Журнал "Information Security/ Информационная безопасность" #5, 2019

Обеспечение защиты в ходе эксплуатации К обязательным мероприятиям по защите информации в ГИС в ходе экс- плуатации добавились: l планирование мероприятий по защите информации в ГИС; l анализ угроз безопасности информа- ции в ГИС; l информирование и обучение персо- нала ГИС по вопросам обеспечения информационной безопасности (ИБ). Планирование мероприятий включает в себя определение лиц, ответственных за планирование и контроль, выявление инцидентов ИБ и реагирование на них. План мероприятий должен быть утвер- жден вместе с правовым актом о вводе в эксплуатацию ГИС и содержать сроки проведения контроля выполнения утвер- жденных мероприятий. Выявление, анализ и устранение уязвимостей, анализ изменения угроз для ГИС должны проводиться в течение всего времени ее эксплуатации. Перио- дичность указанных работ определяется оператором самостоятельно. Информирование и обучение персо- нала заключается в: l информировании о появлении акту- альной угрозы безопасности информа- ции, правилах безопасной эксплуата- ции; l доведении до сведения требований по защите информации, а также поло- жений организационно-распорядитель- ной документации; l обучении правилам эксплуатации отдельных средств защиты информа- ции; l проведении практических занятий и тренировок по блокированию угроз без- опасности информации и реагированию на инциденты; l контроле осведомленности об угрозах безопасности информации и уровня зна- ний по вопросам обеспечения защиты информации. Периодичность проведения практиче- ских занятий и тренировок, обучения и контроля осведомленности устанав- ливается оператором, но не реже одного раза в два года. Для контроля за обеспечением уровня защищенности добавлены требования по периодичности его проведения: l для 1-го класса защищенности – не реже одного раза в год; l для 2-го и 3-го классов защищенности – не реже одного раза в два года. Контроль за обеспечением уровня защищенности может осуществляться оператором ГИС самостоятельно или с привлечением лицензиата по техниче- ской защите конфиденциальной инфор- мации. Средства защиты информации Ввиду отмены процедуры сертифика- ции СрЗИ по уровню контроля недекла- рированных возможностей требования к СрЗИ ГИС скорректированы на обяза- тельную сертификацию по уровням дове- рия. При проектировании вновь созда- ваемых или модернизируемых ГИС, имеющих подключение к Интернету, должны выбираться маршрутизаторы, сертифицированные на соответствие требованиям информационной безопас- ности (в части реализованных функций безопасности). l Постановление Правительства Рос- сийской Федерации от 7 октября 2019 г. № 1285 1 "Об утверждении Правил пре- доставления субсидий из федерального бюджета на создание отраслевого цент- ра Государственной системы обнаруже- ния, предупреждения и ликвидации последствий компьютерных атак (Гос- СОПКА) и включение его в систему автоматизированного обмена информа- цией об актуальных киберугрозах" офи- циально опубликовано 9 октября 2019 г. Субсидирование создания отраслевого центра ГосСОПКА Правила устанавливают требование к заявителям на получение субсидий для создания отраслевого центра ГосСОПКА. Конкурсный отбор будет проводиться Минкомсвязи России. Критериями конкурсного отбора являются: l наличие в уставе организации поло- жений, предусматривающих оказание научно-технических и информационных услуг, создание и использование баз данных и информационных ресурсов; l наделение организации правом полу- чения обязательного экземпляра ком- пьютерных программ и баз данных; l наличие у организации лицензии на работу со сведениями, составляющими гостайну; l наличие у организации успешного опыта реализации проектов в сфере информационной безопасности за последние три года, в том числе по их выводу на плановую окупаемость и (или) обеспечению достижения запланирован- ных показателей экономической эффек- тивности. При этом неясно, какой центр Гос- СОПКА должен быть создан, так как законодательно термин "отраслевой центр ГосСОПКА" не закреплен: соглас- но Концепции ГосСОПКА, утвержденной президентом РФ 12 февраля 2014 г. (указ № К 1274), центры подразделяются на главный центр, региональные центры, территориальные центры, центры орга- нов государственной власти РФ и орга- нов государственной власти субъектов РФ (ведомственные центры) и корпора- тивные центры. 16 • ПРАВО И НОРМАТИВЫ Октябрь 2019 года то может участвовать в конкурсном отборе на проектирование отраслевого центра ГосСОПКА? Что такое киберполигоны? Какие административные штрафы предлагается ввести за нарушение законодательства в области обеспечения безопасности КИИ? Ответы на эти вопросы – в нашем обзоре изменений законодательства за октябрь 2019 г. К 1 http://publication.pravo.gov.ru/Document/View/0001201910090023

RkJQdWJsaXNoZXIy Mzk4NzYw