599
0
0
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники
Назад

Новости нормативки по ИБ. Сентябрь — октябрь 2023 года

Время чтения 1 минута
Нет времени читать?
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники
599
0
0
Нет времени читать?
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники

Уважаемые читатели, с вами снова Алексей Кубарев, CISO в одном из cloud-провайдеров.

Как я прогнозировал в начале сентября, регуляторы в области информационной безопасности снова активизировались и выдали значительное количество проектов нормативных актов. Большая часть из них представляет интерес для комьюнити, но в рамках этого цикла статей я не буду их рассматривать, чтобы не вводить уважаемого читателя в заблуждение. Скорее всего, к моменту утверждения они претерпят разной степени изменения. Среди наиболее продуктивных авторов — ФСТЭК России. С текстами проектов вы можете ознакомиться на сайте ФСТЭК и на портале проектов НПА.

Новости нормативки по ИБ. Сентябрь — октябрь 2023 года

ФСТЭК России оперативно устраняет пробелы в законодательстве о безопасности критической информационной инфраструктуры

Приказ ФСТЭК России от 01.09.2024 №177 вносит изменения в Порядок ведения реестра значимых объектов критической информационной инфраструктуры (КИИ).

Этими изменениями закрывается появившийся в связи с изданием Федерального закона от 10.07.2023 №312-ФЗ пробел в формировании регистрационного номера значимых объектов, относящихся к сфере госрегистрации прав на недвижимое имущество и сделок с ним.

Кроме того, установлен срок представления в ФСТЭК России новых сведений об уже зарегистрированных объектах КИИ — 20 рабочих дней с момента изменения данных.

Также приказ предусматривает случаи объединения нескольких значимых объектов КИИ и разделения одного объекта на несколько. Документ определяет порядок действий с высвободившимися регистрационными номерами реестра и порядок присвоения таких номеров другим объектам.

Ну что я могу сказать: ФСТЭК России, как всегда, оперативно реагирует на изменения обстановки, ликвидируя имеющиеся пробелы в нормативке, за что им большое спасибо!

ФСТЭК России пересмотрел административные регламенты по контролю за соблюдением лицензионных требований

Приказ ФСТЭК России от 01.06.2023 №106 признает утратившими силу административные регламенты по контролю за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации, а также по разработке и производству средств защиты конфиденциальной информации.

Взамен этих административных регламентов приказами ФСТЭК России от 01.06.2023 №108 и 109 утверждены сроки и последовательности административных процедур при осуществлении ФСТЭК России лицензионного контроля за деятельностью по технической защите конфиденциальной информации, а также по разработке и производству средств защиты конфиденциальной информации.

Внимательный читатель заметит, что соответствующие приказы утверждены еще летом. Я пишу про них только сейчас потому, что они были официально опубликованы после регистрации в Минюсте России, которая состоялась 06.09.2023.

Эти документы применяются до 31.12.2024, к тому сроку, очевидно, будут изданы какие-то другие взамен их.

Приказами предусмотрены плановые, внеплановые, документарные и выездные проверки сроком не более 20 рабочих дней не менее чем двумя должностными лицами.

К важным изменениям относится то, что в Сроках и последовательностях нет зафиксированных в административных регламентах прав и обязанностей должностных лиц при осуществлении лицензионного контроля. Нет также порядков исполнения государственной функции, досудебного обжалования решений, принятых ФСТЭК России и его должностными лицами при осуществлении контроля.

Административные регламенты заменили сроками и последовательностями из-за Федерального закона от 04.11.2022 №427-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». 

Смыслом этого закона, судя по пояснительной записке, подготовленной на этапе его проектирования, является извлечение из правового поля некоторых государственных услуг, для которых ранее действовали принципы открытости госорганов. В том числе, например, это касается контроля за соблюдением лицензионных требований при осуществлении деятельности, связанной с государственной безопасностью.

Я считаю, что это правильное решение. 

Вступил в силу профстандарт для специалистов по ИБ в кредитно-финансовой сфере

С 01.09.2023 вступил в силу профессиональный стандарт «Специалист по ИБ в кредитно-финансовой сфере», утвержденный приказом Минтруда России от 28.11.2022 №739н.

Этот профстандарт имеет типовую структуру: общие сведения, описание трудовых функций и характеристика обобщенных трудовых функций.

В отличие от других профстандартов для специалистов по ИБ спецы в кредитно-финансовой сфере у нас универсалы. К их трудовым функциям относятся и обеспечение функционирования СЗИ, и управление инцидентами ИБ, и управление рисками ИБ, и методологическое обеспечение процессов ИБ, и контроль обеспечения ИБ и обеспечение операционной надежности, и организация процессов обеспечения ИБ.

Банку России (разработчик этого профстандарта), конечно, виднее, но в моей картине мира эти функции исполняет директор по ИБ, инженеры ИБ, методологи ИБ, инженеры дежурной смены по ИБ и архитекторы ИБ. В общем, спец по ИБ в кредитно-финансовой сфере — «и швец, и жнец, и на дуде игрец».

Это доказывает высокие стандарты в области ИБ, установленные в кредитно-финансовой сфере регуляторами и Банком России в частности.

Сам стандарт очень удобно использовать для формирования должностных обязанностей специалистов по ИБ разных направлений, в том числе перечисленных мной двумя абзацами выше.

Банк России дал методику по работе кредитно-финансовых организаций с МВД и ФСБ России при проведении компьютерных атак на эти организации

Банк России утвердил Методические рекомендации от 26.10.2023 №15-МР по взаимодействию кредитных организаций с МВД России и ФСБ России в целях принятия процессуальных решений при проведении компьютерных атак в отношении объектов КИИ.

Эти методические рекомендации согласованы с Генпрокуратурой, МВД и ФСБ России. Они описывают действия кредитных организаций при выявлении компьютерных инцидентов, инцидентов ИБ на объектах КИИ и взаимодействии с МВД России и ФСБ России в целях принятия процессуальных решений уполномоченными органами.

Порядок этих действий в общих чертах такой:

  1. при выявлении инцидента ИБ кредитная организация направляет уведомление по форме и в порядке Банка России и одновременно по форме и в порядке НКЦКИ. Если инцидент привел к утечке персональных данных, НКЦКИ надо дополнительно уведомить по еще одной форме в еще одном порядке;
  2. кредитной организации рекомендуется сохранить следы компрометации. Например, образы оперативки, скомпрометированных жестких дисков, информацию о сетевой активности во время и до атаки;
  3. эти следы следует проанализировать в порядке, приведенном в стандарте Банка России СТО БР ИББС-1.3-2016 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств»;
  4. если инцидент ИБ привел к каким-то потерям, масштаб трагедии определяется в соответствии с пунктами 7.6, 3.11 Положения Банка России №716-П, пунктом 4 приложения №5 к этому Положению;
  5. далее пострадавшая организация обращается в уполномоченные органы (ФСБ и МВД России) в целях уголовно-правовой оценки деятельности нарушителя;
  6. при подаче заявления в МВД России, помимо описания событий, связанных с несанкционированным переводом денежных средств со счетов организации, рекомендуется указать факт незаконного воздействия на КИИ и изменения компьютерной информации (что карается в соответствии с УК РФ);
  7. обращение об инциденте ИБ в МВД и ФСБ России рекомендуется подавать очно (приоритетный способ для МВД России) либо с использованием соответствующего электронного сервиса (для МВД России — в исключительном случае).

Как видим, у Банка России имеется инструкция для кредитно-финансовых организаций на любой случай жизни, что, с моей точки зрения, похвально. Вот бы все отраслевые регуляторы последовали этому хорошему примеру…

Заключение

Итак, в этом спринте отличились ФСТЭК России и Банк России, за что им большое спасибо!

Некоторые меня критикуют за то, что я не критикую регуляторов по ИБ, как это принято в нашем комьюнити: «А ты не на зарплате у них?» Уверяю, дорогой читатель, что нет =) На это у меня есть четыре ответа: 

  • во-первых, я оптимист;
  • во-вторых, вижу в каждом нормативном акте не проблему, а возможность для реализации собственных целей;
  • в-третьих, регуляторы действительно проводят колоссальную работу в своей зоне ответственности, причем проводят ее качественно;
  • и, в-четвертых, посмотрите блок «Обо мне», и вам многое станет яснее.

Я и дальше буду искать и находить плюсы в плодах работы наших регуляторов по ИБ — слава богу, их достаточно! Чего и вам желаю: искать и находить, а также достаточного количества плодов и плюсов.

Судя по количеству проектов НПА, которые я упомянул в начале статьи, скоро увидимся снова.

Комментарии0
Тоже интересно
Комментировать
Поделиться
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники