06.09.2023В долгожданном выпуске нашего дайджеста расскажем о летних новостях из мира ИБ-комплаенса.
Руководство по управлению уязвимостями
На сайте ФСТЭК России опубликовано информационное сообщение от 18.05.2023 №240/22/2435 об утверждении методического документа «Руководство по организации процесса управления уязвимостями в органе (организации)».
Документ подлежит применению государственными органами, организациями, в том числе субъектами КИИ РФ, при устранении уязвимостей программных, программно-аппаратных средств информационных (автоматизированных) систем в соответствии с требованиями к государственным информационным системам, значимым объектам КИИ, и иными нормативными правовыми актами и методическими документами ФСТЭК России.
Мониторинг защищённости информационных ресурсов органов и организаций
Официально опубликован приказ Федеральной службы безопасности Российской Федерации от 11.05.2023 № 213 «Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими».
Согласно приказу, мониторинг защищенности осуществляется Центром защиты информации и специальной связи ФСБ России в отношении информационных систем, автоматизированных систем управления и информационно-телекоммуникационных сетей, подключенных к сети Интернет или сопряженных с ней.
Изменения в приказ ФСТЭК России № 235
Официально опубликован приказ ФСТЭК России от 20.04.2023 № 69 «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21 декабря 2017 г. №235».
В Приказе скорректированы формулировки при упоминании лиц, ответственных за обеспечение информационной безопасности (заместителей руководителей субъекта КИИ), а также скорректированы требования к специалистам структурного подразделения по безопасности. Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области ИБ.
Также Приказом вводятся обязательные меры по реализации компенсирующих мер в случае невозможности обеспечения технической поддержки средств защиты информации со стороны производителя.
Изменения в 187-ФЗ
Официально опубликован Федеральный закон от 10.07.2023 № 312-ФЗ «О внесении изменения в статью 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», в соответствии с которым понятие субъекта критической информационной инфраструктуры теперь также включает сферу государственной регистрации прав на недвижимое имущество и сделок с ним.
Отметим, что регистрация прав на недвижимое имущество и сделок с ним регулируется Федеральным законом от 13.07.2015 № 218-ФЗ «О государственной регистрации недвижимости». К объектам КИИ в сфере государственной регистрации прав на недвижимое имущество и сделок с ним относится информационная система Единого государственного реестра недвижимости (ЕГРН). Соответствующая система эксплуатируется органами государственной власти в рамках межведомственного взаимодействия, а также двумя основными типами субъектов (субъектами КИИ):
-
Федеральная служба государственной регистрации, кадастра и картографии (Росреестр) и региональные управления Росреестра;
-
публично-правовая компания «Роскадастр».
Изменения в Указ № 166 и постановление Правительства РФ № 1478
Для общественного обсуждения представлен проект Указа Президента Российской Федерации «О внесении изменений в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».
Проектом предлагается дополнить необходимость согласования закупок иностранного программного обеспечения или услуг, необходимых для использования иностранного ПО на значимых объектах КИИ, Центральным Банком Российской Федерации (для банковской сферы и иных сфер финансового рынка).
Для общественного обсуждения также опубликован проект постановления Правительства Российской Федерации, которым предлагается внести соответствующие изменения в Постановление Правительства Российской Федерации от 22.08.2022 № 1478. Общественное обсуждение проектов завершилось 17 июля. Согласно текстам проектов, изменения вступят в силу с 12.09.2023.
Гостайна
Государственной Думой во втором чтении был принят Законопроект № 312862-8 "О внесении изменений в отдельные законодательные акты РФ" (в части принятия дополнительных законодательных мер по защите государственной тайны).
Кстати, с 2022 года «Ростелеком-Солар» оказывает широкий спектр услуг по технической защите информации – от поставок программно-технических средств в защищенном исполнении до проектирования и создания защищенных объектов информатизации под ключ с их последующей аттестацией.
Перечень ресурсов, относящихся к сервисам размещения объявлен
В соответствии со статьей 10.7 ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» Роскомнадзор определил перечень ресурсов, относящихся к сервисам размещения объявлений. Список ресурсов, относящихся к сервисам размещения объявлений: Auto.ru, HeadHunter, SuperJob, «Авито», «Домклик», «Зарплата.ру», «Профи», «Работа.ру», «Циан», «Юла», «Яндекс Недвижимость», «Яндекс Услуги».
К сервисам размещения объявлений относят информационные ресурсы или программные приложения, предназначенные для организации взаимодействия пользователей между собой путем размещения объявлений на русском языке и самостоятельного обращения по таким объявлениям, сгруппированным по их содержанию. Доступ к таким сервисам в течение суток должен составлять более 100 тысяч пользователей, находящихся на территории РФ.
Автор дайджеста: Максим Князев, инженер отдела комплаенс и аттестации направления «Solar Интеграция» компании «РТК-Солар»
