Журнал "Information Security/ Информационная безопасность" #4, 2023

l осуществление централизованного учета защищаемых информационных систем и иных объектов информатиза- ции государственных органов, органов местного самоуправления и организаций с учетом отраслей экономики и диффе- ренциации по уровню их критичности, организация и проведение мониторинга текущего состояния защищенности этих информационных систем и объектов; l проведение оперативного информи- рования государственных органов, орга- нов местного самоуправления и органи- заций об угрозах безопасности и уязви- мостях в их информационных системах и иных объектах информатизации, а также мерах по защите от этих угроз безопасности информации и уязвимо- стей; l разработка и организация внедрения совместно с государственными органа- ми, органами местного самоуправления и организациями процессов управления защитой информации и безопасностью значимых объектов КИИ, учитывающих отраслевую специфику данных объектов; l организация взаимодействия госу- дарственных органов, органов местного самоуправления и организаций при реа- лизации ими мер по повышению защи- щенности информационных систем и иных объектов информатизации от угроз безопасности информации; l осуществление организационно-мето- дического сопровождения и руководства деятельностью по защите информации и обеспечению безопасности значимых объектов КИИ государственных органов, органов местного самоуправления и организаций, организация и проведение оценки эффективности такой деятель- ности и реализованных ими мер. Импортозамещение в финансовой сфере Проект указа Президента Россий- ской Федерации "О внесении измене- ния в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 "О мерах по обеспечению технологи- ческой независимости и безопасности критической информационной инфра- структуры Российской Федерации" 12 опубликован для общественного обсуждения 4 июля 2023 г. Согласно проекту указа президента РФ для организаций, попадающих под действие Указа Президента РФ № 166, в банковской сфере и иных сферах финансового рынка согласование заку- пок и услуг будет осуществлять Цент- ральный банк РФ. Проект постановления Правительства Российской Федерации "О внесении изменений в постановление Правитель- ства Российской Федерации от 22 авгу- ста 2022 г. № 1478" 13 также был опубли- кован для общественного обсуждения 4 июля 2023 г. Проект постановления Правительства РФ также нацелен на наделение полно- мочиями Центрального банка РФ пол- номочиями по согласованию закупок иностранного программного обеспечения и требуемых услуг. Обеспечение защиты информации для участников платформы цифрового рубля Проект положения Банка России "О требованиях к обеспечению защиты информации для участников платформы цифрового рубля" 14 был представлен на общественное обсуждение 28 июля 2023 г. Согласно проекту, требования к обес- печению защиты информации для участ- ников платформы цифрового рубля должны выполнять участники платфор- мы цифрового рубля, являющиеся кре- дитными организациями. Так, согласно проекту, участники плат- формы цифрового рубля, например, должны: l размещать объекты информационной инфраструктуры в выделенных сегмен- тах (группах сегментов) вычислительных сетей; l применять меры защиты информации, реализующие стандартный уровень защиты информации, предусмотренный п. 6.7 раздела 6 национального стан- дарта Российской Федерации ГОСТ Р 57580.1–2017 "Безопасность финансо- вых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и тех- нических мер"; l участники платформы цифрового рубля, являющиеся системно значимыми кредитными организациями и (или) кре- дитными организациями, значимыми на рынке платежных услуг, – применять меры защиты информации, реализующие усиленный уровень защиты информации, предусмотренный п. 6.7 раздела 6 ГОСТ Р 57580.1–2017; l проводить оценку выполнения ими требований к защите информации при обеспечении возможности совершения операций с цифровыми рублями не реже одного раза в два года с привлечением сторонних организаций, имеющих лицен- зию на проведение работ и услуг; l обеспечивать уровень соответствия не ниже третьего уровня соответствия (для системно значимых кредитных орга- низаций – не ниже четвертого), пред- усмотренного ГОСТ Р 57580.2–2018 "Безопасность финансовых (банковских) операций. Защита информации финан- совых организаций. Методика оценки соответствия"; l обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры. 12 • ПРАВО И НОРМАТИВЫ 12 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=139746 13 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=139745 14 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=140410 Таблица 2 Класс защиты систем управ- ления базами данных Катего- рия значи- мости объ- ектов КИИ Класс защищен- ности госу- дарствен- ных информа- ционных систем Класс защи- щенности авто- матизирован- ных систем управления производствен- ными и техно- логическими процессами Уровень защищен- ности ПДн в инфор- мацион- ных системах ПДн Класс инфор- мацион- ных систем общего пользо- вания Информа- ционные системы, обрабаты- вающие государст- венную тайну 6 3 3 3 3 и 4 – – 5 2 2 2 2 – – 4 1 1 1 1 II 3 – – – – – Секретные сведения 2 – – – – – Совершенно секретные сведения 1 – – – – – Сведения особой важности