Новинки в области КИИ
На карте законодательства по безопасности КИИ остается всё меньше белых пятен. ФСТЭКовские проекты почти все опубликованы и начали/начинают действовать. ФСБшные документы пока находятся на стадии общественного обсуждения проектов.
Полный перечень документов и проектов документов в области защиты КИИ со статусами можно найти в блогенашего коллеги Алексея Комарова
Что касается изменений, то за первые два месяца 2018 года была проведена большая работа. Убедитесь сами:
1. Утверждено 2 Постановления Правительства:
- Постановление Правительства Российской Федерации от 8 февраля 2018 г. №127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений».
- Постановление Правительства Российской Федерации от 17 февраля 2018 №162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ РФ».
2. Вступили в силу 2 приказа ФСТЭК России: - Приказ ФСТЭК России от 21.12.2017 №235 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования».
- Приказ ФСТЭК России от 06.12.2017 № 227 «Об утверждении порядка ведения реестра значимых объектов КИИ РФ».
3. На этапе общественного обсуждения находятся 2 приказа ФСБ России: - Проект приказа ФСБ России «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ РФ».
- Проект Приказа ФСБ России «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты».
К наиболее значимым документам среди перечисленных, по мнению ИБ-сообщества и самого регулятора в области КИИ (ФСТЭК России), относится Постановление Правительства Российской Федерации от 8 февраля 2018 г. №127 «Об утверждении Правил категорирования …» (далее — ПП №127).
В сети уже появились довольно наглядные иллюстрации основных положений документа — например, эта майндкарта по выполнению ПП №127.
Из спорных изменений хотелось бы отметить вопрос сроков.
В соответствии с ПП №127, максимальный срок категорирования объектов КИИ не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов, подлежащих категорированию. При этом срок подготовки самого перечня объектов в тексте документа не установлен (напомню, что в проекте документа он был зафиксирован и составлял 6 месяцев).
В сети Интернет бытуют разные трактовки сроков исполнения. Есть мнение, что «согласно правилам подготовки и прочтения НПА, если в отношении какой-либо нормы нет особого указания о сроках ее действия, то она вступает в силу с момента вступления в силу самого НПА. В проекте ПП-127 говорилось о шести месяцах для подготовки перечня объектов; в финале этот срок убрали. Значит перечень должен быть утвержден к моменту вступления в силу ПП-127, то есть к 20-му февраля».
При этом сам регулятор придерживается позиции, что перечень объектов КИИ, подлежащих категорированию, подается без конкретных сроков. И только если субъекты КИИ будут тормозить процесс, регулятор через административную инициативу будет устанавливать сжатые сроки.
Примечательной показалась фраза, прозвучавшая на конференции АСУ ТП ИБ КВО из уст Заместителя директора ФСТЭК России Лютикова Виталия Сергеевича:
«Перечень объектов КИИ можно не делать, раз срок его не указан. Но не забывайте про 6 лет по УК РФ»
Тем читателям, кто хочет более глубоко погрузиться в тему, добавлю в копилку полезностей следующие материалы:
- Презентации с ТБ-форума, в том числе презентации ФСТЭК России по самым «горячим» темам КИИ.
- Видео с форума ibbank, на которой прозвучал тезис, что все финансовые организации без исключения являются субъектами КИИ и обязаны будут подключаться к ГосСОПКЕ. Что наводит на мысль, что тема КИИ в ближайший год станет достаточно актуальной для многих финансовых структур.
- И ответы ФСТЭК России на конференции «Актуальные вопросы защиты информации» на вопросы к части КИИ (блог А. Лукацкого).
Несмотря на постоянные разъяснения по принимаемым нормативным документам, пока остается много открытых вопросов к исполнению законодательства о КИИ. Например,
- Как быть предприятиям области ЖКХ, пищевой промышленности и иным, которые к сферам КИИ в законе не отнесены, но тем не менее являются значимыми для страны по предоставляемым услугам?
- Является ли облачный провайдер субъектом КИИ, если он обрабатывает данные или хостит системы субъекта КИИ?
- Когда всё-таки появится адекватная методика моделирования угроз на КИИ, если учесть, что единственная методика по КСИИ больше не актуальна? И т. д.
Будем ждать дальнейших разъяснений. А также единой методички по всем приказам ФСТЭК (17/21/31/КИИ), обещанной во 2-м квартале 2018 года.
Внимание: если у вас остались вопросы по КИИ (в рамках компетенций ФСТЭК России), то вы можете писать свои вопросы на адрес email: otd22@fstec.ru с указанием в поле Subject «Вопрос по КИИ».
Законопроект о внесении изменений в Федеральный закон «Об электронной подписи»
На рассмотрение Гос. Думы внесен законопроект о вопросах использования квалифицированного сертификата ключа проверки электронной подписи.
Законопроект направлен на устранение коллизии в практике применения квалифицированного сертификата ключа проверки электронной подписи.
Коллизия заключается в следующем. Сейчас, в случае, если аккредитованный удостоверяющий центр принял решение о прекращении своей деятельности, владельцы квалифицированных сертификатов, которые получили их в этом удостоверяющем центре, не вправе пользоваться своими ключами электронной подписи и обязаны приобретать новый сертификат. Даже если срок действия предыдущего сертификата актуален.
Принятие законопроекта позволит гражданину, получившему в аккредитованном удостоверяющем центре квалифицированный сертификат, пользоваться им до окончания срока действия сертификата, в том числе в случае, если срок действия аккредитации этого удостоверяющего центра истёк.
Проект Постановления Правительства РФ «Об определении состава сведений и вида биометрических персональных данных <…>»
На портале общественных обсуждений опубликован проект постановления правительства РФ об определении «состава сведений и вида биометрических ПДн», размещаемых в единой информационной системе ПДн, обеспечивающей обработку проверку и передачу информации о степени их соответствия предоставленным биометрическим ПДн гражданина Российской Федерации.
Речь идет об Единой биометрической системе, которая будет идентифицировать граждан по изображению лица и голосу.
Напомню, что федеральным законом №482-ФЗ устанавливается возможность осуществлять удалённую идентификацию гражданина РФ посредством использования ЕСИА и единой биометрической системы.
Проектом постановления устанавливается, в частности, что в единой биометрической системе будут размещаться следующие биологические характеристики индивида, обеспечивающие распознавание человека:
- данные изображения лица;
- данные голоса.
Проектом постановления вносятся изменения также в правила использования ЕСИА, утверждённые постановлением правительства от 10.07.2013 №584. В частности, в правила добавляется подпункт, позволяющий использовать ЕСИА для получения данных о гражданине РФ для его удаленной идентификации.
Также в правила вносится новый пункт, определяющий перечень сведений, которые госорганы, банки и иные организации, имеющие на это право, запрашивают и получают из регистра физических лиц ЕСИА.
Перечень таких данных, доступных для получения организациями, довольно объемный и включает:
ФИО, СНИЛС, пол, дата рождения, реквизиты основного документа, удостоверяющего личность гражданина (серия, номер, кем выдан, дата выдачи, код подразделения), адрес места жительства (регистрации), сведения о гражданстве, контактная информация — номер абонентского устройства подвижной радиотелефонной связи, адрес места пребывания, место рождения, идентификационный номер налогоплательщика, адрес электронной почты — при наличии этих сведений в единой системе.
Расширение полномочий ФСО
Теперь и Федеральная Служба Охраны (ФСО) будет заниматься (частично) и ПДн, и ГосСОПКА.
В частности, в Положение об этой службе добавлено:
«а) пункт 4 дополнить подпунктом 9 следующего содержания:
9) обеспечение защиты персональных данных объектов государственной охраны и членов их семей.
б) в пункте 12:
дополнить подпунктом 231 следующего содержания:
231) участвует в пределах своей компетенции в реализации государственной политики в области международной информационной безопасности и проведении мероприятий по информационному противоборству, обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»