Журнал "Information Security/ Информационная безопасность" #1, 2025

• 5 ПРАВО И НОРМАТИВЫ www.itsec.ru 5 https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii- ot-10-yanvarya-2025-g-n-240-24-39 6 https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii- ot-13-yanvarya-2025-g-n-240-24-38 7 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=153700 8 Федеральный закон от 26 декабря 2008 г. № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" 9 https://cbr.ru/Crosscut/LawActs/File/9945 l Информационное сообщение ФСТЭК России от 10.01.2025 № 240/24/39 "О повышении безопасности средств защиты информации, в состав которых разработчики включают интерпретаторы (компоненты среды функционирования интерпретируемых языков или языков, компилируемых в промежуточное пред- ставление), веб-сервера и сервера при- ложений или задействуют для реализа- ции функциональных возможностей средств данные программные компо- ненты из состава среды функциониро- вания 5 . l Информационное сообщение ФСТЭК России от 13.01.2025 № 240/24/38 "О повышении безопасности средств защиты информации, в состав которых разработчики включают средства кон- тейнеризации или образы контейнеров" 6 . Госконтроль ФСТЭК России за деятельностью по разработке средств защиты конфиденциальной информации Проект приказа ФСТЭК России "Об утверждении сроков и последователь- ности административных процедур при осуществлении Федеральной службой по техническому и экспортному контро- лю и ее территориальными органами лицензионного контроля за деятель- ностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России)" 7 был представлен к общественному обсуждению 10 января 2025 г. Предполагается, что положения при- каза ФСТЭК России будут применяться до 31 декабря 2025 г. включительно. Согласно проекту приказа ФСТЭК России: l Плановая проверка про- водится на основании ежегодного плана прове- дения плановых проверок лицензиатов, утверждае- мого директором ФСТЭК России. О проведении плановой проверки лицен- зиат, в отношении кото- рого она будет проводить- ся, уведомляется органом государственного контро- ля не позднее чем за три рабочих дня до начала ее проведения. l Внеплановая проверка лицензиата проводится в соответствии с приказом органа государственного контроля, изда- ваемым при наличии оснований для проведения внеплановой проверки. О проведении внеплановой выездной проверки, за исключением внеплановой выездной проверки, основания прове- дения которой указаны в подп. "а" и "б" п. 2 ч. 2 ст. 10 Федерального закона от 26 декабря 2008 г. № 294-ФЗ 8 , лицензиат уведомляется органом государственного контроля не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом, позволяю- щим подтвердить факт получения лицен- зиатом уведомления. Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей Банком России были официально опубликованы "Методические рекомен- дации Банка России по проведению тестирования на проникновение и ана- лиза уязвимостей информационной без- опасности объектов информационной инфраструктуры организаций финансо- вого рынка", утвержденные Банком Рос- сии от 22.01.2025 г. № 2-МР 9 . В методические рекомендации Банка России включены: l Цели и задачи проведения работ по тестированию на проникновение и ана- лизу уязвимостей. l Рекомендованные требования к тех- ническому заданию на проведение подобных работ. l Перечень документов, которыми реко- мендуется руководствоваться при про- ведении работ. l * Требования к отчету по результатам тестирования на проникновение и ана- лиза уязвимостей. l Рекомендации по тестированию на проникновение и по анализу уязвимо- стей. l Рекомендации по самостоятельному проведению тестирования, а также реко- мендации по проведению тестирования с привлечением сторонней организа- ции. l Порядок информирования Банка Рос- сии о результатах проведения тестиро- вания на проникновение и анализа уязвимостей. Реклама