Журнал "Information Security/ Информационная безопасность" #2, 2023

8 • ПРАВО И НОРМАТИВЫ Апрель-2023 обзоре изменений законодательства в апреле 2023 г. рассмотрим требования по защи- те информации при осуществлении дистанционного управления в электроэнергетике, изменения в нормативной базе по госконтролю лицензиатов со стороны ФСТЭК Рос- сии, госконтролю за обработкой персональных данных и госконтролю в сфере иденти- фикации и (или) аутентификации, а также предложения по изменениям в части обра- щения с документами для служебного пользования. В Дистанционное управление в электроэнергетике Проект приказа Минэнерго России "Об утверждении требований по обес- печению безопасности значимых объ- ектов критической информационной инфраструктуры при организации и осу- ществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объ- ектов электроэнергетики из диспетчер- ских центров субъекта оперативно-дис- петчерского управления в электроэнер- гетике" 9 опубликован для общественного обсуждения 28 апреля 2023 г. Требования устанавливают дополни- тельные требования по обеспечению информационной безопасности значи- мых объектов критической информа- ционной инфраструктуры субъекта опе- ративно-диспетчерского управления в электроэнергетике, собственников и иных законных владельцев объектов по производству электрической энергии и (или) объектов электросетевого хозяй- ства при осуществлении дистанционного управления (ДУ) из диспетчерских цент- ров субъекта оперативно-диспетчерского управления в электроэнергетике. Тре- бования распространяются на субъект оперативно-диспетчерского управления, субъекты электроэнергетики, сетевые организации, организации, осуществ- ляющие разработку технических реше- ний. Напомним, что до 31 декабря 2023 г. включительно субъектами оперативно- диспетчерского управления в электро- энергетике являются: l системный оператор; l иные субъекты оперативно-диспет- черского управления в электроэнерге- тике -- организации, осуществляющие оперативно-диспетчерское управление в электроэнергетике в пределах техно- логически изолированных территори- альных электроэнергетических систем. Начиная с 1 января 2024 г. субъектом оперативно-диспетчерского управления в электроэнергетике является системный оператор. Следует обратить внимание, что "уда- ленный доступ" и "дистанционное управ- ление" не являются равнозначными понятиями. Согласно проекту приказа Минэнерго России термины и опреде- ления используются в значениях, уста- новленных ГОСТом для Единой энерге- тической системы и изолированно рабо- тающих энергосистем по оперативно- диспетчерскому управлению. Проект приказа Минэнерго России определяет: l требования к защите трафика команд ДУ между диспетчерским центром и объектами электроэнергетики, включая использование средств криптографиче- ской защиты информации, прошедших процедуру оценки соответствия; l требования поддержки безопасности программного обеспечения в отношении программного обеспечения, используе- мого для реализации ДУ; l требования приоритетности исполь- зования средств защиты информации, встроенных в программное обеспечение и (или) программно-аппаратные сред- ства, при их наличии. Контроль за деятельностью лицензиатов со стороны ФСТЭК России Проект приказа ФСТЭК России "Об утверждении сроков и последователь- ности административных процедур при осуществлении Федеральной службой по техническому и экспортному контро- лю лицензионного контроля за деятель- ностью по технической защите конфи- денциальной информации" 10 был пред- ставлен на общественное обсуждение 5 апреля 2023 г. Общественное обсуж- дение проекта завершилось 25 апреля, по итогам обсуждения опубликована версия, доработанная в соответствии с поступившими предложениями. Проект приказа устанавливает про- цедуры лицензионного контроля за дея- тельностью по технической защите кон- фиденциальной информации: l соблюдение лицензиатами лицензион- ных требований; l исполнение решений, принимаемых по результатам проведения проверок. Проект приказа ФСТЭК России "Об утверждении сроков и последователь- ности административных процедур при осуществлении Федеральной службой по техническому и экспортному контро- лю лицензионного контроля за деятель- ностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России)" 11 также был представ- лен на общественное обсуждение 5 апреля 2023 г., по результатам кото- рого была опубликована доработанная версия. По аналогии с упомянутым выше про- ектом приказа ФСТЭК России указанный проект устанавливает процедуры лицен- зионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК Рос- сии): 9 https://regulation.gov.ru/projects#npa=137891 10 https://regulation.gov.ru/projects#npa=137289 11 https://regulation.gov.ru/projects#npa=137295