Журнал "Information Security/ Информационная безопасность" #5, 2020

Государственные информационные системы 14 октября 2020 г. официально опуб- ликовано и вступило в силу постанов- ление Правительства Российской Федерации от 10.10.2020 г. № 1650 "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и выво- да из эксплуатации государственных информационных систем и дальней- шего хранения содержащейся в их базах данных информации" 1 (далее – ПП № 1650). ПП № 1650 вносит изме- нения в постановление Правительства РФ от 06.07.2015 г. № 676, в котором установлены требования к порядку реа- лизации мероприятий на этапах жиз- ненного цикла государственных инфор- мационных систем (ГИС), осуществ- ляемых федеральными органами исполнительной власти и органами исполнительной власти субъектов РФ. ПП № 1650 вводит следующие основ- ные изменения: 1. Введен этап концептуального архи- тектурного проектирования ГИС, пред- усматривающий разработку концепции, включающей в себя технико-экономическое обоснование реализации ГИС. В соответ- ствии с концепцией должно разрабаты- ваться техническое задание (ТЗ) на ГИС. 2. В случае если в соответствии с тех- нико-экономическим обоснованием объем требуемого федеральным орга- ном исполнительной власти финанси- рования на реализацию мероприятий для создания ГИС составляет более 100 млн руб., то ТЗ на ГИС необходимо согласовать с Минцифры России. 3. Сроки согласования моделей угроз безопасности информации и ТЗ на ГИС со ФСТЭК России, а также ТЗ на ГИС с Минцифры России (в случае необхо- димости) теперь не могут превышать 10 рабочих дней. 4. Установлены условия запрета ввода ГИС в эксплуатацию без надлежащего оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности. Новые требования к уровням доверия Информационным сообщением от 15 октября 2020 г. № 240/24/4268 2 ФСТЭК России уведомляет об утвер- ждении новой редакции Требований по безопасности информации, устанавли- вающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (далее – Требования к уровням доверия). С 1 января 2021 г. признается утра- тившей силу предыдущая версия Тре- бований к уровням доверия, установ- ленных приказом ФСТЭК России от 30.07.2018 г. № 131. Новая версия Тре- октябре 2020 г. были внесены изменения в требования к порядку реализации мероприятий на этапах жизненного цикла государственных информационных систем, а ФСТЭК России сообщила об изменениях в требованиях к уровням доверия для сертификации средств защиты информации. До конца ноября можно принять участие в общественном обсуждении нормативных актов, которые опубликовало Минцифры России, их содержание касается импортозамещения для объектов критической информационной инфраструктуры. В этом обзоре рассмотрим нормотворческую деятельность Банка России в области защиты информации. В Октябрь-2020 1 http://publication.pravo.gov.ru/Document/View/0001202010140044 2 https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2124-informatsionnoe-soobshchenie-fstek-rossii-ot- 15-oktyabrya-2020-g-n-240-24-4268 объектов КИИ. Не встроенные в обще- системное и прикладное ПО СрЗИ, оцен- ка соответствия которых проводится в форме испытаний или приемки, допол- нительно должны будут соответствовать шестому или более высокому уровню доверия. Таким образом, в действующей редак- ции приказа ФСТЭК России № 239 оценку соответствия СрЗИ необходимо проводить только по тем требованиям к функциям безопасности, которые были установлены в ТЗ на создание значимого объекта КИИ и/или ТЗ (частное ТЗ) на создание подсистемы безопасности значимого объекта КИИ. Для СрЗИ, пла- нируемых к внедрению в рамках созда- ния (модернизации или реконструкции, ремонта) значимых объектов КИИ, после 1 января 2023 г., кроме описанной выше оценки соответствия, необходимо будет проводить оценку соответствия по шестому или более высокому уровню доверия. Прикладное ПО значимых объектов КИИ с января 2023 г. должно будет соответствовать требованиям: l по безопасной разработке ПО; l к испытаниям по выявлению уязвимо- стей в ПО; l к поддержке безопасности ПО. Подключение значимых объектов КИИ к сетям связи общего пользования Следом, 15 сентября 2020 г., был официально опубликован приказ ФСТЭК России от 28.05.2020 г. № 75 "Об утверждении Порядка согласования субъектом критической информацион- ной инфраструктуры Российской Феде- рации с Федеральной службой по тех- ническому и экспортному контролю подключения значимого объекта кри- тической информационной инфраструк- туры Российской Федерации к сети связи общего пользования" 8 (далее – Порядок). Порядок вступил в силу 26 сентября 2020 г. и устанавливает процедуру согла- сования со ФСТЭК России подключения значимых объектов КИИ к сети связи общего пользования. При этом, если значимый объект КИИ с подключением к сети связи общего пользования уже был внесен в реестр значимых объектов КИИ с соответствующей информацией до 26 сентября 2020 г., согласование со ФСТЭК России не нужно. Для согласования необходимо будет также предоставить во ФСТЭК России: l копии моделей угроз безопасности информации значимого объекта КИИ; l копии протоколов испытаний, содер- жащих результаты оценки соответствия СрЗИ (для СрЗИ, прошедших оценку соответствия в форме испытаний, при- емки); l схему организации связи (в случае предоставления оператором связи субъекту КИИ цифровых каналов связи). 6 • ПРАВО И НОРМАТИВЫ 8 http://publication.pravo.gov.ru/Document/View/0001202009150068