Журнал "Information Security/ Информационная безопасность" #5, 2023

8 • ПРАВО И НОРМАТИВЫ Октябрь-2023 обзоре изменений законодательства в области информационной безопасности за октябрь рассмотрим следующие нормативные правовые акты: проект изменений в порядок ведения реестра значимых объектов КИИ; проекты стандартов по КИИ; проект нового издания ГОСТа по руководству по управлению рисками информацион- ной безопасности; проект порядка сертификации безопасной разработки ПО для изго- товителей СрЗИ; проект изменения в перечень индикаторов риска при осуществлении госконтроля в сфере электронной подписи; методические рекомендации Банка России по обработке компьютерных инцидентов на объектах КИИ в финансовой сфере. В Изменения в порядке ведения реестра значимых объектов КИИ Приказ ФСТЭК России от 01.09.2023 № 177 "О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфра- структуры Российской Федерации, утвер- жденный приказом Федеральной службы по техническому и экспортному контро- лю от 6 декабря 2017 г. № 227" 9 офици- ально опубликован 3 октября 2023 г. Изменения в том числе обусловлены недавним дополнением перечня сфер деятельности субъектов критической информационной инфраструктуры – государственной регистрацией прав на недвижимое имущество и сделки с ним. Приказом ФСТЭК России от 01.09.2023 № 177 также устанавливается ряд особенностей присвоения регистра- ционных номеров для значимых объ- ектов КИИ в следующих случаях: l В случае изменения значимого объ- екта КИИ путем объединения несколь- ких значимых объектов КИИ получен- ный значимый объект сохраняет регистрационный номер значимого объекта КИИ с наименьшим порядко- вым номером и более ранней датой включения в реестр одного из объ- единяемых значимых объектов. Регистрационные номера, ранее при- своенные остальным объединяемым значимым объектам, в дальнейшем не используются. l При разделении значимого объекта КИИ на отдельные значимые объекты за одним из получившихся значимых объектов сохраняется регистрацион- ный номер, присвоенный разделяе- мому значимому объекту КИИ. Остальным получившимся при разде- лении значимым объектам КИИ регистрационный номер присваива- ется в соответствии с действующим порядком. Проекты стандартов по КИИ В октябре 2023 г. на официальном сайте ФСТЭК России 10 были представ- лены проекты национальных стандартов, касающихся КИИ, внесенные на рас- смотрение техническим комитетом по стандартизации ТК 167 "Программно- аппаратные комплексы для критической информационной инфраструктуры", а именно: l "Инфраструктура критическая инфор- мационная. Термины и определения". l "Инфраструктура критическая инфор- мационная. Доверенные интегральные микросхемы и модули. Общие поло- жения". l "Инфраструктура критическая инфор- мационная. Доверенные программно- аппаратные комплексы. Общие поло- жения". Так, например, стандарт с терминами и определениями содержит в себе отдельные блоки понятий, относящихся к доверенной продукции (изделиям, ком- понентам), и понятий, относящихся к доверенным программно-аппаратным комплексам, применяемым в КИИ. Дове- ренный программно-аппаратный ком- плекс (доверенный ПАК) по стандарту определяется как "программно-аппарат- ный комплекс, соответствующий уровню технологической независимости и заявленным функционально-техниче- ским характеристикам, обеспечивающим функционирование объекта критической информационной инфраструктуры, соот- ветствующий при реализации функции защиты информации требованиям по защите информации, утвержденным Федеральной службой безопасности и (или) Федеральной службой по техни- ческому и экспортному контролю". Обновление ГОСТа по руководству по управлению рисками информационной безопасности Проект национального стандарта ГОСТ Р ИСО/МЭК 27005 "Информа- ционная безопасность, кибербезопас- ность и защита частной жизни. Руко- водство по управлению рисками инфор- мационной безопасности. Требования и руководства" 11 был представлен в октябре 2023 г. на сайте ФСТЭК Рос- сии. Указанный проект стандарта должен заменить третье издание (ИСО/МЭК 27005:2018), которое было технически пересмотрено. Как отмечается в самом проекте стандарта, основные изменения заключаются в следующем: l весь текст руководства приведен в соответствие с ИСО/МЭК 27001:2022 и ИСО 31000:2018; 8 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=142163 9 http://publication.pravo.gov.ru/document/0001202310030016 10 https://fstec.ru/tk-362/deyatelnost/rassmotrenie-dokumentov-smezhnymi-tk/tk-167-programmno-apparatnye-kompleksy-dlya-kritich- eskoj-informatsionnoj-infrastruktury-i-programmnoe-obespechenie-dlya-nikh 11 https://fstec.ru/tk-362/standarty/proekty/proekt-natsionalnogo-standarta-gost-r-iso-mek-27005 Обезличивание ПДн для мониторинга движения лекарственных препаратов Минздрав России 26 сентября 2023 г. представил для обще- ственного обсуждения проект приказа "Об утверждении тре- бований к обезличиванию информации, содержащейся в системе мониторинга движения лекарственных препаратов для медицинского применения, и методов обезличивания такой информации" 8 . Сведения о потребителях лекарственных препаратов предлагается обезличивать до уровня: пол, возраст или год рождения потребителей лекарственных препаратов, город осуществления проверки кода идентификации или выявления нарушения требова- ний об обязательной маркиров- ке лекарственных препаратов для медицинского применения потребителем лекарственных препаратов для медицинского применения.