Журнал "Information Security/ Информационная безопасность" #5, 2023

• 9 ПРАВО И НОРМАТИВЫ www.itsec.ru l терминология приведена в соответ- ствие с терминологией в ИСО 31000:2018; l структура разделов была скорректи- рована в соответствии с требованиями ИСО/МЭК 27001:2022; l были введены концепции сценариев риска; l подход к идентификации рисков, осно- ванный на событиях, противопостав- ляется подходу, основанному на акти- вах; l содержание приложений было пере- смотрено и преобразовано в единое приложение. Сертификация безопасной разработки ПО для изготовителей СрЗИ Проект приказа ФСТЭК России "Об утверждении Порядка сертификации процессов безопасной разработки про- граммного обеспечения средств защиты информации" 12 был представлен на общественное обсуждение 27 октября 2023 г. Публичные обсуждения прохо- дили до 17 ноября 2023 г. По проекту приказа сертификация процессов безопасной разработки про- граммного обеспечения (ПО) средств защиты информации (СрЗИ) проводится в целях подтверждения соответствия процессов безопасной разработки ПО, внедренных изготовителем СрЗИ, тре- бованиям национального стандарта ГОСТ Р 56939–2016 "Защита информа- ции. Разработка безопасного программ- ного обеспечения. Общие требования". Согласно пояснительной записке к проекту, сертификация процессов без- опасной разработки ПО СрЗИ является добровольной и позволит разработчикам и производителям сертифицированных СрЗИ в случае проведения данной сер- тификации проводить испытания СрЗИ, обусловленные внесением изменений в ПО, самостоятельно, без привлечения испытательной лаборатории. Изменения в перечень индикаторов риска при осуществлении госконтроля в сфере электронной подписи Проект приказа Минцифры России "О внесении изменений в перечень инди- каторов риска нарушения обязательных требований при осуществлении феде- рального государственного контроля (надзора) в сфере электронной подписи, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 7 декабря 2021 г. № 1312" 13 пред- ставлен на общественное обсуждение 16 октября 2023 г. Перечень индикаторов риска наруше- ния обязательных требований при осу- ществлении федерального государст- венного контроля (надзора) в сфере электронной подписи, утвержденный приказом Министерства цифрового раз- вития, связи и массовых коммуникаций Российской Федерации от 7 декабря 2021 г. № 1312, предлагается дополнить пунктом следующего содержания: "Уве- личение за календарный год более чем в 10 раз, но не менее чем на 10 тысяч, количества выданных квалифицирован- ных сертификатов, сведения о которых направлены аккредитованным удосто- веряющим центром в единую систему идентификации и аутентификации, по сравнению с аналогичным периодом за предыдущий год". Обработка компьютерных инцидентов, инцидентов защиты информации на объектах КИИ в финансовой сфере В октябре 2023 г. Банк России выпу- стил ряд методических рекомендаций, связанных с действиями при выявле- нии компьютерных инцидентов, инци- дентов защиты информации на объ- ектах КИИ: l Методические рекомендации по выполнению кредитными и некре- дитными финансовыми организа- циями мероприятий по обеспечению безопасности критической инфор- мационной инфраструктуры Россий- ской Федерации в части информи- рования федерального органа исполнительной власти, уполномо- ченного в области обеспечения функционирования государственной системы обнаружения, предупреж- дения и ликвидации последствий компьютерных атак на информа- ционные ресурсы Российской Феде- рации, о компьютерных инцидентах, результатах мероприятий по реаги- рованию на них и принятии мер по ликвидации последствий компью- терных атак, утвержденные Банком России 26.10.2023 № 14-МР 14 . l Методические рекомендации по взаи- модействию кредитных организаций с МВД России и ФСБ России в целях принятия процессуальных решений при проведении компьютерных атак в отношении объектов критической информационной инфраструктуры, утвержденные Банком России 26.10.2023 № 15-МР 15 . В методических рекомендациях отме- чается, что для финансовых организа- ций, с учетом мнения ФСБ России, возможным способом информирования ФСБ России о компьютерных инци- дентах, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компью- терных атак является передача соот- ветствующей информации в Банк Рос- сии с использованием технической инфраструктуры Банка России – Авто- матизированной системы обработки инцидентов ФинЦЕРТ Банка России (АСОИ ФинЦЕРТ) с последующим направлением Банком России полу- ченной информации в Национальный координационный центр по компью- терным инцидентам (НКЦКИ) в соот- ветствии с определенными НКЦКИ форматами с использованием техни- ческой инфраструктуры НКЦКИ. l 12 https://regulation.gov.ru/projects#npa=143132 13 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=142720 14 https://www.consultant.ru/document/cons_doc_LAW_460678/ 15 https://cbr.ru/Crosscut/LawActs/File/6447 Ваше мнение и вопросы присылайте по адресу is@groteck.ru