Журнал "Information Security/ Информационная безопасность" #3, 2023

• 7 ПРАВО И НОРМАТИВЫ www.itsec.ru Июнь-2023 обзоре изменений законодательства за июнь рассмотрим разработанный ФСБ России порядок осуществления мониторинга защищенности информационных ресурсов, пред- ложения по внесению изменений в Указ Президента РФ № 250, изменения в требова- ния к созданию систем безопасности значимых объектов КИИ, предлагаемые измене- ния в федеральный закон о безопасности объектов ТЭК, изменения в Уголовный кодекс РФ и Кодекс РФ об административных правонарушениях, предложения по расширению перечня сфер деятельности субъектов КИИ и другие изменения. В Мониторинг защищенности информационных ресурсов в соответствии с Указом Президента РФ №250 Приказ ФСБ России от 11.05.2023 № 213 "Об утверждении порядка осу- ществления мониторинга защищенно- сти информационных ресурсов, при- надлежащих федеральным органам исполнительной власти, высшим испол- нительным органам государственной власти субъектов РФ, государственным фондам, государственным корпорациям (компаниям), иным организациям, соз- данным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обще- ствам и системообразующим органи- зациям российской экономики, юриди- ческим лицам, являющимся субъектами критической информационной инфра- структуры РФ либо используемых ими" 16 официально опубликован 2 июня 2023 г. Приказ ФСБ № 213 утверждает поря- док осуществления мониторинга защи- щенности информационных ресурсов в соответствии с подпунктом "в" п. 5 Указа Президента РФ от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспече- нию информационной безопасности РФ". Приказом ФСБ № 213 определено сле- дующее: l Мониторинг защищенности осуществ- ляется 8-м Центром защиты информации и специальной связи ФСБ России и тер- риториальными органами безопасности. l Мониторинг осуществляется только в отношении информационных ресурсов, имеющих подключение к Интернету и (или) сопряженных с Интернетом с использованием технологии трансля- ции сетевых адресов органов (органи- заций), попадающих под действие Указа № 250. l Органы (организации), попадающие под действие Указа № 250, должны отправить в ФСБ России информацию о своих доменах, внешних IP – однократно до 1 сентября 2023 г., а также об их изменении (по мере изменения и добав- ления в срок до 7 рабочих дней). l Мониторинг осуществляется непре- рывно и заключается в выявлении пуб- лично доступных сервисов, уязвимостей и оценке защищенности органов (орга- низаций). l При проведении органами безопасно- сти мониторинга защищенности органы (организации) по запросам органов без- опасности обязаны исключить блоки- ровку IP-адресов. l Выявление функционирующих серви- сов и обнаружение уязвимостей в информационных ресурсах органов (организаций) осуществляются удаленно без предварительного уведомления органов (организаций) о начале прове- дения указанных мероприятий. l Оценка защищенности осуществляет- ся на основании ежегодного плана, утверждаемого начальником Центра защиты информации и специальной связи ФСБ России. Выписки из плана направляются тем органам (организа- циям), в отношении информационных ресурсов которых предусмотрено про- ведение оценки защищенности. l При выявлении в ходе оценки защи- щенности информационных ресурсов органов (организаций) признаков нару- шения штатного режима их функциони- рования, приводящего к невозможности реализации информационными ресур- сами основного функционала, орган (организация) уведомляет об этом ФСБ России. В соответствии с установленным приказом ФСБ № 213 порядком прини- мается решение о продолжение либо о прекращении проведения оценки защи- щенности. l В случае выявления в рамках осу- ществления мониторинга защищенности неспособности информационных ресур- сов противостоять угрозам информа- ционной безопасности ФСБ России выдается указание по обеспечению защищенности принадлежащих органу (организации) либо используемых ими информационных ресурсов. Изменения в Указ Президента РФ № 250 Для общественного обсуждения 20 июня 2023 г. был представлен проект указа Президента РФ "О внесении изме- нений в Указ Президента РФ от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной без- опасности РФ" 17 . Проектом указа предлагается опре- делить обязанность органов (организа- ций), попадающих под действие Указа № 250, информировать ФСБ России в порядке, установленном ФСБ России, о компьютерных инцидентах и компью- терных атаках, связанных с функциони- рованием информационных ресурсов органов (организаций). Предлагается дополнить полномочия ФСБ России сле- дующими положениями: l определение порядка аккредитации центров ГосСОПКА и требований к ним, 16 http://publication.pravo.gov.ru/document/0001202306020020 17 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=139316