Журнал "Information Security/ Информационная безопасность" #3, 2020

• 15 ПРАВО И НОРМАТИВЫ www.itsec.ru Средства ГосСОПКА 25 июня 2020 г. был официально опуб- ликован приказ Минкомсвязи России от 17.03.2020 г. № 114 "Об утверждении Порядка и Технических условий уста- новки и эксплуатации средств, предна- значенных для поиска признаков ком- пьютерных атак в сетях электросвязи, используемых для организации взаимо- действия объектов критической инфор- мационной инфраструктуры Российской Федерации" 6 , который вступает в силу 6 июля 2020 г. Приказ Минкомсвязи России № 114 направлен на урегулирование отношений между операторами связи, ФСБ России и Минкомсвязи России, в контексте уста- новки и эксплуатации средств поиска признаков компьютерных атак. Речь идет о средствах ГосСОПКА, а именно о тех- нических, программных, программно- аппаратных и иных средствах поиска признаков компьютерных атак в сетях электросвязи, используемых для органи- зации взаимодействия объектов крити- ческой информационной инфраструктуры (далее – средства ППКА). Требования к средствам ППКА установлены приказом ФСБ России от 06.05.2019 г. № 196. 7 Согласно этому приказу необходи- мость и места установки средств ППКА определяются ФСБ России, в том числе выбор и привлечение сторонних органи- заций для таких работ (при необходимо- сти). О всех работах ФСБ России уве- домляет оператора связи согласно уста- новленным процедурам. Эксплуатация средств ППКА осу- ществляется ФСБ России, а оператор связи обеспечивает непрерывность функционирования в круглосуточном режиме и сохранность средств ППКА. Техническое обслуживание установлен- ных средств поиска атак также прово- дится ответственными лицами ФСБ Рос- сии или организацией, которая была привлечена к работам. Классификатор программ для электронных вычислительных машин и баз данных Минкомсвязью России 22 июня 2020 г. был опубликован проект приказа "Об утверждении классификатора программ для электронных вычислительных машин и баз данных" 8 . Этот проект приказа должен заменить предыдущий классификатор программ для электронных вычислительных машин и баз данных, утвержденный еще в 2015 г. По проекту приказа Минкомсвязи к сред- ствам обеспечения информационной безопасности будут относиться следую- щие классы средств: l средства защиты от несанкциониро- ванного доступа; l системы управления событиями информационной безопасности; l межсетевые экраны; l средства фильтрации негативного контента; l системы защиты сервисов онлайн- платежей и дистанционного банковского обслуживания; l средства антивирусной защиты; l средства выявления целевых атак; l средства гарантированного уничто- жения данных; l системы предотвращения утечек информации; l средства криптографической защиты информации и электронной подписи; l системы управления доступом к информационным ресурсам; l системы резервного копирования. Управление рисками в кредитных организациях Банк России опубликовал положение от 08.04.2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и бан- ковской группе" 9 (далее – положение № 716-П). Положение № 716-П устанавливает требования к системе управления опе- рационным риском в кредитной органи- зации и банковской группе. К опера- ционным рискам в том числе относятся: 1. Риск информационной безопасно- сти – это риск реализации угроз без- опасности информации, которые обусловлены недостатками процессов обеспечения ИБ, в том числе проведения технологических и других мероприятий, недостатками прикладного программно- го обеспечения автоматизированных систем и приложений, а также несоот- ветствием указанных процессов дея- тельности кредитной организации. 2. Риск информационных систем – это риск отказов и/или нарушения функ- ционирования применяемых кредитной организацией информационных систем и/или несоответствия их функциональ- ных возможностей и характеристик потребностям кредитной организации. При этом к рискам ИБ относятся: 1. Киберриск – это риск преднамерен- ных действий со стороны работников кредитной организации и/или третьих лиц с использованием программных и/или программно-аппаратных средств, направленных на объекты информа- ционной инфраструктуры кредитной организации (головной кредитной орга- низации банковской группы) в целях нарушения и/или прекращения их функ- ционирования, создания угрозы без- опасности информации, подготавливае- мой, обрабатываемой и хранимой такими объектами, а также в целях несанкцио- нированного присвоения, хищения, изме- нения, удаления данных и иной инфор- мации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа. 2. Другие виды риска ИБ, связанные с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры. Положение № 716-П вступает в силу с 1 октября 2020 г., а систему управле- ния операционным риском необходимо привести в соответствие с его требо- ваниями в срок до 1 января 2022 г. В случае если система управления опе- рационным риском будет приведена в соответствие ранее 1 января 2022 г., кредитные организации вправе про- информировать об этом Банк России в целях организации Банком России оценки соответствия системы управле- ния операционным риском требованиям положения № 716-П. l 6 http://publication.pravo.gov.ru/Document/View/0001202006250021 7 http://publication.pravo.gov.ru/Document/View/0001201905310017 8 https://regulation.gov.ru/projects#npa=103165 9 http://www.cbr.ru/Queries/UniDbQuery/File/90134/1063 июне были опубликованы требования к установке и эксплуатации средств ГосСОПКА в сетях связи, используемых для взаимодействия объектов КИИ. В этом обзоре мы также ознакомимся с классификацией средств обеспечения ИБ и новым положением Банка России о системе управления операционным риском в кредитных организациях. В Июнь-2020 Ваше мнение и вопросы присылайте по адресу is@groteck.ru