12 minute read
ПРАВО И НОРМАТИВЫ
from infosecurity032020
by baranovmir2
Advertisement
Май-2020 В
В информационном письме от 14.05.2020 г. № ИН-014-56/88 "О неприменении мер в связи с коронавирусной инфекцией (COVID-19)" 1 Банк России сообщает о неприменении до 01.07.2021 г. мер в случае нарушения кредитными организациями п. 4 положения Банка России от 17.04.2019 г. № 683-П и некредитными финансовыми организациями положения Банка России от 17.04.2019 г. № 684-П.
Таким образом, временные регуляторные послабления до 1 июля 2021 г. в отношении нарушений требований нормативных актов Банка России получили: 1. Кредитные организации. В части требования по использованию сертифицированного прикладного программного обеспечения или того, для которого проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже, чем ОУД 4. Требование вступило в силу с 1 января 2020 г. 2. Некредитные финансовые организации. В части исполнения требований положения Банка России от 17.04.2019 г. № 684-П. Требования вступили в силу с 1 января 2020 г.
Следует отметить, что отсрочка по применению мер за нарушение требований положений Банка России не отменяет самой необходимости исполнения требований в корректные сроки. Применение в ГИС средств защиты информации, соответствующих уровням доверия 13 мая 2020 г. был официально опубликован приказ ФСТЭК России от 27.04.2020 г. № 61 "О внесении изменения в приказ ФСТЭК России от 28 мая 2019 г. № 106 "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17" 2 . Приказ вступил в силу 24 мая 2020 г.
Этот приказ предусматривает сдвиг срока вступления в силу требования по применению в государственных информационных системах сертифицированных средств защиты информации, соответствующих уровням доверия, до 1 января 2021 г. Требования безопасности информации, устанавливающие уровни доверия
https://cbr.ru/StaticHtml/File/59420/20200514_in_014_56-88.pdf http://publication.pravo.gov.ru/Document/View/0001202005130016 https://regulation.gov.ru/projects#npa=102172 к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131. Импортозамещение в критической информационной инфраструктуре 21 мая 2020 г. был опубликован проект указа Президента Российской Федерации "О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры" 3 .
Проектом указа предусматривается наделение Правительства Российской Федерации полномочиями по утверждению требований к ПО и оборудованию, используемому на объектах критической информационной инфраструктуры, а также порядок перехода на преимущественное использование российского оборудования и ПО. При этом, по проекту указа, требования к импортозамещению на объектах КИИ будут утверждены к 1 сентября 2020 г., осуществить переход на российское ПО будет необходимо до 1 января 2021 г., а на российское оборудование – до 1 января 2022 г.
К проекту указа прилагается проект постановления Правительства Российской Федерации, согласно которому надзорным органом по контролю использования субъектами КИИ российского ПО будет Минкомсвязь России, а по контролю использования российского оборудования – Минпромторг России. В случае если переход на российское обеспечение все-таки невозможен, то необходимо согласовать перечень используемого (или планируемого к использованию) иностранного ПО с Минкомсвязью России, а иностранного оборудования – с Минпромторгом России. Процедуру такого согласования должны будут регламентировать совместно и Минкомсвязь России, и Минпромторг России, и ФСБ России, и ФСТЭК России. Пока неизвестно, в какие сроки будет подготовлено описание порядка согласования. Никаких временных рамок проект указа не устанавливает, а проекты нормативных актов от регуляторов еще не были представлены.
В конечном итоге субъектам КИИ будет необходимо сформировать план перехода на преимущественное использование российского ПО и/или оборудования и в течение 30 рабочих дней с момента утверждения направить копию этого плана в Минкомсвязь России и Минпромторг России.
При этом экспертным сообществом отмечается: 1. Невозможность исполнения предлагаемых сроков выполнения требований, которые будут утверждены к 1 сентября 2020 г. (между тем часть из этих требований надо будет выполнить за лето 2020 г.). К тому же достаточно большое количество субъектов КИИ – это государственные организации со строго нормированным бюджетированием и процедурами закупок.
2. Проекты нормативных актов, скорее всего, направлены на первоначальное планирование перехода на отечественное ПО и оборудование к 1 января 2021 г., с дальнейшим непосредственным переходом в более поздние регламентированные сроки. 3. Проекты нормативных актов предусматривают распространение требований по импортозамещению на все объекты КИИ. То есть необходимо будет использовать российское ПО и оборудование не только в значимых объектах КИИ, но и на всех объектах КИИ, принадлежащих субъектам КИИ.
Новый КоАП РФ 29 мая 2020 г. для общественного обсуждения был представлен проект нового Кодекса Российской Федерации об административных правонарушениях 4 . Проект КоАП РФ содержит в том числе и изменения в статьи касательно административных правонарушений в области информационной безопасности.
Рассмотрим некоторые из основных изменений, предлагаемых проектом КоАП РФ: 1. Ч. 3 ст. 12.1. Отказ в заключении, изменении, расторжении и/или исполнении договора с потребителем в связи с отказом потребителя предоставить персональные данные, за исключением случаев, когда обязанность предоставления таких данных предусмотрена законодательством и связана с непосредственным исполнением договора с потребителем, влечет наложение штрафов в размере до 500 тыс. руб. 2. Ст. 30.34. Нарушение требований законодательства в сфере деятельности некредитных финансовых организаций в части защиты информации влечет предупреждение или наложение штрафов до 500 тыс. руб.
3. Ст. 30.35. Нарушение оператором платежной системы и оператором услуг платежной инфраструктуры требований законодательства о национальной платежной системе в части защиты информации влечет предупреждение или наложение штрафа на должностных лиц до 100 тыс. руб. Административный штраф за повторные нарушения может доходить до 1 млн руб. 4. Ч. 6 ст. 33.1. Невыполнение обязанности по соблюдению конфиденциальности ПДн влечет наложение штрафа в размере до 500 тыс. руб. Экспертным сообществом отмечается, что введение именно такого административного правонарушения позволит наконец привлекать операторов ПДн к ответственности за утечки ПДн.
В табл. ниже приведен перечень административных штрафов по предлагаемым к включению в КоАП РФ ст. 39.24 и 39.25 о нарушении требований в области обеспечения безопасности КИИ Российской Федерации, которые уже давно активно обсуждаются в рамках других проектов изменений законодательства.
Вслед за административной ответственностью за нарушения в области обеспечения безопасности КИИ Российской Федерации внесены проекты изменений в Уголовный кодекс РФ, связанные с неправомерным воздействием на КИИ. 19 мая 2020 г. Минэкономразвития России опубликовало проект федерального закона "О внесении изменений в статью 274.1 Уголовного кодекса Российской Федерации" 5 .
Согласно пояснительной записке к проекту ФЗ изменения обусловлены особенностями использованного понятийного аппарата, применение которого в силу неоднозначной и субъективной
Лицо
Должностное лицо
Юридическое лицо
Административный штраф
От 10 тыс. руб. до 50 тыс. руб.
От 10 тыс. руб. до 50 тыс. руб.
От 20 тыс. руб. до 50 тыс. руб.
От 50 тыс. руб. до 100 тыс. руб.
От 150 тыс. руб. до 200 тыс. руб.
От 100 тыс. руб. до 500 тыс. руб.
За что?
Нарушение требований по обеспечению безопасности значимых объектов КИИ, за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействия) не содержат уголовно наказуемого деяния Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ Непредоставление или нарушение сроков предоставления во ФСТЭК России сведений о результатах категорирования объекта КИИ Непредоставление или нарушение порядка либо сроков предоставления информации в ГосСОПКА Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, если такие действия (бездействия) не содержат уголовно наказуемого деяния
Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты
Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, если такие действия (бездействия) не содержат уголовно наказуемого деяния Нарушение требований по обеспечению безопасности значимых объектов КИИ, за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействия) не содержат уголовно наказуемого деяния Непредоставление или нарушение сроков предоставления во ФСТЭК России сведений о результатах категорирования объекта КИИ
Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ
Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты Непредоставление или нарушение порядка либо сроков предоставления информации в ГосСОПКА
Индивидуальный предприниматель От 30 тыс. руб. до 70 тыс. руб. Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, если такие действия (бездействия) не содержат уголовно наказуемого деяния Нарушение требований по обеспечению безопасности значимых объектов КИИ, за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействия) не содержат уголовно наказуемого деяния Непредоставление или нарушение сроков предоставления во ФСТЭК России сведений о результатах категорирования объекта КИИ
От 50 тыс. руб. до 100 тыс. руб. Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты Непредоставление или нарушение порядка либо сроков предоставления информации в ГосСОПКА
трактовки может сформировать спорную правоприменительную практику на всех стадиях уголовного судопроизводства. Ввиду этого авторами проекта ФЗ предложено дополнить перечень способов неправомерного воздействия на КИИ, приведенный в части первой ст. 274.1, предоставлением доступа к информации, содержащейся в КИИ, а также завершить данный перечень словами "а равно для иных неправомерных действий в отношении указанной информации". Данная поправка должна привести перечень способов неправомерного воздей14
ствия на КИИ в соответствие с основными задачами системы безопасности значимого объекта КИИ. Проектом ФЗ предлагается отказаться от термина "причинение вреда", который также неоднозначен и субъективен. "Причинение вреда" предлагается заменить на "причинение крупного ущерба". Понятие "причинение крупного ущерба" точно и однозначно трактуется и широко используется в УК РФ как связанное с причинением материально-вредных последствий и, как правило, раскрывается непосредственно в тексте соответствующей статьи или главы УК РФ. Согласно п. 2 примечания к ст. 272 УК РФ – "Неправомерный доступ к компьютерной информации" –крупным ущербом в статьях главы 28 "Преступления в сфере компьютерной информации" УК РФ признается ущерб, сумма которого превышает 1 млн руб.
Таким образом, предлагаемые изменения, по мнению авторов проекта ФЗ, позволят четко определить размер имущественного вреда, причинение которого станет основанием для наступления уголовной ответственности по частям 2 и 3 ст. 274.1 УК РФ.
Июнь-2020 В
июне были опубликованы требования к установке и эксплуатации средств ГосСОПКА в сетях связи, используемых для взаимодействия объектов КИИ. В этом обзоре мы также ознакомимся с классификацией средств обеспечения ИБ и новым положением Банка России о системе управления операционным риском в кредитных организациях.
Средства ГосСОПКА 25 июня 2020 г. был официально опубликован приказ Минкомсвязи России от 17.03.2020 г. № 114 "Об утверждении Порядка и Технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации" 6 , который вступает в силу 6 июля 2020 г.
Приказ Минкомсвязи России № 114 направлен на урегулирование отношений между операторами связи, ФСБ России и Минкомсвязи России, в контексте установки и эксплуатации средств поиска признаков компьютерных атак. Речь идет о средствах ГосСОПКА, а именно о технических, программных, программноаппаратных и иных средствах поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры (далее – средства ППКА). Требования к средствам ППКА установлены приказом ФСБ России от 06.05.2019 г. № 196. 7
Согласно этому приказу необходимость и места установки средств ППКА определяются ФСБ России, в том числе выбор и привлечение сторонних организаций для таких работ (при необходимости). О всех работах ФСБ России уведомляет оператора связи согласно установленным процедурам.
Эксплуатация средств ППКА осуществляется ФСБ России, а оператор связи обеспечивает непрерывность функционирования в круглосуточном режиме и сохранность средств ППКА. Техническое обслуживание установленных средств поиска атак также проводится ответственными лицами ФСБ России или организацией, которая была привлечена к работам.
Минкомсвязью России 22 июня 2020 г. был опубликован проект приказа "Об утверждении классификатора программ для электронных вычислительных машин и баз данных" 8 .
Этот проект приказа должен заменить предыдущий классификатор программ для электронных вычислительных машин и баз данных, утвержденный еще в 2015 г. По проекту приказа Минкомсвязи к средствам обеспечения информационной безопасности будут относиться следующие классы средств: l средства защиты от несанкционированного доступа; l системы управления событиями информационной безопасности; l межсетевые экраны; l средства фильтрации негативного контента; l системы защиты сервисов онлайнплатежей и дистанционного банковского обслуживания; l средства антивирусной защиты; l средства выявления целевых атак; l средства гарантированного уничтожения данных; l системы предотвращения утечек информации; l средства криптографической защиты информации и электронной подписи; l системы управления доступом к информационным ресурсам; l системы резервного копирования.
Управление рисками в кредитных организациях
Банк России опубликовал положение от 08.04.2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" 9 (далее – положение № 716-П).
Положение № 716-П устанавливает требования к системе управления операционным риском в кредитной организации и банковской группе. К операционным рискам в том числе относятся: 1. Риск информационной безопасности – это риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения ИБ, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности кредитной организации. 2. Риск информационных систем –это риск отказов и/или нарушения функ
http://publication.pravo.gov.ru/Document/View/0001202006250021 http://publication.pravo.gov.ru/Document/View/0001201905310017 https://regulation.gov.ru/projects#npa=103165 http://www.cbr.ru/Queries/UniDbQuery/File/90134/1063
ционирования применяемых кредитной организацией информационных систем и/или несоответствия их функциональных возможностей и характеристик потребностям кредитной организации.
При этом к рискам ИБ относятся: 1. Киберриск – это риск преднамеренных действий со стороны работников кредитной организации и/или третьих лиц с использованием программных и/или программно-аппаратных средств, направленных на объекты информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в целях нарушения и/или прекращения их функционирования, создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа. 2. Другие виды риска ИБ, связанные с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры.
Положение № 716-П вступает в силу с 1 октября 2020 г., а систему управления операционным риском необходимо привести в соответствие с его требованиями в срок до 1 января 2022 г. В случае если система управления операционным риском будет приведена в соответствие ранее 1 января 2022 г., кредитные организации вправе проинформировать об этом Банк России в целях организации Банком России оценки соответствия системы управления операционным риском требованиям положения № 716-П. l
Ваше мнение и вопросы присылайте по адресу is@groteck.ru