Журнал "Information Security/ Информационная безопасность" #3, 2023

организациями, в том числе субъектами КИИ, являющимися операторами инфор- мационных (автоматизированных) систем, при принятии ими мер по устра- нению уязвимостей программных, про- граммно-аппаратных средств информа- ционных систем в соответствии с требо- ваниями о защите информации, содер- жащейся в государственных информа- ционных системах, требованиями по обеспечению безопасности значимых объектов КИИ, а также иными норма- тивными правовыми актами и методи- ческими документами ФСТЭК России. В соответствии с Методическим доку- ментом ФСТЭК России процесс управ- ления уязвимостями включает пять основных этапов, которые изображены на схеме (рис. 1). Методический документ описывает состав участников процесса управления уязвимостями и распределение опера- ций, реализуемых на этапах процесса управления уязвимостями, по приведен- ным ролям. Для каждого из этапов про- цесса управления уязвимостями приво- дится детальная схема его реализации и операций, которые должны быть включены в этап. Документ приводит рекомендуемые сроки устранения уязвимостей: l критический уровень опасности – до 24 часов; l высокий уровень опасности – до 7 дней; l средний уровень опасности – до 4 недель; l низкий уровень опасности – до 4 меся- цев. Административные штрафы в области обработки персональных данных В Госдуму внесен законопроект № 353266-8 "О внесении изменений в Кодекс РФ об административных пра- вонарушениях" 6 , которым предполагается установление административной ответ- ственности за незаконное размещение биометрических ПДн в единой биомет- рической системе и иных информа- ционных системах, используемых для и д е н т ифи к а ц и и и (или) аутентифи- кации с использова- нием биометриче- ских ПДн. П р е д л а г а е т с я определить следую- щие административ- ные штрафы: l для должностных лиц: от 100 000 до 300 000 руб.; за повторное наруше- ние: от 500 000 до 1 000 000 руб. l для юридических лиц: от 300 000 до 700 000 руб.; за повторное наруше- ние: от 1 000 000 до 1 500 000 руб. Аналогичный размер штрафов пред- лагается установить и для случаев обра- ботки ПДн без согласия в письменной форме субъекта ПДн в случаях, когда такое согласие должно быть получено. Стандарт с требованиями к информационной безопасности АСУ железнодорожного транспорта Утвержден ГОСТ Р 70732–2023 "Авто- матизированные системы управления технологическими процессами и техни- ческими средствами железнодорожного транспорта. Требования к функциональ- ной и информационной безопасности программного обеспечения и методы контроля" 7 с датой введения в действие 1 ноября 2023 г. В соответствии с ГОСТ Р 707322023 уровень доверия к информационной безопасности ПО автоматизированных систем управления технологическими процессами и техническими средства- ми железнодорожного транспорта (АСУ ЖТ) задают в зависимости от установ- ленной или предполагаемой категории значимости АСУ ЖТ как объекта (составной части объекта) КИИ и/или в зависимости от установленного или предполагаемого класса защищенно- сти АСУ ЖТ как автоматизированной системы управления (составной части) технологическими процессами крити- чески важных, потенциально опасных, представляющих повышенную опас- ность для жизни и здоровья людей и для окружающей природной среды объектов. В требования, в зависимости от задан- ного уровня доверия к информационной безопасности, включаются: l требования к разработке и производ- ству; l требования к проведению испытаний; l требования к поддержке безопасно- сти. В стандарте приводятся методы конт- роля для требований по информацион- ной безопасности. • 5 ПРАВО И НОРМАТИВЫ www.itsec.ru Рис. 1. Этапы процесса управления уязвимостями 6 https://sozd.duma.gov.ru/bill/353266-8 7 https://protect.gost.ru/document1.aspx?control=31&id=252266 Реклама