Журнал "Information Security/ Информационная безопасность" #4, 2021

ность финансовых (банковских) опера- ций. Прикладные программные интер- фейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутен- тификации по отдельному каналу. Тре- бования" СТО БР ФАПИ.ПАОК-1.0-2021 9 (далее – стандарт). Стандарт рекомендован для исполь- зования при создании и оценке соответ- ствия программных средств, предназна- ченных для безопасного обмена финан- совыми сообщениями в среде открытых банковских интерфейсов. Стандарт носит рекомендательный характер и предназначен для: l участников получения информации о банковском счете (банки и их клиенты, а также сторонние поставщики); l участников перевода денежных средств (банки и их клиенты, а также сторонние поставщики); l разработчиков информационного и программного обеспечения, информа- ционных систем. Проекты ГОСТов В июле 2021 г. ФСТЭК России пред- ставила сведения о национальных стан- дартах, разработанных в результате дея- тельности технического комитета по стандартизации "Защита информации" (ТК 362), а именно проекты трех ГОСТов: l проект национального стандарта ГОСТ Р. Управление инцидентами, свя- занными с безопасностью информации. Принципы менеджмента инцидентов 10 ; l проект национального стандарта ГОСТ Р. Управление инцидентами, свя- занными с безопасностью информации. Руководство по планированию и подго- товке к реагированию на инциденты 11 ; l проект национального стандарта ГОСТ Р. Управление инцидентами, свя- занными с безопасностью информации. Руководство по реагированию на инци- денты в сфере информационных и ком- пьютерных технологий 12 . Порядок организации и проведения работ по аттестации объектов информатизации Приказ ФСТЭК Росси от 29.04.2021 г. № 77 "Об утверждении Порядка органи- зации и проведения работ по аттестации объектов информатизации на соответ- ствие требованиям о защите информа- ции ограниченного доступа, не состав- ляющей государственную тайну" 13 (далее – приказ ФСТЭК России № 77) официально опубликован 10 августа 2021 г. Приказ ФСТЭК России № 77 вступил в силу 1 сентября 2021 г. Порядок, установленный приказом ФСТЭК России № 77, распространяется на аттестацию следующих объектов информатизации: l государственных и муниципальных информационных систем, в том числе государственных, муниципальных ИС персональных данных; l ИС управления производством, используемых организациями оборон- но-промышленного комплекса, в том числе автоматизированных систем стан- ков с числовым программным управле- нием; l защищаемых помещений; l значимых объектов КИИ; l ИСПДн; l автоматизированных систем управ- ления производственными и технологи- ческими процессами на критически важ- ных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей при- родной среды. По решению руководителя федераль- ного органа государственной власти, органа государственной власти субъекта РФ, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации может про- водиться структурным подразделением (работниками) этого органа, ответствен- ными за защиту информации, после информирования ФСТЭК России о при- нятом решении и при выполнении тре- бований, установленных приказом ФСТЭК России № 77 для проведения работ по аттестации. Приказом ФСТЭК России № 77 опре- делен минимальный состав аттестацион- ной комиссии – руководитель комиссии и не менее двух экспертов, установлен максимальный срок проведения работ по аттестации – 4 месяца. При этом не допускается назначение экспертов орга- нов по аттестации из числа работников, участвующих в разработке и/или внед- рении системы защиты информации объекта информатизации. Орган по аттестации в течение 5 рабо- чих дней после подписания аттестата соответствия должен представить во ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов: l аттестата соответствия объекта информатизации; l технического паспорта на объект информатизации; l акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта КИИ; l программы и методик аттестационных испытаний объекта информатизации; l заключения и протоколов. Аттестат соответствия выдается на весь срок эксплуатации объекта инфор- матизации. При этом владелец аттесто- ванного объекта информатизации дол- жен проводить периодический контроль уровня защиты информации на аттесто- ванном объекте информатизации, результаты которого оформляются про- токолами и отражаются в техническом паспорте. Протоколы контроля защиты информации не реже одного раза в два года должны представляться владельцем объекта информатизации во ФСТЭК России (территориальный орган ФСТЭК России). Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет во ФСТЭК России сведения об аттестованных им объектах информатизации. В случае развития (модернизации) объекта информатизации, приводящей 6 • ПРАВО И НОРМАТИВЫ Август-2021 обзоре изменений нормативно-правовых актов в области ИБ за август 2021 г. поговорим об изменениях от ФСТЭК России в порядке аттестации, об уточнении порядка инфор- мирования ФСБ России о компьютерных инцидентах, о потенциальных изменениях в перечне государств, обеспечивающих адекватную защиту ПДн, и об информационной системе Роскомнадзора, предназначенной для обеспечения получения оператором согла- сия на обработку ПДн, разрешенных субъектом ПДн для распространения. В 9 https://www.cbr.ru/StaticHtml/File/117620/standart_16082021.pdf 10 https://fstec.ru/tk-362/standarty-tk362/303-proekty/2248-proekt-natsionalnogo-standarta-gost-r-13 11 https://fstec.ru/tk-362/standarty-tk362/303-proekty/2249-proekt-natsionalnogo-standarta-gost-r-14 12 https://fstec.ru/tk-362/standarty-tk362/303-proekty/2250-proekt-natsionalnogo-standarta-gost-r-15 13 http://publication.pravo.gov.ru/Document/View/0001202108100027