Журнал "Information Security/ Информационная безопасность" #4, 2024

4 • ПРАВО И НОРМАТИВЫ Изменения правил категорирова- ния объектов КИИ ФСТЭК России 10 июля 2024 г. пред- ставила к общественному обсуждению проект постановления Правительства Российской Федерации "О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федера- ции" 1 . Проектом ПП РФ предлагается исклю- чить из правил категорирования объ- ектов критической информационной инфраструктуры формирование перечня объектов, подлежащих категорированию. Ввиду чего будут скорректированы сле- дующие нормы: l от комиссии по категорированию не будет требоваться формирование пред- ложений для включения в перечень объ- ектов КИИ, а также оценка необходимо- сти категорирования вновь создаваемых информационных систем, автоматизи- рованных систем управления, информа- ционно-телекоммуникационных сетей; l субъектам КИИ не потребуется утвер- ждать перечень объектов КИИ, подле- жащих категорированию, и направлять его в ФСТЭК России; l исключены положения о том, что мак- симальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов КИИ (внесения дополнений, изменений). В пояснительной записке к проекту ПП РФ отмечается, что в соответствии с подп. "ж" п. 10 правил категорирования, государственными органами и россий- скими юридическими лицами, выпол- няющими функции по разработке, про- ведению или реализации государствен- ной политики и (или) нормативно-право- вому регулированию в установленной сфере деятельности, сформированы по согласованию с ФСТЭК России перечни типовых отраслевых объектов КИИ. Указанные перечни типовых отрасле- вых объектов КИИ используются в каче- стве исходных данных при категориро- вании, что позволяет решить проблему полноты категорирования информацион- ных и автоматизированных систем субъ- ектов КИИ. Учитывая изложенное, пред- усмотренная правилами категорирова- ния разработка субъектами КИИ переч- ней объектов КИИ, подлежащих катего- рированию, представляется избыточной. Усиление защиты ГИС и значимых объектов КИИ от угроз типа "отказ в обслуживании" Для общественного обсуждения 17 июля 2024 г. был представлен проект приказа ФСТЭК России "О внесении изменений в Требования о защите информации, не составляющей госу- дарственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Феде- ральной службы по техническому и экс- портному контролю от 11 февраля 2013 г. № 17, и Требования по обес- печению безопасности значимых объ- ектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239" 2 . Проектом приказа ФСТЭК России предлагается внести изменения в сле- дующие нормативные-правовые акты: l Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержден- ные приказом ФСТЭК России от 11 фев- раля 2013 г. № 17; l Требования по обеспечению безопас- ности значимых объектов КИИ Россий- ской Федерации, утвержденные прика- зом ФСТЭК России от 25 декабря 2017 г. № 239. Проект приказа ФСТЭК России направлен на установление требований по защите ГИС и значимых объектов КИИ от угроз типа "отказ в обслужива- нии". Меры по защите ГИС и значимых объектов КИИ от угроз типа "отказ в обслуживании" принимаются для систем, имеющих интерфейсы и серви- сы, постоянно доступные через Интернет. Технические меры включают в себя: идентификацию и назначение интер- фейсов и сервисов, выявление публич- ных сетевых адресов и доменных имен, исключение неиспользуемых адресов, формирование матрицы коммуникаций, определение сетевых адресов для взаи- модействия, использование программ- ных и аппаратных средств для анализа и фильтрации сетевых запросов, наличие двукратного резерва по пропускной спо- собности каналов, использование дан- ных GeoIP, хранение информации о фак- тах реализации угроз в течение трех лет. Организационные меры включают: l взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютер- ных атак на информационные ресурсы Российской Федерации (ГосСОПКА), а также национальной системой противо- действия DDoS-атакам; l взаимодействие с провайдерами и организациями связи, при этом эксплуа- тируемые такими компаниями программ- но-аппаратные средства, участвующие в контроле, фильтрации и блокировании сетевых запросов, обладающих призна- ками угроз типа "отказ в обслуживании", должны быть расположены на террито- рии Российской Федерации; l разработку регламента взаимодей- ствия с провайдером хостинга или орга- низацией, предоставляющей услуги Обзор изменений в законодательстве обзоре изменений законодательства за июль поговорим о про- екте изменений в правила категорирования объектов КИИ, о предложениях по усилению защиты ГИС и значимых объ- ектов КИИ от угроз типа “отказ в обслуживании", о проекте Росархива по изменениям положения о порядке обращения со служебной информацией ограниченного распространения, а также о проектах изменений в КоАП РФ и в федеральные законы “О персональных данных" и “О коммерческой тайне". В Анастасия Заведенская, независимый эксперт по информационной безопасности Июль-2024 1 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=148976 2 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=149172 Фото: Анастасия Заведенская