Журнал "Information Security/ Информационная безопасность" #6, 2020

• 7 ПРАВО И НОРМАТИВЫ www.itsec.ru ществлении оперативно-розыскной дея- тельности" 13 (далее – законопроект). Законопроект дополняет меры по обес- печению безопасности персональных дан- ных, установленных Федеральным зако- ном от 27.07.2006 г. № 152-ФЗ "О персо- нальных данных", и включает в них меры по обнаружению, предупреждению и лик- видации последствий компьютерных атак на информационные системы персональ- ных данных и по реагированию на ком- пьютерные инциденты в них. ГОСТ Р ИСО/МЭК 19086-4–2020 В декабре был опубликован ГОСТ Р ИСО/МЭК 19086-4–2020 "Информацион- ные технологии. Облачные вычисления. Структура соглашения об уровне обслу- живания (SLA). Часть 4. Компоненты информационной безопасности и защиты персональных данных" 14 (далее – стандарт), который вступит в силу 1 июня 2021 г. Стандарт идентичен международному стандарту ISO/IEC 19086-4:2019 "Cloud computing – Service level agreement (SLA) framework – Part 4: Components of security and of protection of PII" и описывает ком- поненты обеспечения информационной безопасности и защиты персональных данных, а также целевые параметры уровня и качества обслуживания в согла- шениях об уровне обслуживания облач- ных служб (облачное SLA), включая соответствующие требования и реко- мендации. Стандарт предназначен для исполь- зования как поставщиками, так и потре- бителями облачных служб. Перечень угроз безопасности, рассматриваемых аккредитованным удостоверяющим центром С 1 января 2021 г. вступит в силу при- каз Минцифры России от 26.11.2020 г. № 624 "Об утверждении перечня угроз безопасности, актуальных при иденти- фикации заявителя – физического лица в аккредитованном удостоверяющем центре, выдаче квалифицированного сертификата без его личного присутствия с применением информационных техно- логий путем предоставления сведений из единой системы идентификации и аутентификации и единой информацион- ной системы персональных данных, обес- печивающей обработку, сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставлен- ным биометрическим персональным дан- ным гражданина Российской Федерации, а также хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре" 15 (далее – при- каз № 624). Приказ № 624 вводит перечень акту- альных угроз безопасности при иденти- фикации заявителя в аккредитованном удостоверяющем центре; выдаче ква- лифицированного сертификата без лич- ного присутствия заявителя; хранении и использовании ключа электронной под- писи в аккредитованном удостоверяю- щем центре. Требования к поручению владельца квалифицированного сертификата С 1 января 2021 г. вступит в силу приказ Минцифры России от 30.11.2020 г. № 643 "Об утверждении требований к форме указанного в пункте 1 части 2.2 статьи 15 Федерального закона от 6 апреля 2011 года № 63-ФЗ" 16 "Об элек- тронной подписи" поручения владельца квалифицированного сертификата, порядку передачи поручения владельца квалифицированного сертификата аккре- дитованному удостоверяющему центру, а также к правилам хранения указанного поручения" (далее – приказ № 643) 17 . Приказ № 643 определяет требования к поручению владельца квалифициро- ванного сертификата, а именно: требо- вания к форме поручения, порядку пере- дачи поручения аккредитованному удо- стоверяющему центру и правилам хра- нения поручения. Требования по защите информации, размещаемой в интеллектуальной системе учета Вспомним постановление Правитель- ства Российской Федерации от 19.06.2020 г. № 890 "О порядке предо- ставления доступа к минимальному набо- ру функций интеллектуальных систем учета электрической энергии (мощно- сти)" (далее – приказ № 890) 18 , которое содержит в себе требования по защите информации, размещенной в интеллек- туальной системе учета: 1. Принять организационные и техни- ческие меры, предусмотренные Феде- ральным законом от 27.07.2006 г. № 149 "Об информации, информационных тех- нологиях и о защите информации", Феде- ральным законом от 27.07.2006 г. № 15219 "О персональных данных" и Федеральным законом от 26.07.2017 г. № 187 "О безопасности критической информационной инфраструктуры Рос- сийской Федерации" 20 . 2. На основании модели угроз без- опасности информации определить потребность в применении средств крип- тографической защиты. 3. Обеспечить идентификацию и аутен- тификацию по логину и паролю в каждом из компонентов и элементов интеллек- туальной системы учета. 4. Принять меры по предотвращению неправомерного доступа к информации, ее уничтожения, модификации, блоки- рования, копирования, предоставления и распространения, а также иных непра- вомерных действий. 5. Не допустить воздействия на техни- ческие и программные средства обра- ботки информации, в результате кото- рого может быть нарушено и (или) пре- кращено функционирование интеллек- туальной системы учета. 6. Обеспечить резервирование инфор- мации и (или) технических средств обра- ботки информации, каналов связи. 7. Обеспечить контроль доступа поль- зователей к данным и операциям. 8. Обеспечить своевременное обна- ружение фактов несанкционированного доступа. 9. Применяемые средства защиты должны обеспечивать совместимость компонентов интеллектуальной системы учета, а также совместимость с интел- лектуальными системами учета пользо- вателей интеллектуальной системы учета при передаче информации. 10. Используемые программные, про- граммно-технические средства, приме- няемые для защиты компонентов интел- лектуальной системы учета, должны пройти оценку соответствия требованиям по безопасности информации в соот- ветствии с законодательством Россий- ской Федерации. 11. Протоколы обмена информацией в рамках функционирования интеллек- туальной системы учета должны обес- печивать выполнение требований по защите информации, предусмотренных приказом № 890. На основании определений терминов из Федерального закона от 27.12.2018 г. № 522 и постановления Правительства Российской Федерации от 04.05.2012 г. № 442 21 можно сделать вывод, что интеллектуальная система учета элек- троэнергии – это комплекс, состоящий из приборов учета, устройств удаленной передачи данных с таких приборов учета и устройств сбора таких данных (сервер или компьютер). Иными словами, это автоматизированная система коммер- ческого учета электроэнергии (АСКУЭ)/автоматизированная информа- ционно-измерительная система коммер- ческого учета электроэнергии (АИИС- КУЭ). Следовательно, описанные выше требования должны быть реализованы на АСКУЭ/АИИСКУЭ. l Ваше мнение и вопросы присылайте по адресу is@groteck.ru 13 https://sozd.duma.gov.ru/bill/1070431-7 14 http://protect.gost.ru/v.aspx?control=8&id=228880 15 http://publication.pravo.gov.ru/Document/View/0001202012220135 16 http://publication.pravo.gov.ru/Document/View/0001202012230044 17 http://www.consultant.ru/document/cons_doc_LAW_112701/ 18 http://publication.pravo.gov.ru/Document/View/0001202006230034 19 http://www.consultant.ru/document/cons_doc_LAW_61801/ 20 http://www.consultant.ru/document/cons_doc_LAW_220885/ 21 http://www.consultant.ru/document/cons_doc_LAW_314661/