Журнал "Information Security/ Информационная безопасность" #3, 2023

8 • ПРАВО И НОРМАТИВЫ осуществление контроля за деятель- ностью аккредитованных центров Гос- СОПКА; l определение порядка, технических условий установки и эксплуатации в информационных ресурсах органов (организаций) средств, предназначенных для поиска признаков компьютерных атак, и организация установки таких средств в информационных ресурсах органов (организаций). Изменения в 235-й приказ ФСТЭК России Приказ ФСТЭК России от 20.04.2023 № 69 "О внесении изменений в Требо- вания к созданию систем безопасности значимых объектов критической инфор- мационной инфраструктуры РФ и обес- печению их функционирования, утвер- жденные приказом ФСТЭК России от 21 декабря 2017 г. № 235" 18 официально опубликован 23 июня 2023 г. Изменения, внесенные приказом ФСТЭК № 69, нацелены на гармониза- цию положений приказа ФСТЭК России от 21 декабря 2017 г. № 235 с ролью ответственного лица, определенного Указом № 250. Приказом ФСТЭК № 69 для специа- листов, обеспечивающих защиту значимых объектов КИИ, исключены требования к срокам длительности обучения по профессиональной пере- подготовке и к наличию высшего обра- зования (за исключением руководи- теля). На работников со средним про- фессиональным образованием по группе специальностей в области ИБ (при наличии должности в штатном расписании у субъекта КИИ) возла- гаются отдельные функции по обес- печению безопасности значимых объ- ектов КИИ в соответствии с получен- ной такими работниками специ- альностью. Теперь работники структурного под- разделения по безопасности, специали- сты по безопасности значимых объектов КИИ должны проходить обучение по программам повышения квалификации по направлению "информационная без- опасность" не реже одного раза в три года. Ранее срок был не реже одного раза в пять лет. Безопасность объектов КИИ топливно-энергетического комплекса Для общественного обсуждения 23 июня 2023 г. был опубликован зако- нопроект "О внесении изменений в Феде- ральный закон "О безопасности объектов топливно-энергетического комплекса" 19 . Дата окончания публичного обсуждения: 13 июля 2023 г. Проектом предлагается внести сле- дующие изменения в Федеральный закон от 21 июля 2011 года № 256-ФЗ "О безопасности объектов топливно- энергетического комплекса": 1. Добавить понятие оценки готовности субъекта топливно-энергетического ком- плекса к противодействию целевым ком- пьютерным атакам. Организацией такой оценки будет заниматься Минэнерго России совместно с ФСТЭК России и ФСБ России. 2. Скорректировать ст. 11 с положе- ниями по обеспечению безопасности объектов КИИ. В указанной статье пред- лагается определить, что в целях обес- печения безопасности объектов КИИ субъекты ТЭК создают системы без- опасности этих объектов от неправо- мерного доступа к информации, обра- батываемой такими объектами, уничто- жения, модифицирования, блокирова- ния, копирования, предоставления, рас- пространения и иных неправомерных действий в отношении такой информа- ции, а также обеспечивают функциони- рование таких систем. Кроме того, соз- дание таких систем должно предусмат- ривать планирование и реализацию ком- плекса технических и организационных мер, обеспечивающих в том числе анти- террористическую защищенность объ- ектов ТЭК. Стоит отметить, что в соот- ветствии со ст. 10 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфра- структуры РФ" субъекты КИИ создают системы безопасности только для значи- мых объектов КИИ. При создании систем ИБ, как правило, не учитываются требования по обеспечению антитерро- ристической защищенности. 3. Данные о количестве значимых объектов КИИ и присвоенной им катего- рии значимости, а также информацию о системах безопасности предлагается вносить в паспорт безопасности объекта ТЭК. 4. Минэнерго России будет создан отраслевой центр информационной без- опасности в ТЭК, в том числе для орга- низации проведения тренировок по отра- ботке субъектами ТЭК действий в усло- виях проведения целевых компьютерных атак и координации действий субъектов ТЭК, которым принадлежат объекты КИИ, в условиях проведения целевых компьютерных атак, а также при ликви- дации последствий таких атак. Согласно законопроекту изменения должны вступить в силу с 1 сентября 2024 г. Изменения в Уголовный кодекс РФ Федеральный закон от 13.06.2023 № 214-ФЗ "О внесении изменения в ста- тью 104-1 Уголовного кодекса РФ" 20 офи- циально опубликован 13 июня 2023 г. Теперь конфискация имущества может быть назначена при совершении сле- дующих преступлений: l неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копи- рование компьютерной информации; l создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанк- ционированного уничтожения, блокиро- вания, модификации, копирования ком- пьютерной информации или нейтрали- зации средств защиты компьютерной информации; l нарушение правил эксплуатации средств хранения, обработки или пере- дачи охраняемой компьютерной инфор- мации либо информационно-телеком- муникационных сетей и оконечного обо- рудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блоки- рование, модификацию либо копирова- ние компьютерной информации; l неправомерное воздействие на КИИ РФ. Изменения в Федеральный закон № 187-ФЗ Законопроект № 154496-8 "О внесении изменения в статью 2 Федерального закона "О безопасности критической информационной инфраструктуры РФ" 21 был одобрен Государственной Думой и Советом Федерации. Согласно законопроекту, к сферам деятельности субъектов КИИ будет добавлена сфера госрегистрации прав на недвижимое имущество и сделок с ним. 28 июня 2023 г. в Государственную Думу был внесен законопроект № 390902-8 "О внесении изменения в статью 2 Федерального закона "О без- опасности критической информационной инфраструктуры РФ" 22 , дополняющий сферы деятельности субъектов КИИ сферами социального обеспечения и образования. Аттестация работников органов по сертификации и испытательных лабораторий Проект приказа ФСТЭК России "Об утверждении Порядка аттестации работ- ников органов по сертификации и испы- тательных лабораторий, выполняющих работы по оценке (подтверждению) соот- ветствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государствен- 18 http://publication.pravo.gov.ru/document/0001202306230016 19 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=139429 20 http://publication.pravo.gov.ru/document/0001202306130022 21 https://sozd.duma.gov.ru/bill/154496-8