Zavedenskaya_Permyakova 9/18/20 1:23 PM Page 4
ПРАВО И НОРМАТИВЫ
Обзор изменений законодательства в июле и августе 2020 года Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности
Июль-2020
В
обзоре изменений российского законодательства по информационной безопасности за июль 2020 г. рассмотрим, как регуляторы приводят законодательные нормы к действующей системе сертификации ФСТЭК России, поговорим об ИБ в сфере связи и в финансовом секторе, защите персональных данных.
СрЗИ по требованиям к уровням доверия приведено в таблице.
Требования доверия в ИСПДн
Информационная безопасность сетей связи
10 июля 2020 г. официально опубликован приказ ФСТЭК России от 14.05.2020 г. № 68 "О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21"1. Согласно этому приказу с 1 января 2021 г. при использовании в информационных системах персональных данных (ИСПДн), сертифицированных по требованиям безопасности информации средств защиты информации (СрЗИ), такие СрЗИ должны быть сертифицированы по требованиям к уровням доверия. Требования безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131. Соответствие между уровнями защищенности ИСПДн и сертификацией
Минкомсвязь России 13 июля 2020 г. опубликовала проект приказа Минкомсвязи России "Об утверждении Требований к эксплуатации и управлению сетями связи, включая обеспечение устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи"2. Требования проекта приказа Минкомсвязи России направлены на регулирование деятельности операторов связи при эксплуатации и управлении сетями электросвязи, составляющими единую сеть электросвязи РФ, входящими в сеть связи общего пользования (ССОП), за исключением сетей связи специального назначения, выделенных и технологических сетей связи, если они не присоединены к ССОП, а также сетей связи для распространения программ телевизионного вещания и радиовещания. При этом в проект приказа Минкомсвязи России также включены требования к подсистеме безопасности сетей связи, которая, в частности, должна включать: l архитектуру построения и принципы взаимодействия подсистем безопасности, используемых в сети связи;
СрЗИ, соответствующие уровню доверия СрЗИ, соответствующие
Уровень защищенности персональных данных
уровню доверия
в ИСПДн
6-й уровень доверия
ИСПДн при 3-м и 4-м уровне защищенности
5-й уровень доверия
ИСПДн при 2-м уровне защищенности персональных
4-й уровень доверия
ИСПДн при 1-м уровне защищенности персональных
персональных данных данных данных 1 2
http://publication.pravo.gov.ru/Document/View/0001202007100002 https://regulation.gov.ru/projects#npa=105879
4 •
l перечень защищаемых компонентов; l описание возможных нарушений целостности, устойчивости функционирования и безопасности сети связи; l частную модель угроз и модель нарушителя; l описание подсистемы безопасности, включая комплекс мер по защите информации и систему антивирусной защиты программных средств, описание целевых функций, механизмов и используемых средств защиты; l правила разграничения доступа; l порядок действий в нештатной ситуации. При создании подсистемы безопасности сети связи должны использовать СрЗИ, имеющие сертификат ФСТЭК России, и средства криптографической защиты информации, имеющие подтверждение соответствия требованиям, утвержденным ФСБ России. Также при эксплуатации сетей связи, взаимодействующих со значимыми объектами КИИ, должны применяться СрЗИ, имеющие сертификат ФСТЭК России. Проект приказа Минкомсвязи имеет отсылки к приказам ФСТЭК России по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ), которые операторам связи необходимо выполнять, а именно: l при включении в состав подсистемы безопасности сети связи значимых объектов КИИ; l при эксплуатации сетей связи, взаимодействующих со значимыми объектами КИИ; l при наличии принадлежащих оператору связи значимых объектов КИИ. В проекте приказа Минкомсвязи в том числе установлены требования к структурным подразделениям и должностным лицам оператора связи, занимающимся обеспечением информационной безопасности сети. По проекту приказа Мин-
