Изменения в нормативно-правовом поле защиты информации в 2022 году
Ситуация в стране и мире, сложившаяся в 2022 году, вызвала изменения и в нормативной сфере, в частности, в нормативно-правовых актах и нормативно-методических документах в сфере защиты информации. В настоящей статье будут рассмотрены только ряд из них, касающиеся объектов критической информационной инфраструктуры и государственных информационных систем.
Указ Президента РФ № 166 от 30.03.2022
Наибольший резонанс в прошлом году вызвал Указ Президента от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации». В Указе были введены ограничения на закупки иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов для их использования на значимых объектах КИИ. С 1 января 2025 года такое ПО будет запрещено использовать органам государственной власти и заказчикам, попадающим под действие 223-ФЗ (за исключением организаций с муниципальным участием).
Указ Президента РФ №250 от 01.05.2022
В самом начале марта был опубликован Указ Президента РФ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Цель указа – повысить уровень информационной безопасности критически важных организаций РФ. Напомним, что к ним относятся:
- стратегические предприятия и стратегические акционерные общества (перечень обществ утвержден Указом Президента РФ от 04.08.2004 № 1009 «Об утверждении перечня стратегических предприятий и стратегических акционерных обществ»);
- системообразующие организации российской экономики;
- федеральные органы исполнительной власти;
- высшие исполнительные органы государственной власти субъектов РФ;
- системообразующие организации российской экономики;
- государственные фонды;
- государственные корпорации и государственные компании;
- юридические лица, являющихся субъектами КИИ.
Согласно тексту Указа, с 1 января 2025 года этим организациям будет запрещено использовать средства защиты информации, произведенные в недружественных государствах либо выпущенные производителями, находящимися под их юрисдикцией. Т.е. с этого момента при выборе решений нужно будет обращать внимание не только на страну-производитель, но и проверять аффилированность компании. Напомним, что сейчас в список недружественных государств занесены 48 стран (Распоряжение от 5 марта 2022 года №430-р).
Дополнительно Указ Президента обязует критически важные организации определить лиц, которые будут отвечать за информационную безопасность:
- полномочия по обеспечению ИБ возлагаются на должностное лицо уровня заместителя руководителя организации;
- ответственность за обеспечение ИБ возлагается персонально на руководителя организации.
Кроме того, в Указе прописана обязательность создания структурного подразделения, ответственного за обеспечение ИБ. В случае, если в организации уже существует такое подразделение, на него должны быть возложены функции обеспечения ИБ.
Постановление Правительства Российской Федерации № 860 от 13.05.2022 г. «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений»
Интерес представляет и Постановление Правительства РФ № 860. В нем говорится об эксперименте по повышению уровня защищенности государственных информационных систем (далее – ГИС) федеральных органов исполнительной власти и подведомственных им учреждений в срок с 16 мая 2022 г. по 30 марта 2023 г. Ответственность за организацию и мониторинг работ в рамках эксперимента возложена на Минцифры России.
Что же Минцифры должно сделать?
- Разработать с согласованием во ФСТЭК России и ФСБ России типовое техническое задание на выполнение работ по повышению уровня защищенности ГИС;
- Обеспечить заключение соглашений о взаимодействии и организацию работ в рамках соглашений;
- Контролировать ход устранения выявленных в рамках эксперимента недостатков (уязвимостей);
- Разработать по согласованию со ФСТЭК России и ФСБ России перечень мер, направленных на нейтрализацию выявленных в ГИС в рамках эксперимента недостатков (уязвимостей).
Информационное сообщение ФСТЭК России № 240/83/1698 от 28.06.2022 г. «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий»
ФСТЭК России в июне уведомил организации, относящиеся к субъектам КИИ, о порядке рассмотрения перечней объектов КИИ, подлежащих категорированию, а также сведений о результатах категорирования субъектов КИИ в сферах энергетики и топливно-энергетического комплекса.
Если субъект КИИ является федеральным органом исполнительной власти, госкорпорацией или головной организацией интегрированных структур, рассмотрение перечней и сведений осуществляется центральным аппаратом ФСТЭК России. Если субъект КИИ – самостоятельные юридическое лицо, дочернее, зависимое общество, входящее в интегрированные структуры, либо организация, которая подчиняется органам власти субъектов Российской Федерации или органам местного самоуправления, рассмотрение осуществляется управлением ФСТЭК России по тому федеральному округу, на территории которого расположен данный субъект КИИ.
Федеральный закон № 266-ФЗ от 14.07.2022 г. «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации, и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»
Солидные изменения в сфере защиты персональных данных внес ФЗ № 266. Ряд изменений вступил в силу 1 сентября 2022 г., остальные вступят в силу с 1 марта 2023 г. Согласно этому ФЗ, с 1 сентября вступили в силу следующие требования:
- Оператор должен определить категории и перечень обрабатываемых ПДн для каждой цели обработки.
- Оператор обязан опубликовать политику обработки ПДн на всех принадлежащих ему сайтах в сети Интернет, с помощью которых осуществляется сбор ПДн.
- Срок ответа оператора на обращения субъектов ПДн сокращен до 10 рабочих дней. При наличии мотивированного обоснования возможно продление этого срока на 5 дней.
Кроме того, ФЗ № 226 дополняет требования к содержанию поручения оператора к лицу, осуществляющему обработку ПДн, и сокращает перечень случаев, при которых уведомлять Роскомнадзор об обработке ПДн не требовалось.
Постановление Правительства Российской Федерации № 1478 от 22.08.2022
И последняя важная новелла в нормативных документах – это Постановление Правительства РФ № 1478, содержащее требования к программному обеспечению, используемое на объектах КИИ и правила перехода на преимущественное использование российского программного обеспечения.
Методические рекомендации по переходу на использование российского ПО были утверждены Минцифры РФ в январе текущего года. Согласно этим рекомендациям, используемое на значимых объектах КИИ программное обеспечение должно быть включено в реестр российского или евразийского ПО. Кроме того, решения, предназначенные для обеспечения безопасности значимых объектов КИИ, а также для обнаружения, предупреждения, ликвидации последствий компьютерных атак, реагирования на компьютерные инциденты и/или обмена информацией о компьютерных инцидентах на объектах КИИ, обязательно должны соответствовать требованиям безопасности, установленными ФСБ России и ФСТЭК России. Подтверждает такое соответствие сертификат.
Также были внесены изменения в процесс закупок иностранного ПО – теперь закупка иностранного ПО или иностранных услуг для использования ПО может быть проведена только после рассмотрения и согласования заявки в Уполномоченном органе. Заявка, кроме прочего, должна содержать обоснование невозможности соблюдения запрета на использование иностранного ПО и сведения о соответствии закупаемого иностранного ПО требованиям законодательства РФ по безопасности (сертификат о соответствии требованиям ФСТЭК России и/или ФСБ России). Нормативный срок рассмотрения заявки ограничен 17 рабочими днями.
Согласовывать закупки иностранного программного обеспечения для его использования на значимых объектах КИИ, согласно Постановлению, могут следующие федеральные органы исполнительной власти:
- Министерство здравоохранения РФ;
- Министерство науки и высшего образования РФ;
- Министерство транспорта РФ;
- Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России);
- Министерство финансов РФ;
- Министерство энергетики РФ;
- Министерство промышленности и торговли РФ.
Тенденция последних лет – повышение внимания государства к сфере информационной безопасности – не потеряет актуальности и в ближайшем будущем, соответственно, будет появляться новая нормативно-правовая документация, регламентирующая эту сферу. Поэтому не стоит откладывать «на потом» процесс совершенствования собственной системы информационной безопасности и доработку ее по требованиям регулятора. Специалисты компании «ИТАУС» помогут наладить процессы ИБ, разобраться в тонкостях изменения законодательства, оценить текущий уровень защиты информационных систем, разработать соответствующую документацию и др. В решении возникающих у наших заказчиков вопросов и текущих проблем в области ИБ мы видим нашу основную задачу.