Автор: Татьяна Пермякова, старший аналитик УЦСБ

В обзоре изменений за май 2022 года рассмотрим следующие документы: Указ Президента РФ №250 и сопутствующие ему нормативные акты; эксперимент по повышению защищенности государственных информационных систем федеральных органов исполнительной власти; новый раздел Банка данных угроз и анонс новой версии Методики оценки угроз; отчеты деятельности ТК362 и новые стандарты; иные изменения и новости законодательства за май 2022.

Дополнительные требования по обеспечению ИБ

Указ Президента РФ №250

В начале мая (01.05) опубликован Указ Президента РФ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ).

Указ нацелен на повышение уровня информационной безопасности (далее – ИБ) критически важных организаций РФ: органов государственной власти, государственных фондов, госкорпораций, иных предприятий, созданных на основании федеральных законов, стратегических предприятий и акционерных обществ, системообразующих организаций экономики, субъектов критической информационной инфраструктуры (далее – КИИ).

Согласно Указу персональная ответственность за обеспечение целевого уровня ИБ в организации возлагается на заместителя руководителя организации (Правительство РФ планирует утвердить положение о таком заместителе). При этом задачи, решаемые в рамках обеспечения такого уровня ИБ, необходимо возложить на отдельное подразделение. Для решения этих задач необходимо создать отдельное подразделение или возложить ответственность за решение задач на уже существующее в организации подразделение.

Кроме того, Указ вводит зоны ответственности и права для органов исполнительной власти:

  • Федеральная служба безопасности России (далее – ФСБ России) определит порядок мониторинга ИБ организаций, входящих в область действия Указа;

  • Для мониторинга ИБ могут привлекаться только аккредитованные центры Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА), порядок аккредитации определяет ФСБ России (об этом далее в обзоре);

  • ФСБ России также получает беспрепятственный доступ к инфраструктуре указанных организаций (в том числе удаленный).

Кроме того, Правительство РФ подготовило перечень ключевых организаций, которым необходимо до 1 июля 2022 года провести оценку текущего уровня защищенности и представить информацию о результатах такой оценки в Правительство РФ. В общем доступе перечень отсутствует, Правительством направлены отдельные уведомления каждой ключевой организации, попавшей в перечень.

К работам по оценке уровня защищенности могут привлекаться только организации, имеющие лицензию ФСТЭК России на проведение таких работ.

Более подробно положения Указа эксперты Аналитического центра УЦСБ прокомментировали в данном материале.

Центры ГосСОПКА: переходный период

Для общественного обсуждения представлен проект приказа ФСБ России «Об определении переходного периода», в котором предлагается определить период длиной в 365 календарных дней, в течение которого центры ГосСОПКА могут осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах организаций и органов, определенных в Указе Президента РФ №250.

Общественное обсуждение проекта завершилось 14 июня.

Центры ГосСОПКА: аккредитация

Также на этапе общественного обсуждения находится проект приказа ФСБ России «О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам, утвержденное приказом ФСБ России от 24 июля 2018 г. ‎№366».

В проекте ФСБ России предлагает возложить на Национальный координационный центр по компьютерным инцидентам (НКЦКИ) функции определения порядка и проведения аккредитации центров ГосСОПКА. Отметим, что критерии и порядок такой аккредитации на данный момент не опубликован.

Общественное обсуждение проекта завершилось 14 июня.

Эксперимент по повышению уровня защищенности ГИС

16 мая опубликовано Постановление Правительства Российской Федерации от 13.05.2022 №860 «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений».

Согласно Постановлению эксперимент требуется провести в соответствии с утверждаемым Положением в период с 16.05.2022 по 30.03.2023. Ответственность за реализацию эксперимента возлагается на Министерство цифрового развития, связи и массовых коммуникаций (далее – Минцифры).

Основными целями эксперимента являются:

  • проведение информационного обследования (инвентаризации) системы защиты государственных информационных систем (далее – ГИС) федеральных органов исполнительной власти (далее – ФОИВ) и подведомственных им учреждений;

  • выявление существующих недостатков (проведение анализа уязвимостей, тестирования на проникновение, анализа угроз и рисков);

  • получение независимой оценки текущего уровня защищенности ГИС;

  • разработка перечня мер, направленных на устранение выявленных недостатков.

Постановление утверждает Положение о проведении соответствующего эксперимента, однако не приводит описания и (или) перечня конкретных мероприятий, необходимых для достижения указанных выше целей. Ответственность за разработку типового технического задания на проведение мероприятия в рамках эксперимента и его согласование со ФСТЭК России и ФСБ России возложена на Минцифры (сроки готовности технического задания Минцифры не обозначило).

Для проведения отдельных работ в рамках эксперимента Минцифры может привлекать коммерческие организации. Для участия в эксперименте ФОИВ и подведомственные им учреждения на добровольной основе могут направить в Минцифры заявку и получить ответ от Минцифры в 30-дневный срок о возможности участия в эксперименте. По окончании эксперимента Минцифры направляет информацию о результатах реализации защитных мер во ФСТЭК России и ФСБ России.

Согласно Постановлению по окончании эксперимента Минцифры должно сформировать перечень мер, направленных на нейтрализацию выявленных в рамках эксперимента недостатков (уязвимостей), сроки не обозначены.

Новый раздел БДУ

В начале мая была запущена тестовая эксплуатация нового раздела Банка данных угроз безопасности информации (далее – БДУ) ФСТЭК России. Об этом федеральная служба информирует в своем письме от 04.05.2022 № 240/22/2432 «О разработке нового раздела Банка данных угроз безопасности информации, содержащего сведения об угрозах безопасности информации».

Все желающие специалисты в области ИБ могли направить свои предложения и комментарии по доработке нового раздела ФСТЭК России. Тестовая эксплуатация завершилась 5 июня.

Новый раздел содержит сведения о объектах и компонентах воздействия, способах реализации угроз безопасности информации, уровне возможностей нарушителей и мерах защиты информации от реализации угроз. В тестовой эксплуатации принимали участие все желающие специалисты в области ИБ. На данный момент на сайте вновь доступна прежняя версия БДУ .

Кроме того, ФСТЭК России в письме информирует о скором завершении разработки новой версии Методики оценки угроз безопасности информации (далее – Методика), первая версия которой была утверждена ФСТЭК России 05.02.2021.

Федеральная служба уточняет, что модели угроз, разработанные до публикации нового раздела БДУ и редакции Методики, перерабатывать не требуется.

Изменение требований к удостоверяющим центрам

ФСБ России утвердило приказ от 13.04.2022 №179 «О внесении изменений в Требования к средствам удостоверяющего центра, утвержденные приказом ФСБ России от 27 декабря 2011 г. №796».

Приняты изменения в части изложения мер по обеспечению защиты механизма формирования меток доверенного времени при подключении средств, реализующих его, к сети Интернет, защиты от сетевых атак, вредоносного кода, обнаружения (предотвращения) вторжений, криптографической защите, а также доверенной загрузки средств вычислительной техники.

Приказ вступает в силу 1 сентября текущего года и действует до 01.01.2027.

Упрощение процедуры ввоза криптографических средств в РФ

16 мая опубликовано постановление Правительства Российской Федерации от 09.05.2022 №834 «Об установлении особенностей ввоза в Российскую Федерацию шифровальных (криптографических) средств и товаров, их содержащих».

По причине ухода из РФ многих мировых вендоров криптографических средств возник риск дефицита таких средств из-за невозможности подать заявления о нотификации. Цель Постановления – упростить порядок нотификации импортных электронных устройств, оснащенных средствами шифрования.

В соответствии с Постановлением в 2022 году при ввозе шифровальных (криптографических) средств и содержащих их товаров, включенных в перечень и ввозимых в соответствии с Положением, утвержденными Решением коллегии Евразийской экономической комиссии от 21.04.2015 №30 «О мерах нетарифного регулирования», допускается:

  • оформление нотификации отраслевыми ассоциациями, перечень которых утвержден в приложении к постановлению (6 ассоциаций);

  • производителям электронного оборудования и техники, включенных в перечень системообразующих организаций российской экономики, можно не предоставлять сведения о нотификации таможенным органам, если ввозимые средства являются комплектующими для промышленного производства.

Медицинский информационно-аналитический центр: новые положения ИБ

4 мая официально опубликован Приказ Министерства здравоохранения РФ от 25.03.2022 №205н «Об утверждении Типового положения о медицинском информационно-аналитическом центре».

Медицинский информационно-аналитический центр (далее – МИАЦ) является самостоятельной медицинской организацией, подведомственной органу государственной власти субъекта РФ в сфере охраны здоровья и создается в целях цифровизации сбора, обработки и анализа данных в сфере охраны здоровья. Согласно типовому положению в состав МИАЦ должен входить в том числе отдел защиты информации, в функции которого входят:

  • автоматизация процессов обработки информации, техническая и технологическая поддержка медицинских организаций;

  • проектирование информационных систем, в том числе систем защиты информации и систем обеспечения безопасности значимых объектов КИИ;

  • организационно-методическое обеспечение при формировании требований к защите информации (в т.ч. объектов КИИ);

  • подготовка организационно-распорядительных документов;

  • организация работы защищенных сетей передачи данных;

  • обнаружение компьютерных атак и т.д.

Отмена субсидий на разработку программы кибергигиены и повышения грамотности по вопросам ИБ

Для общественного обсуждения опубликован Проект постановления Правительства РФ «О признании утратившим силу постановления Правительства Российской Федерации от 03.02.2022 № 94 «Об утверждении Правил предоставления субсидий из федерального бюджета российскому юридическому лицу на разработку и реализацию на регулярной основе программы кибергигиены и повышения грамотности широких слоев населения по вопросам информационной безопасности» .

Напомним, что согласно Постановлению №94 Минцифры предоставляет субсидии организациям на основании конкурсного отбора. Кроме проверки требований к самой организации, Министерство в рамках конкурса оценивает разработанную организацией-конкурсантом программу по ряду критериев.

Предложение об отмене установленных правил связано с тем, что указанные программы будут разрабатываться образовательной подведомственной организацией Минцифры (уточняется в пояснительной записке к проекту).

Стандартизация в области защиты информации

Отчетность ТК 362

Опубликованы отчеты о результатах деятельности технического комитета по стандартизации «Защита информации» (далее ‑ ТК 362). Среди них отчет о результатах за 2021 год, за 1 квартал 2022 года, а также несколько промежуточных справок-докладов (последняя по состоянию на 31.05.2022).

За 2021 год:

  • 4 стандарта разработаны и представлены в Федеральное агентство по техническому регулированию и метрологии (далее – Росстандарт);

  • 5 проектов национальных стандартов разработаны и направлены на издательское редактирование;

  • проведены работы по разработке 10 стандартов (в отчете обозначены статусы по каждому проекту);

  • проведена работа по формированию рабочей группы 1 в целях разработки проектов национальных стандартов, устанавливающих требования к средствам защиты информации;

  • сформирована рабочая группа 8 для обсуждения разработки национальных стандартов, регламентирующих методологию «Secure-by-Design»;

  • разработана, утверждена, опубликована и направлена в Росстандарт перспективная программа работы ТК 362 на 2022-2024 годы;

  • проведено 11 заседаний рабочих групп;

  • проведена экспертиза 71 документа смежных технических комитетов по стандартизации;

  • в состав ТК 362 включены 11 организаций, из состава исключена 1 организация и тд.

По результатам анализа работы ТК 362 в I квартале 2022:

  • проводились работы по разработке и согласованию 15 проектов национальных и межгосударственных стандартов (по каждому документу приведено описание состояния работ);

  • осуществлялось взаимодействие со смежными техническими комитетами по стандартизации (работа велась в отношении 5 стандартов);

  • согласно плану перспективных работ проводились заседания рабочих групп, анализ активности организаций-членов ТК, организация деятельности ТК 362 (приведено описание состояния работ).

Уровни доверия идентификации – новый ГОСТ

ФСТЭК России также проинформировала о решении ТК 362 представить в Росстандарт на утверждение окончательной редакции проекта национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации». Решение было принято в феврале текущего года.

Голосование по данному вопросу проводилось по переписке.

ГОСТ Р «Интеллектуальные транспортные системы…»

На рассмотрение ТК 362 16 мая поступили следующие проекты национальных стандартов:

  • ГОСТ Р «Интеллектуальные транспортные системы. Информационная безопасность. Надежность обмена данными между инфраструктурой и автомобилем»;

  • ГОСТ Р «Интеллектуальные транспортные системы. Информационная безопасность. Термины и определения».

На данный момент сформирован перечень отзывов членов комитета, по заключению ТК 362 стандарты не рекомендованы к принятию в первых редакциях и требуют доработки.

Об усилении защиты персональных данных

В первом чтении принят законопроект ИТ-комитета Государственной Думы РФ об усилении защиты персональных данных (далее – ПДн).

Напомним, что законопроект предлагает ряд изменений к внесению в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»: введение роли «лица, осуществляющего обработку ПДн по поручению оператора», расширение понятия «трансграничной передачи ПДн», установление требований по оценке вреда, обязанность оператора непрерывно взаимодействовать с ГосСОПКА и т.д. Подробнее о законопроекте в обзоре изменений законодательства за апрель 2022.

Отметим, что проект по результатам рассмотрения требует доработок, срок предоставления поправок — конец июня.

Дополнительная аутентификация для пользователей ЕСИА

Правительство опубликовало Постановление от 14.05.2022 №875 «О внесении изменений в некоторые акты Правительства Российской Федерации», которое разрешает пользователям единой системы идентификации и аутентификации (ЕСИА) получать доступ к информации из государственных, муниципальных и иных информационных систем с помощью дополнительной аутентификации: через Единую биометрическую систему или с помощью СМС-кода.

Заседание Совета безопасности РФ

Совет Безопасности РФ на заседании 20 мая обсудил вопросы повышения устойчивости и безопасности функционирования информационной инфраструктуры государства, в том числе одобрил проект основ государственной политики в области обеспечения безопасности КИИ РФ.

Комментарии (6)


  1. Valser
    22.06.2022 00:25

    А на Хабре это зачем?


    1. sam_11
      22.06.2022 07:53

      А Хабр читают и специалисты по ИБ.


  1. mrzim
    22.06.2022 09:51

    Кто знает, были ли размещены и если да, то где именно, документы из п. 3 Указа Президента Российской Федерации от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации". Срок исполнения - месяц, и он уже прошел.


    1. USSCLTD Автор
      23.06.2022 10:57

      Перечень ключевых организаций, которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем, Правительством определен, но в общем доступе не опубликован. Организации, вошедшие в перечень, получили уведомления о необходимости проведения мероприятий напрямую от Минцифры.

      Типовых положений в общем доступе также нет, однако по устной информации представителей органов власти, документы в работе и уже прошли согласование ФСТЭК России и ФСБ России. Ожидаем их публикации в ближайшее время, даты публикации не обозначены.


      1. mrzim
        23.06.2022 11:59

        Этот вопрос интересен для меня, т.к. я являюсь сотрудником регионального представительства организации, которая (по моему мнению) входит в этот перечень. На текущий момент каких-либо документов по данному направлению не поступало, возможно виной всему являются бюрократические проволочки...


        1. USSCLTD Автор
          23.06.2022 14:01

          Все организации, которые отнесены к ключевым, получили письма от Минцифры в начале июня. Если Ваша организация не получила письмо, то она не отнесена к ключевым, следовательно, не обязана выполнять работы по оценке защищенности до 1 июля 2022 года.

          Если у Вас есть сомнения, то можете обратиться к Вашей головной организации и уточнить, необходимо ли выполнять какие-то мероприятия во исполнение Указа Президента.

          Если Ваша компания получила письмо, и есть сложности с реализаций мероприятий по оценке уровня защищенности, то можете обратиться за консультациями к нашим специалистам по адресу: compliance@ussc.ru