Журнал "Information Security/ Информационная безопасность" #6, 2022

4 • ПРАВО И НОРМАТИВЫ Мониторинг защищенности информационных ресурсов В ноябре 2022 г. для общественного обсуждения представлен проект приказа ФСБ России "Об утверждении Порядка осуществления мониторинга защищен- ности информационных ресурсов, при- надлежащих федеральным органам исполнительной власти, высшим испол- нительным органам государственной власти субъектов Российской Федера- ции, государственным фондам, госу- дарственным корпорациям (компаниям), иным организациям, созданным на осно- вании федеральных законов, стратеги- ческим предприятиям, стратегическим акционерным обществам и системооб- разующим организациям российской экономики, юридическим лицам, являю- щимся субъектами критической инфор- мационной инфраструктуры Российской Федерации либо используемых ими" 1 . Проект приказа ФСБ России разрабо- тан в целях реализации требований под- пункта "в" п. 5 Указа Президента Рос- сийской Федерации от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопас- ности Российской Федерации". Мониторинг защищенности будет осу- ществляться Центром защиты информа- ции и специальной связи ФСБ России и территориальными органами безопасно- сти. К информационным ресурсам, под- падающим под мониторинг, относятся: l информационные системы (в том числе сайты в сети "Интернет"); l информационно-телекоммуникацион- ные сети; l автоматизированные системы управ- ления. При этом мониторинг защищенности будет осуществляться только в отно- шении информационных ресурсов, имеющих непосредственное подключе- ние к сети "Интернет" и (или) сопряжен- ных с сетью "Интернет" с использова- нием технологии трансляции сетевых адресов. Для осуществления мониторинга защищенности органам (организациям), подпадающим под действие Указа Пре- зидента РФ № 250, потребуется напра- вить в Центр защиты информации и специальной связи ФСБ России сле- дующую информацию: l о доменных именах и внешних сетевых адресах принадлежащих (используемых) информационных ресурсов однократно в срок до 1 марта 2023 г.; l об изменениях доменных имен и внеш- них сетевых адресов принадлежащих (используемых) информационных ресур- сов, а также о приобретении (начале использования) доменных имен и внеш- них сетевых адресов новых информа- ционных ресурсов в срок до семи кален- дарных дней со дня их приобретения (начала использования). Оценка защищенности информацион- ных ресурсов (одна из форм мероприя- тий по мониторингу защищенности) должна будет осуществляться органами безопасности на основании ежегодного плана, утверждаемого начальником Центра защиты информации и специ- альной связи ФСБ России. Выписки из указанного плана будут направляться территориальным органам безопасности, а также органам (организациям), в отно- шении информационных ресурсов кото- рых предусмотрено проведение оценки защищенности. О проведении оценки защищенности информационных ресур- сов органы (организации) письменно уведомляются органами безопасности не позднее чем за 14 календарных дней до начала проведения указанных меро- приятий. Для оценки защищенности информа- ционных ресурсов органов (организаций) потребуется подключение программно- аппаратных комплексов органов безопас- ности к информационным ресурсам орга- нов (организаций). Подключение про- граммно-аппаратных комплексов органов безопасности к информационным ресур- сам органов (организаций) может осу- ществляться как удаленно, так и на объ- ектах органов (организаций). Требования к подтверждению уничтожения ПДн Приказ Роскомнадзора № 179 от 28.10.2022 г. "Об утверждении Требова- ний к подтверждению уничтожения пер- сональных данных" 2 официально опуб- ликован 29 ноября 2022 г. Он вступает в силу с 1 марта 2023 г. и будет действо- вать до 1 марта 2029 г. В случае если обработка персональных данных осуществляется без использова- ния средств автоматизации, документом, подтверждающим уничтожение ПДн, будет являться акт об уничтожении ПДн. В случае если обработка ПДн осуществ- ляется с использованием средств авто- матизации, документами, подтверждаю- щими уничтожение ПДн, будут являться акт об уничтожении ПДн и выгрузка из журнала регистрации событий в ИСПНн. При смешанном способе обработки потребуются и акт об уничтожении ПДн, и выгрузка журнала из ИСПДн. Акт об уничтожении ПДн и выгрузка из журнала регистрации событий ИСПДн подлежат хранению в течение трех лет с момента уничтожения ПДн. Выгрузки из журналов регистрации событий ИСПДн должны будут содержать: Обзор изменений в законодательстве в финале 2022 года мониторинге защищенности в рамках исполнения требований Указа Президента РФ № 250, о требованиях Роскомнадзора к процессам, связанным с обработкой ПДн; об утверждении порядка применения СКЗИ в ГИС; об изменениях в порядке лицензирования деятельности, связанной с шифровальными средствами; о проекте дополнительных требований к отече- ственному ПО; об особенностях обращения с различными видами информации, а также о новых стандартах в области управления инцидентами ИБ. О Анастасия Заведенская, независимый эксперт по информационной безопасности Ноябрь-2022 1 https://regulation.gov.ru/projects#npa=133499 2 http://publication.pravo.gov.ru/Document/View/0001202211290008