Журнал "Information Security/ Информационная безопасность" #1, 2021

Приказ ФСБ России № 641 опреде- ляет новый административный регла- мент лицензирования деятельности по разработке, производству, распростра- нению средств криптографической защиты информации (далее – СКЗИ). Также утрачивает силу приказ ФСБ России от 30 августа 2012 г. № 440, утверждающий предыдущий админи- стративный регламент оказания госу- дарственной услуги. Заявителям на лицензируемые виды деятельности стоит обратить внимание на изменения в формы заявлений в ФСБ России, требования к которым предъявляются в зависимости от оказываемой госу- дарственной услуги. Обеспечение безопасности операторами финансовых платформ 28 января 2021 г. официально опуб- ликовано положение Банка России от 03.12.2020 № 742-П "О требованиях по защите информации, которые должно выполнять юридическое лицо, намере- вающееся получить статус оператора финансовой платформы, о ведении Бан- ком России реестра операторов финан- совых платформ и о требованиях к порядку регистрации Банком России изменений в правила финансовой плат- формы" 12 (далее – положение Банка России № 742-П). Стоит отметить, что о проекте поло- жения Банка России № 742-П мы уже писали ранее в октябре 2020 г. 13 , но на тот момент оно было указанием "О ведении Банком России реестра операторов финансовых платформ, о требованиях к юридическому лицу, намеревающемуся получить статус оператора финансовой платформы, по защите информации, и о требова- ниях к порядку регистрации Банком России изменений в правила финан- совых платформ" 14 . В целом основной подход к требова- ниям по защите информации, которые должны выполнять юридические лица, намеревающиеся получить статус опе- ратора финансовой платформы (далее – соискатель), по сравнению с проектом не изменился, но теперь это конкретные указания для выполнения определенных норм по ИБ для конкретных объектов защиты. Так, по положению Банка Рос- сии № 742-П: 1. Защита информации должна осу- ществляться в отношении эксплуатируе- мых автоматизированных систем, про- граммного обеспечения, средств вычис- лительной техники, телекоммуникацион- ного оборудования в соответствии с тре- бованиями национального стандарта Рос- сийской Федерации ГОСТ Р 57580.1–2017 "Безопасность финансовых (банковских) операций. Защита информации финансо- вых организаций. Базовый состав органи- зационных и технических мер"(далее – ГОСТ Р 57580.1–2017); 2. Требования ГОСТ Р 57580.1–2017 должны применяться по результатам определения применимого к соискателю уровня защиты информации, предусмот- ренного ГОСТ Р 57580.1–2017. 3. Соискатель должен обеспечить уро- вень соответствия не ниже третьего соглас- но национальному стандарту Российской Федерации ГОСТ Р 57580.2–2018 "Без- опасность финансовых (банковских) опе- раций. Защита информации финансовых организаций. Методика оценки соответ- ствия". Как и было в проекте положения Банка России № 742-П, оценка соот- ветствия по направлению "Безопас- ность информационной инфраструкту- ры" должна осуществляться с при- влечением сторонних организаций, имеющих лицензию на деятельность по технической защите конфиденци- альной информации. l Методика оценки угроз безопасности информации Информационным сообщением 15 от 15 февраля 2021 г. N 240/22/690 ФСТЭК России проинформировала об утверждении Методики оценки угроз безопасности информации 16 (далее – Методика). В связи с утверждением Методики для оценки угроз безопасности информации больше не применяются Методика опре- деления актуальных угроз безопасности персональных данных (далее – ПДн) при их обработке в информационных систе- мах ПДн (ФСТЭК России, 2008 г.) и Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструк- туры (ФСТЭК России, 2007 г.). Обязательно применение Методики к системам и сетям, отнесенным к государственным и муниципальным информационным системам, инфор- мационным системам ПДн, значимым объектам критической информацион- ной инфраструктуры (далее – КИИ), информационным системам управле- ния производством, используемым организациями оборонно-промышлен- ного комплекса, автоматизированным системам управления производствен- ными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объ- ектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. Модели угроз безопасности инфор- мации систем и сетей, разработанные и утвержденные до утверждения Мето- дики, продолжают действовать и под- лежат изменению при развитии (модернизации) соответствующих систем и сетей. 16 • ПРАВО И НОРМАТИВЫ 12 https://cbr.ru/Queries/UniDbQuery/File/90134/1224 13 См. Заведенская А.А. Обзор изменений законодательства в сентябре и октябре 2020 года // Information Security/ Информационная безопасность. 2020. № 5. С. 4–8. 14 https://regulation.gov.ru/projects#npa=109072 15 https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2169-informatsionnoe-soobshchenie-fstek-rossii-ot- 15-fevralya-2021-g-n-240-22-69 16 https://fstec.ru/component/attachments/download/2919 Февраль-2021 торой месяц 2021 г. оказался плодотворным на нормотворческую деятельность в области защиты информации. В февральском обзоре рассмотрим и новые методики от ФСТЭК России, и очередные усилия Минцифры России в сфере импортозамещения в КИИ, а также изменения в административных штрафах в области обработки ПДн и изменения в положениях о защите информации Банка России. В Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности