИИ назначена ФСТЭК России, на которую теперь возложены полномочия, указанные в подпункте 3 статьи 6 187-ФЗ.
В связи с выходом данного Указа, уже подписан Указ Президента РФ от 25.11.2017 № 569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085», который также вступит в силу с 1 января 2018 года.
Хотелось бы отметить, что в соответствие с Указом Президента РФ № 569 понятие «ключевые системы информационной инфраструктуры» (КСИИ) заменено на понятие «значимые объекты критической информационной инфраструктуры».
Соответственно с 1 января 2018 года статус законодательства для КСИИ становится не понятным, а это, как минимум, статус таких документов как «Базовая модель угроз безопасности информации в КСИИ», «Методика определения актуальных угроз безопасности информации в КСИИ». Скорее всего нужно будет ожидать либо его отмены, либо корректировки под значимые объекты КИИ. К слову, на данный момент порядок определения угроз безопасности информации для значимых объектов КИИ до сих пор остается открытым.
Роскомнадзор разъясняет требования операторам связи по способам ограничения доступа к запрещенным сайтам
В связи с многочисленными обращениями операторов связи с просьбой оказать содействие в выборе эффективных решений ограничения доступа к запрещенным ресурсам в целях соблюдения требований ст. 15.8 ФЗ-149, Роскомнадзором подготовлен Проект приказа «Об утверждении Требований к способам (методам) ограничения доступа к информационным ресурсам, применяемым в соответствии с Федеральным законом „Об информации, информационных технологиях и о защите информации“ и размещаемой информации об ограничении доступа к информационным ресурсам».
Требования направлены на исключение избыточной блокировки добропорядочных интернет-ресурсов и позволяют операторам связи максимально эффективно и с наименьшими издержками исполнять нормы закона об ограничении запрещенной информации в интернете.
Хотелось бы отметить, что на сегодняшний день Роскомнадзором уже протестированы и рекомендованы несколько средств ограничения доступа к запрещенным ресурсам.
Роскомнадзор предупреждает о использовании паспортных данных граждан для незаконного оформления микрозаймов на других лиц
В последнее время участились случаи использования утерянных документов, скан-копий, ксерокопий паспортов злоумышленниками для оформления микрозаймов на других лиц. При этом процедуры взыскания задолженности с граждан, чьи персональные данные были незаконно использованы при оформлении микрозаймов, сопровождаются внесением негативных сведений в их кредитные истории, что существенно ограничивает их возможности для последующего добросовестного оформления финансово-кредитных отношений с банковскими учреждениями.
В случае, если вы столкнулись с фактами взыскания задолженности по кредиту, полученному по вашим паспортным данным другими лицами, вы можете обратиться с жалобой в Роскомнадзор (с предоставлением документов, которые могут подтвердить вашу правоту).
Источник: официальный сайт Роскомнадзора.
«Почте России» запретили требовать паспортные данные при выдаче посылок
После поступления жалоб от граждан, что сотрудники предприятия не выдают заказанные отправления без указания паспортных данных, Роскомнадзор направил предписание ФГУП «Почта России», согласно которому оператор не может требовать от граждан указывать паспортные данные на извещении для получения посылок в отделении.
Хотелось бы отметить, что арбитражные суды Санкт-Петербурга, Ленинградской и Тамбовской областей при попытке обжалования таких решений уже признали действия «Почты России» незаконными.
Источник: rspectr.com.