Журнал "Information Security/ Информационная безопасность" #2, 2022

вительства Российской Федерации от 10.03.2022 г. № 336 "Об особенностях организации и осуществления государст- венного контроля (надзора), муници- пального контроля", проверки ФСТЭК России по вопросам лицензионного конт- роля с 10 марта 2022 г. отменены. Единые требования о защите информации в ГИС Законопроект о внесении изменения в ст. 16 Федерального закона от 27.07.2006 г. №149-ФЗ "Об информации, информационных технологиях и о защи- те информации" 5 представлен на рас- смотрение Государственной Думы 10 марта 2022 г. Поправки предлагается внести в ч. 5 ст. 16 Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информа- ции, информационных технологиях и о защите информации" (далее – закон № 149-ФЗ). Изменения касаются защиты информации в государственных инфор- мационных системах (ГИС). Обществен- ное обсуждение данного законопроекта уже проводилось в августе 2021 г. 6 Как отмечается в пояснительной записке к проекту, государственные органы поручают обработку информа- ции, обладателями которой они являют- ся, на основании договоров или иных законных основаниях подведомственным организациям, коммерческим организа- циям, информационные системы кото- рых не относятся к государственным. Предлагаемые законопроектом изме- нения устанавливают обязанность обла- дателей и операторов по соблюдению требований о защите информации, обла- дателями которой являются Российская Федерация, субъект Российской Феде- рации, муниципальное образование, вне зависимости от места ее хранения или обработки, а также по соблюдению тре- бований к организации и управлению системой защиты информации. Регулятором в пакете документов для внесения законопроекта указано, что изменения в закон № 149-ФЗ предпо- лагают дальнейшую разработку следую- щих нормативных правовых актов (далее – НПА): l проект приказа ФСТЭК России "О вне- сении изменений в Требования о защите информации, не составляющей госу- дарственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 г. № 17"; l проект приказа ФСБ России, предусмат- ривающий установление требований о защите информации, обладателями кото- рой являются Российская Федерация, субъ- ект Российской Федерации, муниципальное образование, с использованием средств криптографической защиты информации. Рекомендации по противодействию компьютерным атакам Приказ Минцифры России от 10.03.2022 г. № 186 "Об утверждении Методических рекомендаций по обес- печению необходимого уровня безопас- ности в сфере информационно-комму- никационных технологий государствен- ных корпораций, компаний с государст- венным участием, а также их дочерних организаций и зависимых обществ" 7 (далее – приказ Минцифры № 186) офи- циально опубликован 17 марта 2022 г. Приказ Минцифры№ 186 рекомендует государственным корпорациям, компа- ниям с государственным участием, а также их дочерним организациям и зависимым обществам реализовать перечень мероприятий в целях противо- действия компьютерным атакам. В перечень мероприятий, в частности, включено: 1. Обеспечение на постоянной основе реализации организационно-технических мер, предусмотренных НПА, а также методическими рекомендациями, пись- мами и иными документами ФСБ России и ФСТЭК России. 2. Возложение на лиц из числа заме- стителей руководителя полномочий по обеспечению информационной безопас- ности, а также обнаружению, предупреж- дению и ликвидации последствий ком- пьютерных атак и реагированию на ком- пьютерные инциденты в организации. 3. Принятие решения о необходимости заключения договоров на оказание услуг с экспертными организациями 8 , имею- щими соглашение с ФСБ России или НКЦКИ 9 (то есть необходимо рассмот- реть возможность привлечения внешних центров мониторинга – SOC). 4. Организация взаимодействия с опе- раторами связи, а также экспертными организациями для обеспечения защиты от распределенных компьютерных атак типа "отказ в обслуживании" на сетевом и прикладном уровнях. По результатам реализации рекомен- даций приказа Минцифры№ 186 необхо- димо организовать еженедельное направление не позднее предпоследнего рабочего дня календарной недели в Мин- цифры России, ФСБ России и ФСТЭК России отчетов о выполнении. Необхо- димо также участие ответственных по информационной безопасности в соот- ветствующих совещаниях, проводимых Минцифры России. ФСТЭК России опубликовала инфор- мационное сообщение от 24.03.2022 г. № 240/22/1549 "О мерах по повышению защищенности информационной инфра- структуры" 10 . В информационном сообщении при- ведены меры по повышению уровня защищенности от компьютерных атак информационных инфраструктур орга- низаций, используемых для разработки, поставки, распространения и техниче- ской поддержки программного обес- печения и оборудования автоматизиро- ванных систем управления производ- ственными и технологическими процес- сами, в том числе применяемых на КИИ Российской Федерации. НКЦКИ в марте 2022 г. выпустил сле- дующие бюллетени: l "О мерах повышения уровня защищен- ности информационных ресурсов Рос- сийской Федерации от целенаправленных компьютерных атак" 11 с перечнем общих рекомендаций по противодействию угро- зам безопасности информации; l "Обобщенные рекомендации по мини- мизации возможных угроз информа- ционной безопасности информационным ресурсам Российской Федерации" 12 , адресованные широкому кругу россий- ских компаний. • 5 ПРАВО И НОРМАТИВЫ www.itsec.ru 5 Законопроект о внесении изменения в ст. 16 Федерального закона от 27.07.2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации" https://sozd.duma.gov.ru/bill/84826-8 6 См. Заведенская А.А. Обзор изменений в законодательстве. Август-2021 // Information Security/ Информационная безопас- ность. 2021. № 4. С. 6–7. 7 Приказ Минцифры России от 10.03.2022 г. № 186 “Об утверждении Методических рекомендаций по обеспечению необходимого уровня безопасности в сфере информационно-коммуникационных технологий государственных корпораций, компаний с государст- венным участием, а также их дочерних организаций и зависимых обществ" https://digital.gov.ru/ru/documents/8173/ 8 Юридические лица или индивидуальные предприниматели, оказывающие услуги по противодействию компьютерным атакам и компьютерным инцидентам. 9 Национальный координационный центр по компьютерным инцидентам. 10 Информационное сообщение от 24.03.2022 г. № 240/22/1549 “О мерах по повышению защищенности информационной инфра- структуры" https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2362-informatsionnoe-soobshchenie-fst ek- rossii-ot-24-marta-2022-g-n-240-22-1549 11 Бюллетени: “О мерах повышения уровня защищенности информационных ресурсов Российской Федерации от целенаправленных компьютерных атак" https://safe-surf.ru/upload/ALRT/ALRT-20220302.1.pdf 12 Обобщенные рекомендации по минимизации возможных угроз информационной безопасности информационным ресурсам Рос- сийской Федерации https://safe-surf.ru/upload/ALRT/ALRT-20220329.1.pdf