Журнал "Information Security/ Информационная безопасность" #3, 2022

Указ Президента РФ № 250 от 01.05.2022 г. воз- ложил на руководителя субъекта КИИ персональную ответственность за обес- печение информационной безопасности. Диалог между менедж- ментом и руководителем службы информационной безопасности теперь будет складываться более кон- структивно. 2. Субъектам КИИ запреща- ется использовать средства защиты информации, странами происхождения которых являют- ся иностранные государства, совершающие недружествен- ные действия в отношении Рос- сийской Федерации, российских юридических и физических лиц, либо производителями которых являются организации, подконт- рольные таким государствам (аффилированные с ними). Таким образом, с 1 января 2025 г. субъектам КИИ нельзя будет использовать средства защиты информации из зару- бежных государств, входящих в список недружественных 3 , для всех принадлежащих им инфор- мационных ресурсов (неважно, относятся они к значимым объ- ектам КИИ или нет). С учетом того что совершение недруже- ственных действий представ- ляет собой переменную величи- ну, зависящую от времени и геополитической ситуации, фак- тически указанный запрет озна- чает явный приоритет россий- ских средств защиты информа- ции и возможность использо- вания зарубежных только в слу- чаях крайней необходимости. Однако вопрос применения тех или иных средств защиты информации связан не только с импортозамещением, но и со следующим, четвертым, вопро- сом – оценкой соответствия средств защиты информации. Оценка соответствия средств защиты информации С 1 января 2023 г. вступают в силу требования приказа ФСТЭК России № 35 от 20.02.2020 г., вносящего изме- нения и дополнительные меры в Требования по обеспечению безопасности значимых объ- ектов КИИ, утвержденные при- казом ФСТЭК России № 239 от 25.12.2017 г. 1. Необходимость соответ- ствия средств защиты инфор- мации, не встроенных в обще- системное или прикладное про- граммное обеспечение (нало- женных), применяемых на значи- мых объектах КИИ по шестому или более высокому уровню доверия. Оценка средств защи- ты информации по уровням доверия осуществляется в форме сертификации, проводи- мой производителем (разработ- чиком), либо самостоятельно субъектом КИИ в форме оценки соответствия, процедура кото- рой практически не отличается от сертификации. Ввиду слож- ности, трудозатратности и дли- тельности по времени проведе- ния оценки соответствия по уровням доверия для субъектов КИИ, не обладающих опытом сертификации (своей продукции или приобретаемых средств защиты) и не имеющих в своем составе испытательных лабора- торий, экономически более выгодно приобретать сертифи- цированные средства защиты информации в случаях: l создания нового значимого объекта КИИ; l модернизации значимого объ- екта КИИ в рамках отдельного частного технического задания (технического проекта); l замены текущих (внедренных до 01.01.2023 г.) средств защи- ты информации: замена на ана- лог, смена версии, покупка новых лицензий. 2. Для общесистемного про- граммного обеспечения и встроенных в него средств защиты информации, приме- няемых на значимых объектах КИИ, необходимость соответ- ствия требованиям к уровню доверия не установлена, в связи с чем для обеспечения безопасности (в том числе после 01.01.2023 г.) допускает- ся использование средств защиты информации, встроен- ных в общесистемное про- граммное обеспечение, при условии их соответствия тре- бованиям к функциям безопас- ности, установленным в техни- ческом задании на создание значимого объекта КИИ и (или) техническом задании (частном техническом задании) на соз- дание подсистемы безопасно- сти значимого объекта КИИ. 3. Для прикладного программ- ного обеспечения, планируемо- го для внедрения в рамках соз- дания, модернизации, рекон- струкции или ремонта значи- мого объекта КИИ и обеспечи- вающего выполнение его функ- ций по назначению, устанавли- вается необходимость его соот- ветствия требованиям по без- опасности (требованиям по без- опасной разработке программ- ного обеспечения, требованиям к испытаниям по выявлению уязвимостей в программном обеспечении, требованиям к поддержке безопасности про- граммного обеспечения). В заключение наряду с про- блемными вопросами хотелось бы отметить и положительный момент, влияющий на построе- ние системы защиты объектов КИИ. Уже упоминавшийся авто- ром Указ Президента РФ№ 250 от 01.05.2022 г. возложил на руководителя субъекта КИИ персональную ответственность за обеспечение информацион- ной безопасности (п. 2 Указа). По сути, данная норма озна- чает, что теперь большинство руководителей, уделявших вто- ростепенное внимание вопро- сам информационной безопас- ности, станут задумываться о необходимости вникать в вопросы защиты объектов информационной инфраструк- туры, а значит, диалог между менеджментом и руководителем службы информационной без- опасности теперь будет скла- дываться более конструктивно. Помимо этого, по мнению автора, следует ожидать: l большего внимания к запро- сам подразделения информа- ционной безопасности; l увеличения штатной числен- ности подразделения информа- ционной безопасности, более легкого обоснования руководи- телю такой необходимости и меньшего сопротивления со сто- роны смежных подразделений; l увеличения бюджетов на информационную безопасность и менее сложного их обоснова- ния. l • 11 КИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 3 В настоящее время такой перечень утвержден распоряжением Правительства РФ № 430-р от 05.03.2022 г. “Об утверждении перечня иностранных государств и территорий, совершающих недружественные действия в отношении Российской Федерации, российских юридических и физических лиц”.