Журнал "Information Security/ Информационная безопасность" #3, 2022

защищенности и форма отчета 6 в целях выполнения требований Указа Прези- дента № 250 были опубликованы 3 июня 2022 г. на официальном сайте Минциф- ры России. В соответствии с Указом Президента № 250 с 1 января 2025 г. организациям запрещается использовать средства защиты информации, произведенные в недружественных государствах либо производителями которых являются организации, находящиеся под их юрис- дикцией, прямо или косвенно подконт- рольные им либо аффилированные с ними. Так, в перечень иностранных государств и территорий 7 , совершающих в отношении России, российских ком- паний и граждан недружественные дей- ствия, включено 21 государство, а также все государства – члены Европейского союза. Новый раздел Банка данных угроз безопасности информации Информационным сообщением от 04.05.2022 г. № 240/22/2432 "О разра- ботке нового раздела Банка данных угроз безопасности информации, содер- жащего сведения об угрозах безопас- ности информации" 8 ФСТЭК России сообщает следующее: 1. Разработан новый раздел Банка данных угроз безопасности информации (БДУ) 9 . Новый раздел БДУ содержит функции автоматизированного форми- рования перечня возможных угроз без- опасности информации применительно к конкретным информационным (авто- матизированным) системам. Предложения и замечания по новому разделу БДУ принимались до 5 июня 2022 г. 2. ФСТЭК России в настоящее время завершает разработку новой редакции Методики оценки угроз безопасности информации, утвержденной ФСТЭК Рос- сии 5 февраля 2021 г. (далее – Методи- ка). В новой редакции Методики в каче- стве исходных данных для реализации процедур формирования перечня воз- можных угроз безопасности информа- ции и определения их актуальности предусмотрено применение нового раз- дела БДУ. В связи с утверждением новой редак- ции Методики и применением нового раздела БДУ модели угроз безопасности информации, разработанные с учетом действующего БДУ, перерабатывать не планируется. Отмена ГОСТ Р 58189–2018 ФСТЭК России вынес на голосование членов ТК 362 вопрос по отмене ГОСТ Р 58189–2018 "Защита информации. Тре- бования к органам по аттестации объ- ектов информатизации" 10 . Предложение об отмене обусловлено установлением порядка проведения работ по аттестации объектов информатизации приказами ФСТЭК России от 28 сентября 2020 г. № 110 и от 29 апреля 2021 г. № 77. Средства удостоверяющего центра Приказ ФСБ России от 13.04.2022 г. № 179 "О внесении изменений в Требо- вания к средствам удостоверяющего центра, утвержденные приказом ФСБ России от 27 декабря 2011 г. № 796" 11 (далее – Приказ ФСБ России № 179) был официально опубликован 11 мая 2022 г. Приказ ФСБ России № 179 всту- пает в силу с 1 сентября 2022 г. и дей- ствует до 1 января 2027 г. Приказ ФСБ России № 179 вносит изменения в Требования к средствам удостоверяющего центра (приложение № 2), утвержденные приказом ФСБ Рос- сии от 27 декабря 2011 г. № 796. В текущей редакции Требований для средств, реализующих механизм фор- мирования меток доверенного времени, удостоверяющим центром (УЦ) должны применяться средства межсетевого экра- нирования уровня веб-сервера (тип "Г"), сертифицированные ФСБ России на соответствие требованиям к устройствам типа "межсетевой экран" не менее чем 3-го класса защищенности. УЦ должны использовать средства защиты от компьютерных вирусов, пред- назначенные для применения на серве- рах информационных систем (тип "Б") и сертифицированные ФСБ России на соответствие требованиям к антивирус- ным средствам по классу Б2. В редакции же приказа ФСБ России № 179 с 1 сентября 2022 г. для средств, реализующих механизм меток доверен- ного времени, при подключении к инфор- мационно-телекоммуникационной сети, доступ к которой не ограничен опреде- ленным кругом лиц, должны применяться следующие средства: l класс средств электронной подписи, реализующих механизмы формирования меток доверенного времени, не ниже класса КС3. Должно быть обеспечено защищенное хранение криптографиче- ских ключей в неэкспортируемом виде; l некриптографические средства защи- ты информации, сертифицированные по требованиям безопасности информации, устанавливаемым ФСТЭК России, и обеспечивающие защиту от атак, направленных на веб-серверы, защиту от вредоносного программного обес- печения, обнаружение (предотвращение) вторжений, доверенную загрузку средств вычислительной техники. Эксперимент по повышению уровня защищенности ГИС Постановление Правительства Рос- сийской Федерации от 13.05.2022 г. № 860 "О проведении эксперимента по повышению уровня защищенности госу- дарственных информационных систем федеральных органов исполнительной власти и подведомственных им учреж- дений" 12 (далее – ПП РФ № 860) офи- циально опубликовано 16 мая 2022 г. Согласно ПП РФ № 860 эксперимент по повышению уровня защищенности государственных информационных систем (далее – ГИС) федеральных органов исполнительной власти и подведомствен- ных им учреждений будет проводиться с 16 мая 2022 г. по 30 марта 2023 г. Ответственность за организацию и мониторинг работ, проводимых в рамках эксперимента, возложена на Минцифры России. К проведению эксперимента Минцифры России вправе привлекать подведомственное ему федеральное государственное учреждение и коммер- ческие организации. Участвовать в эксперименте пригла- шаются на добровольной основе феде- ральные органы исполнительной власти и подведомственные им учреждения, они должны подать заявку, которой подтвер- ждается готовность ГИС принимать участие в эксперименте, при дальнейшем оформ- лении соглашений о взаимодействии. В рамках эксперимента Минцифры России: l разработает с согласованием во ФСТЭК России и ФСБ России типовое техническое задание на выполнение работ по повышению уровня защищен- ности ГИС; l обеспечит заключение соглашений о взаимодействии и организацию работ в рамках соглашений; l осуществит контроль за ходом устра- нения выявленных в рамках экспери- мента недостатков (уязвимостей); l разработает по согласованию со ФСТЭК России и ФСБ России перечень • 5 ПРАВО И НОРМАТИВЫ www.itsec.ru 5 http://publication.pravo.gov.ru/Document/View/0001202206240033?index=0&rangeSize=1 6 https://digital.gov.ru/ru/documents/8235/ 7 http://government.ru/docs/44745/ 8 https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2384-informatsionnoe-soobshchenie-fstek-rossii-ot- 4-maya-2022-g-n-240-22-2432 9 https://bdu.fstec.ru/threat-section 10 https://fstec.ru/tk-362/deyatelnost-tk362/343-inaya-deyatelnost-tk-362/2420-pismo-rukovoditelyam-organizatsij-chlenov-tk-362- ot-31-maya-2022-g-n-1331 11 http://publication.pravo.gov.ru/Document/View/0001202205110052?index=0&rangeSize=1 12 http://publication.pravo.gov.ru/Document/View/0001202205160024