652
1
0
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники
Назад

Новости нормативки по ИБ. Июль — август 2023 года

Время чтения 5 минут
Нет времени читать?
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники
652
1
0
Нет времени читать?
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники

Уважаемые читатели, меня зовут Алексей Кубарев, в сфере ИБ я варюсь уже больше 15 лет. За это время мне довелось послужить во ФСТЭК России на направлении сертификации средств защиты информации, технической защиты информации от несанкционированного доступа и обеспечения безопасности критической информационной инфраструктуры Российской Федерации. В настоящее время я CISO в одном очень амбициозном клауд-провайдере.

Одна из моих задач — следить за изменениями в нормативных актах в области ИБ и выделять из их потока то, что может повлиять на меня, моих заказчиков и подрядчиков. В связи с этим я владею обстановкой в этой области и могу ей поделиться.

Новости нормативки по ИБ. Июль — август 2023 года

Работать с сертифицированными счетчиками можно без лицензии ФСБ

Постановление Правительства Российской Федерации от 28.08.2023 №1403 вносит изменения в приложение к Положению о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств.

Согласно изменениям, из состава работ или услуг, предусмотренных Перечнем выполняемых работ и оказываемых услуг, исключаются работы и услуги по монтажу, установке, наладке (пункт 12) и передаче (пункт 21) сертифицированных ФСБ России криптографических средств, разработанных для применения в составе технологии, реализуемой промежуточными элементами интеллектуальной системы учета электрической энергии (ИСУЭ) и приборами учета электрической энергии.

Иными словами, теперь счетчики электрической энергии, сертифицированные ФСБ России, можно монтировать, налаживать и передавать без лицензии ФСБ России. Как, впрочем, и несертифицированные ФСБ России.

Кстати, беглый анализ выписки из перечня средств защиты информации, сертифицированных ФСБ России, размещенной на сайте службы на момент написания статьи, не помог выявить сертифицированные счетчики электрической энергии и средства криптографической защиты информации (СКЗИ) для ИСУЭ. Но нет сомнений, что через некоторое время они появятся.

Очевидно, что постановление разработано, чтобы уменьшить лицензионную нагрузку на поставщиков и интеграторов компонентов ИСУЭ. Напомню, что Правила предоставления доступа к минимальному набору функций интеллектуальных систем учета электрической энергии (мощности), утвержденные постановлением Правительства Российской Федерации от 19.06.2020 №890, предусматривают применение в ИСУЭ сертифицированных ФСБ России СКЗИ по решению субъекта электроэнергетики (например, ГЭС, ТЭЦ или котельной).

Пункт 2 Постановления Правительства Российской Федерации №1403 предусматривает, что ФСБ России самостоятельно учитывает изменения в законодательстве. Поэтому лицензиатам, например поставщикам и интеграторам криптографического ПО, не нужно подавать какие-либо заявления, за что, кстати, регулятору спасибо.

Появился еще один список объектов критической информационной инфраструктуры

Вслед за Минтрансом России (опубликован 19.05.2023) свой Перечень типовых отраслевых объектов критической информационной инфраструктуры 8.08.2023 опубликовало Минэнерго России.

Установить реквизиты этого документа у меня не получилось, документ удалось найти только на сайте Минэнерго России в необычном формате представления. Не могу сказать, что в очень удобном для использования.

Тем не менее такой перечень есть. Он предусмотрен подпунктом «ж» пункта 10 Правил категорирования объектов критической информационной инфраструктуры (КИИ), утвержденных постановлением Правительства Российской Федерации №127 в редакции от 2022 года. В соответствии с этим пунктом подобные перечни могут (!) формировать отраслевые регуляторы сфер деятельности субъектов КИИ: транспорт, энергетика, связь, здравоохранение и т. д. Затем такие списки регуляторы используют в качестве исходных данных при категорировании объектов КИИ.

Посмотрим на этот перечень внимательнее. В нем верхнеуровнево описаны:

  • типовые объекты КИИ в сфере энергетики;
  • виды деятельности в соответствии с ОКВЭД, для обеспечения которых используются эти объекты;
  • критические процессы, которые осуществляют объекты КИИ.

Такая же структура у подобного перечня Минтранса России, похоже, что она типовая.

По-моему, такой перечень может быть очень полезен субъектам КИИ в сфере энергетики при формировании перечня объектов КИИ, которые необходимо категорировать. И полагаю, что он согласован ФСТЭК России как госорганом, организующим процесс категорирования объектов КИИ в России.

Не могу претендовать на глубокую экспертность в сфере энергетики, но я не выявил очевидных для меня пробелов в перечне. В общем, если для вас актуально, то рекомендую. 

Дополнение к списку угроз безопасности персональных данных в сфере здравоохранения

Минздрав России Приказом от 03.07.2023 №340н утвердил угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах в сферах деятельности, которые регулирует Министерство здравоохранения Российской Федерации.

Угрозы описаны верхнеуровнево и, по-моему, не заменяют и не дополняют те, которые уже есть в Банке данных угроз безопасности информации ФСТЭК России. Это значит, что революционных изменений в порядке моделирования угроз безопасности персональных данных в ИСПДн в зоне ведения Минздрава России пока нет.

Полагаю, что основная цель разработки  данного документа — формальное выполнение нормы, которую предусматривает часть 5 статьи 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

Обновились требования к межсетевым экранам и СУБД

ФСТЭК России Приказом от 07.03.2023 №44 утвердил требования по безопасности информации к многофункциональным межсетевым экранам уровня сети (МФМЭ) и Приказом от 14.04.2023 №64 — требования по безопасности информации к системам управления базами данных (СУБД).

Пишем про это только сейчас потому, что из-за продолжительной процедуры регистрации актов ограниченного доступа (с пометкой «Для служебного пользования») в Минюсте России информация об их утверждении попала в публичный доступ только 19.07.2023.

На сайте ФСТЭК России размещены выписки из требований к МФМЭ и требований к СУБД в общедоступной части, которая не содержит государственной тайны и не касается специфики средств защиты информации (СЗИ). Также там есть информационные сообщения с базовой информацией об этих документах (МФМЭ; СУБД).

По традиции ФСТЭК России провела большую аналитическую и организационную работу, чтобы разработать качественный продукт с учетом требований и пожеланий как пользователей, так и разработчиков СЗИ. Очевидно, что перед ФСТЭК стоит нетривиальная задача: составить требования к СЗИ в системе информационной безопасности (ИБ) так, чтобы функционалом средства остался доволен его потребитель и при этом производитель смог эти требования выполнить. Поэтому к разработке новых требований привлекались как эксперты по комплексной ИБ, так и эксперты в конкретных классах СЗИ — их разработчики. Это стандартный подход ФСТЭК России, и он оправдан.

Требования к МФМЭ в основном предназначены для отечественных вендоров межсетевых экранов и гораздо более строгие, чем опубликованные в 2016 году. Очевидно, что Служба стремится привести отечественные межсетевые экраны к уровню функциональности решений от международных лидеров рынка. При этом новые требования достаточно универсальны: их можно применять к межсетевым экранам как уровня производительности «хоум-офис», так и уровня оператора связи.

Помимо традиционных требований к функциям собственной безопасности, фильтрации сетевого трафика и уровню доверия к СЗИ, новый документ предъявляет требования к функционалу встроенных модулей IDS/IPS, Stream Antivirus, их аппаратной платформе, централизованному и удаленному управлению.

Что же, служба в части своей компетенции создала условия отечественным вендорам, следующий шаг за ними. И за рынком. Вместе со всем сообществом надеюсь, что вендоры преодолеют детские болезни своих продуктов и выведут их на уровень, приближенный к мировым лидерам. Ну или хотя бы один отечественный вендор. Любой. Ну, пожалуйста…

Основная аудитория требований к СУБД — отечественные разработчики СУБД и операционных систем, в комплекте с которыми традиционно эти системы поставляются. Требования допускают выполнение ряда функций безопасности в связке с операционной системой, что логично. При этом в явном виде предусматривают, что СУБД должна функционировать в среде, сертифицированной ФСТЭК России по соответствующему классу, что тоже логично.

Отмечу, что СУБД давно сертифицируются по линии ФСТЭК России в соответствии с запросом отечественного комьюнити. Поэтому утверждение службой соответствующих требований — вполне логичный шаг навстречу отечественному рынку ИБ.

Итак, во второй половине лета новой нормативкой по ИБ отметились Правительство Российской Федерации, ФСТЭК России, Минэнерго России и Минздрав России. Думаю, что после летних отпусков регуляторы, полные сил и энергии, выдадут на-гора новые акты. Скорее всего, примеру Минтранса России и Минэнерго России последуют и другие отраслевые регуляторы КИИ, выдав свои перечни отраслевых объектов КИИ. И, конечно, ждем от ФСТЭК России развития нормативки в области технической защиты информации и обеспечения безопасности КИИ.

Комментарии0
Тоже интересно
Комментировать
Поделиться
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники