Журнал "Information Security/ Информационная безопасность" #5, 2022

8 • ПРАВО И НОРМАТИВЫ Центр компетенций по ИБ в промыш- ленности должен будет обеспечить реше- ние следующих задач: l Обнаружение, предупреждение и лик- видация последствий компьютерных атак на информационные ресурсы промыш- ленных предприятий. l Проведение мероприятий по оценке степени защищенности информационных ресурсов промышленных предприятий. l Проведение мероприятий по установ- лению причин компьютерных инциден- тов, вызванных компьютерными атаками на информационные ресурсы промыш- ленных предприятий. l Сбор и анализ данных о состоянии ИБ информационных ресурсов промыш- ленных предприятий. l Формирование и поддержание в акту- альном состоянии информации об информационных ресурсах промышлен- ных предприятий. l Проведение мероприятий по повы- шению уровня образования в сфере ИБ в отношении информационных ресурсов промышленных предприятий. Показателями, необходимыми для достижения результата предоставления субсидии, обозначены создание одного отраслевого центра компетенций по ИБ в промышленности и следующие условия: l разработка типового технологическо- го решения по созданию подсистемы раннего предупреждения промышленных предприятий об угрозах ИБ, обеспечи- вающей сбор, обработку и доставку потребителям различных типов сведений об угрозах безопасности информации и уязвимости информационных систем; l подготовка методических рекоменда- ций по проведению ведомственного мони- торинга состояния работ по категориро- ванию объектов критической информа- ционной инфраструктуры, в том числе актуальности и достоверности сведений о значимых объектах КИИ и присвоении объектам КИИ одной из категорий значи- мости либо об отсутствии необходимости присвоения им одной из таких категорий; l мониторинг соблюдения не менее 2500 субъектами КИИ сроков предо- ставления, актуальности и достоверности сведений о результатах присвоения объ- ектам КИИ одной из категорий значи- мости либо об отсутствии необходимости присвоения им одной из таких категорий (в том числе не менее 300 субъектами КИИ Российской Федерации в 2022 г., не менее 1100 – в 2023 г., не менее 1100 – в 2024 г.). СКЗИ в ГИС Проект приказа ФСБ России "Об утверждении Требований о защите информации, содержащейся в государст- венных информационных системах, с использованием шифровальных (крип- тографических) средств" 8 был опубли- кован в сентябре 2022 г. На момент написания обзора проект приказа нахо- дился на стадии завершения разработки и формирования окончательного вари- анта текста. С похожей инициативой ФСБ России уже выступала в ноябре 2020 г. 9 , однако официальной публикации приказа не последовало. Проект приказа устанавливает прави- ла эксплуатации и определения класса средств криптографической защиты информации (СКЗИ) в государственных информационных системах (ГИС). Для определения класса СКЗИ в про- екте приказа ФСБ России используются те же параметры, что в порядке опреде- ления класса защищенности ГИС по требованиям ФСТЭК России. Таблица определения минимально допустимого класса СКЗИ, подлежащих использова- нию для защиты информации, содержа- щейся в ГИС (сегменте ГИС), приведена далее. Класс СКЗИ, используемых для взаи- модействия физических лиц с ГИС (сег- ментом ГИС), определяется с учетом актуальных угроз безопасности инфор- мации и может быть ниже класса СКЗИ, определенного для ГИС (сегмента ГИС) в соответствии с проектом приказа. 8 https://regulation.gov.ru/projects#npa=131674 9 См. Заведенская А.А. Предновогодние изменения в законодательстве. Ноябрь – 2022 //“Information Security/ Информационная безопасность" 2020. № 6. С. 4–5. 10 https://regulation.gov.ru/projects#npa=132326 Уровень значимости информации Масштаб ГИС (сегмента ГИС) ГИС (сегмент ГИС), предназначенная для решения задач ГИС на всей терри- тории Российской Федерации или в пределах двух и более субъектов РФ ГИС (сегмент ГИС), предназначенная для решения задач ГИС в пределах одного субъекта РФ ГИС (сегмент ГИС), предназначенная для решения задач ГИС в пределах объекта (объектов) одного государственного органа, муниципаль- ного образования и (или) организации Высокий уровень значимости КВ КС3 КС2 Средний уровень значимости КС3 КС3 КС1 Низкий уровень значимости КС2 КС1 КС1 Таблица 2 Октябрь-2022 октябрьском обзоре за 2022 г. рассмотрим изменения в правила категорирования объектов КИИ, процесс уведомления Роскомнадзора об утечках ПДн, методики ФСТЭК России по оценке уровня критичности уязвимостей и тестированию обновлений безопасности, а также многое другое. В Изменения в правила категорирования объектов КИИ В октябре 2022 г. ФСТЭК России представила на общественное обсуж- дение проект постановления Правитель- ства РФ "О внесении изменений в Пра- вила категорирования объектов крити- ческой информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Россий- ской Федерации от 8 февраля 2018 г. № 127" (далее – проект ПП РФ) 10 . Проект ПП РФ дополняет требования по мониторингу актуальности и досто- верности представления субъектам кри- тической информационной инфраструк- туры сведений по результатам катего- рирования. Напомним, что на текущий момент такой мониторинг должны осу- ществлять государственные органы и российские юридические лица, выпол- няющие функции разработки, проведе- ния или реализации государственной политики и (или) нормативно-правового

RkJQdWJsaXNoZXIy Mzk4NzYw