Журнал "Information Security/ Информационная безопасность" #4, 2024

а также устанавливающих с учетом осо- бенностей деятельности операторов тре- бования к реализации мер по защите информации; l выделение ресурсов, необходимых для защиты информации; l управление деятельностью по защите информации. Стоит отметить, что проектом приказа ФСТЭК России в требования к защите информации в ГИС добавляются новые положения, ранее не установленные приказом ФСТЭК России от 13 февраля 2013 г. № 17. Так, например, добав- ляются нормы, оперирующие методиче- скими документами, утвержденными ФСТЭК России за последние годы. Операторам ГИС потребуется прово- дить оценку состояния защиты инфор- мации на основе определения: а) показателя, характеризующего теку- щее состояние защиты информации от актуальных угроз безопасности инфор- мации, – не реже одного раза в шесть месяцев; б) показателя, характеризующего эффективность проведения мероприятий и реализации мер по защите информа- ции (показатель уровня зрелости), – не реже одного раза в год. Для расчета значений показателей состояния защиты информации и уровня зрелости применяются методические документы, утвержденные ФСТЭК Рос- сии. Полученные результаты оценки показателей состояния защиты инфор- мации и уровня зрелости не позднее чем в течение пяти рабочих дней после их расчета направляются оператором в ФСТЭК России. Процессы управление уязвимостями и тестирования обновлений программ- ного обеспечения должны быть органи- зованы на основе методических доку- ментов, утвержденных ФСТЭК России. Изменения в порядке перехода субъектов КИИ на преимуще- ственное применение доверенных ПАК Проект постановления Правительства Российской Федерации "О внесении изменений в постановление Правитель- ства Российской Федерации от 14 ноября 2023 г. № 1912" 10 был представлен к общественному обсуж- дению 5 августа 2024 г. Проект постановления Правительства Российской Федерации уточняет крите- рии признания программно-аппаратных комплексов доверенными: l сведения о ПАК или об используемой в составе ПАК радиоэлектронной про- дукции (в том числе телекоммуника- ционном оборудовании), являющейся конечной продукцией, должны содер- жаться в едином реестре российской радиоэлектронной продукции или в рее- стре российской промышленной про- дукции; l в случае реализации в ПАК функции защиты информации, такой ПАК или используемая в составе ПАК радио- электронная продукция (в том числе телекоммуникационное оборудование) должны соответствовать требованиям, установленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соот- ветствующим документом (сертифика- том). Проект постановления Правительства Российской Федерации корректирует разд. 3, содержащий сведениях о ПАК, применяемых субъектом КИИ, в форме плана перехода на преимущественное применение субъектам КИИ доверенных ПАК на принадлежащих им значимых объектах КИИ. Профессиональный стандарт специалиста по обеспечению безопасности значимых объектов КИИ Проект приказа Минтруда России "Об утверждении профессионального стан- дарта "Специалист по обеспечению без- опасности значимых объектов критиче- ской информационной инфраструкту- ры" 11 был представлен для обществен- ного обсуждения 20 августа 2024 г. Обобщенные трудовые функции, вхо- дящие в профессиональный стандарт: l обеспечение функционирования средств защиты информации значимых объектов КИИ; l реализация средствами защиты информации требований обеспечения информационной безопасности значи- мых объектов КИИ; l управление инцидентами информа- ционной безопасности на значимых объ- ектах КИИ; l разработка систем защиты информа- ции значимых объектов КИИ; l контроль обеспечения информацион- ной безопасности значимых объектов КИИ; l управление обеспечением информа- ционной безопасности значимых объ- ектов КИИ. Рассмотрение результатов категорирования для субъектов КИИ в области химической промышленности Информационным сообщением от 12.08.2024 № 240/83/2028 12 ФСТЭК России сообщает следующее. В части субъектов КИИ, осуществ- ляющих деятельность в области хими- ческой промышленности, являющихся федеральными органами исполнитель- ной власти, подведомственными им учреждениями, а также организациями, владеющими пятнадцатью и более объ- ектами КИИ, рассмотрение перечней объектов КИИ, подлежащих категори- рованию, и сведений о присвоении объ- ектам КИИ одной из категорий значи- мости либо неприсвоения им одной из таких категорий осуществляется цент- ральным аппаратом ФСТЭК России. В части субъектов КИИ, осуществ- ляющих деятельность в области хими- ческой промышленности, за исключе- нием указанных организаций, рассмот- рение перечней и сведений осуществ- ляется управлением ФСТЭК России по федеральному округу, на территории которого расположены указанные субъ- екты КИИ. Субъектам КИИ, осуществляющим деятельность в области химической про- мышленности, рекомендуется направ- лять перечни и сведения в центральный аппарат ФСТЭК России или управление ФСТЭК России по федеральному округу, на территории которого они расположе- ны, с учетом вышеизложенного. Перечень индикаторов риска нарушения обязательных требо- ваний при осуществлении госу- дарственного контроля за обра- боткой ПДн Приказ Минцифры России от 01.08.2024 № 682 "О внесении измене- ния в перечень индикаторов риска нару- шения обязательных требований при осуществлении федерального государст- венного контроля (надзора) за обработ- кой персональных данных, утвержден- ный приказом Министерства цифрового развития, связи и массовых коммуника- ций Российской Федерации от 15 ноября 2021 г. № 1187" 13 был официально опуб- ликован 19 августа 2024 г. Приказом Минцифры России от 01.08.2024 № 682 в перечень индика- торов риска нарушения обязательных требований при осуществлении госу- дарственного контроля (надзора) за обработкой персональных данных добавлено:"Установление контролирую- щим органом в течение календарного года двух и более фактов несоответствия правилам применения информационных технологий предоставления информации на основе сбора, систематизации и ана- лиза сведений, относящихся к предпоч- тениям пользователей информационно- телекоммуникационной сети "Интернет", находящихся на территории Российской Федерации, размещенным на информа- • 7 ПРАВО И НОРМАТИВЫ www.itsec.ru 10 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=149577 11 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=150021 1 2 https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii- ot-12-avgusta-2024-g-n-240-83-2028 13 http://publication.pravo.gov.ru/document/0001202408190003