Что нового?
1. Перечни критических объектов
Что произошло?
Официально: разрабатываются проекты постановлений Правительства РФ об утверждении Перечней типовых отраслевых объектов КИИ, о внесении изменений в постановление Правительства РФ от 8 февраля 2018 г. № 127 и об отраслевых особенностях категорирования ОКИИ в сферах здравоохранения, химической, горнодобывающей, металлургической, оборонной, ракетно-космической промышленности, энергетики (в т.ч. атомной), транспорта, связи, регистрации прав на недвижимость и науки.
Фактически: устанавливаются перечни объектов КИИ и выполняемых ими функций в отраслях:
здравоохранения;
науки;
транспорта;
связи;
энергетики;
регистрации прав на недвижимость и сделок с ней;
финансовой сферы;
оборонной, ракетно-космической, добывающей, металлургической, химической промышленности.
На основании этих перечней организации должны будут принимать решения о категорировании объектов КИИ. Категорированию подлежат также и другие ИС, если нарушение их работы приведет к сбоям в основных процессах субъектов КИИ (как уже показывает практика, это могут быть даже отдельные ПК работников!). Процедуру категорирования и расчет показателей значимости необходимо будет проводить, учитывая особенности, установленные отраслевыми регуляторами.
Комментарий:
Перечни упростят работу по категорированию объектов КИИ. Организациям не потребуется самим определять, какие из своих ИТ-систем относить к ОКИИ: достаточно будет свериться с их перечнем по своей отрасли. Если указанные в нем системы в компании есть, ей следует категорироваться и выполнять обязанности субъекта КИИ по 187-ФЗ.
В перечне объектов есть неочевидные, но очень распространенные в разных отраслях системы. Например, системы учета товаров в аптеках и малом химпроме, клиентов – в микрофинансовых организациях, СХД и СКУД в промышленности. Если компания такими пользуется, то является субъектом КИИ. И, если по итогам категоризации система получит категорию значимости, организация должна принять ИБ-меры по 239-му Приказу ФСТЭК. А затем выявлять инциденты ИБ и сообщать о них.
Для выполнения этих задач нужны технические средства. Обнаруживать ИБ-инциденты, взаимодействовать с НКЦКИ и выполнять значительную часть требований ФСТЭК можно помощью SIEM-систем. Существуют «коробочные» SIEM с минимальными требованиями к аппаратным мощностям и квалификации оператора. Их могут использовать даже небольшие организации.
2. Что для вас недопустимо – определите сами
Что произошло?
Официально: Минцифры выпустило методические рекомендации по формированию перечня недопустимых событий для обеспечения непрерывности операционной деятельности организаций при выполнении показателей оперативного рейтинга эффективности и результативности ответственных за цифровую трансформацию.
Фактически: всем организациям рекомендовано регламентировать бизнес-процессы, определить показатели операционной надежности (например, допустимое время простоя или нарушения работы ИС) и смоделировать недопустимые события, которые могут возникнуть из-за инцидентов ИБ.
Комментарий:
Моделирование угроз поможет сопоставить ИБ-риски и угрозы для бизнеса. Например, связать уход клиентов к конкуренту с тем, что сотрудник пересылал на личную почту сведения о сделках.
Моделирование поможет определить:
какие ИТ-ресурсы требуют особого внимания,
какие ИБ-средства и в каком объеме нужны, чтобы предотвратить угрозы бизнесу,
сколько затрат и мощностей понадобится для их внедрения,
актуально ли для сотрудников ИБ-обучение и в каком объеме его проводить.
В результате будет проще обосновать руководству организации выгоду от реализации ИБ-мер. А то и добиться, чтобы бизнес-процессы стали безопаснее: например, ввести запрет на пересылку рабочих документов в публичных мессенджерах.
3. Давайте договариваться
Что произошло?
Официально: разработан и принят в первом чтении законопроект о внесении изменений в Кодекс Российской Федерации об административных правонарушениях.
Фактически: законодатели предлагают ввести механизм, который позволит привлекаемым к административной ответственности избежать наказания. Но только в том случае, если они исправятся! Законопроект касается почти всех правонарушений, в том числе в сфере ИБ. Чтобы воспользоваться возможностью, понадобится заключить соглашения об устранении нарушений законодательства с контролирующими органами.
Комментарий:
По замыслу, мера замотивирует нарушителей реально исправлять свои ошибки. Но важно, чтобы они сами проявляли инициативу – и до того, как им будет назначено наказание. Законодатели признают, что путь будет непростой: в каждом случае работа по устранению нарушений может занять годы. Зато, если завершится успешно, административное дело закроют – а фигурант еще и останется в плюсе.
Разберемся на ИБ-примере. Возьмем оператора персональных данных, который – по ошибке или «для удобства» – хранил их в публичном облаке. Начинается административное производство, но оператор берет на себя обязательства:
удалить скомпрометированную информацию,
внедрить СЗИ,
разграничить доступ к данным,
заблокировать каналы утечки.
В итоге он заменит выплату штрафа вложениями в ИБ, так что минимизирует и репутационные риски, и угрозу новых инцидентов с ПДн.
Таким образом исчезнет перекос, когда инвестиции в ИБ снижают наказание только за повторные нарушения с ПДн. Если законопроект примут, компании, готовые реализовать меры защиты, смогут полностью снять с себя административную ответственность. Это касается ст. 13.12.1 КоАП РФ (для КИИ), и ст. 13.12 КоАП РФ (для остальных организаций).
Какие изменения уже произошли?
Вступил в силу Федеральный закон № 420-ФЗ от 30.11.2024. Начинают действовать увеличенные штрафы за инциденты с персональными данными. Подробнее о них рассказывали в дайджесте за ноябрь-декабрь 2024. А как это будет выглядеть на практике – разбирали здесь.
Принят и вступил в силу Федеральный закон от 23.05.2025 № 104-ФЗ «О внесении изменений в статьи 4.5 и 13.12 КоАП РФ и статью 1 Федерального закона «О внесении изменений в КоАП РФ». Выросли штрафы за нарушение правил защиты информации и использование несертифицированных СЗИ. О подготовке закона писали в дайджесте за январь-март 2024.
Принят и вступил в силу Федеральный закон от 01.04.2025 № 41-ФЗ «О создании ГИС противодействия правонарушениям, совершаемым с использованием ИКТ, и о внесении изменений в отдельные законодательные акты РФ». Пилотный проект по созданию системы стартовал 4 июня. Органам власти, государственным и финансовым учреждениям, владельцам агрегаторов и маркетплейсов запрещено использовать для коммуникации с гражданами иностранные мессенджеры. Один из банков уже привлечен к ответственности за нарушение этого требования. Проект разбирали в дайджесте за январь-март 2024.
Принят и вступает в силу с 1 марта 2026 года приказ ФСТЭК России № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Требования приказа распространяются на любые не относящиеся к КИИ информсистемы государственных организаций и муниципальные ИС. Как обязательные цели защиты информации в нем указаны обеспечение конфиденциальности и предотвращение утечек информации. О разработке приказа писали в дайджесте за ноябрь-декабрь 2024.
Во втором квартале вступили в силу изменения, которые серьезно ужесточают действующие требования или ответственность за их нарушение. В то же время появились инициативы, которые помогут организациям выполнить ИБ-нормативы и смягчить наказание за инциденты. Отраслевые перечни ОКИИ упростят категорирование, методика Минцифры поможет определить ИБ-потребности и донести их до руководства, а поправки в КоАП позволят добросовестным организациям решить проблемы с законом. Это ли не потепление?
В следующем дайджесте мы расскажем о новостях регулирования ИБ по итогам июля-сентября этого года. А пока делимся полезными ИБ-материалами:
Памятка о том, как будут работать штрафы за нарушения с персональными данными, кому они грозят и как можно смягчить ответственность.
Практический вебинар «Как избежать наказания за утечку персональных данных». На нем эксперты «СёрчИнформ» обсудили, как минимизировать ответственность в случае инцидента, и как его избежать в будущем.
Итоги опроса ИБ-руководителей об ИБ-тенденциях в первом полугодии 2025 года. Из него вы узнаете, как компании защищаются от угроз, минимизируют риски штрафов за инциденты с ПДн и повышают у себя ИБ-культуру.