Журнал "Information Security/ Информационная безопасность" #6, 2023

8 • ПРАВО И НОРМАТИВЫ l разработка, совместно с органами вла- сти и организациями, процессов управ- ления технической защитой информации и обеспечением безопасности ЗОКИИ, учитывающих отраслевую специфику дан- ных объектов (за исключением процессов обнаружения, предупреждения и ликви- дации последствий компьютерных атак на информационные ресурсы РФ), и орга- низация внедрения этих процессов; l организация взаимодействия органов власти и организаций при реализации ими мер по повышению уровня техниче- ской защищенности информации и обес- печения безопасности ЗОКИИ; l организация и проведение оценки эффективности деятельности органов власти и организаций по технической защите информации и обеспечению без- опасности ЗОКИИ. Аккредитация органов по сертификации и испытательных лабораторий Приказ ФСТЭК России от 27.07.2023 №148 "О внесении изменений в Правила выполнения отдельных работ по аккре- дитации органов по сертификации и испы- тательных лабораторий, выполняющих работы по оценке (подтверждению) соот- ветствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государствен- ную тайну или относимых к охраняемой в соответствии с законодательством Рос- сийской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой состав- ляют государственную тайну, в установ- ленной ФСТЭК России сфере деятель- ности, утвержденные приказом ФСТЭК России от 10 апреля 2015 г. № 33" 7 офи- циально опубликован 23 ноября 2023 г. В частности, приказ ФСТЭК России от 27.07.2023 № 148 уточняет и расши- ряет перечень областей аккредитации в правилах аккредитации для организа- ций, выполняющих работы по оценке (подтверждению) соответствия требо- ваниям по безопасности информации продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законо- дательством Российской Федерации иной информации ограниченного досту- па, и продукции (работ, услуг), сведения о которой составляют государственную тайну, следующими пунктами: l сертификация средств противодей- ствия иностранным техническим раз- ведкам и средств контроля эффектив- ности противодействия иностранным техническим разведкам; l сертификация средств защиты информации (СрЗИ) от утечки по техни- ческим каналам и контроля эффектив- ности защиты информации от утечки по техническим каналам; l сертификация СрЗИ от несанкциони- рованного доступа (НСД) и средств конт- роля эффективности защиты информа- ции от НСД; l сертификация средств обеспечения безопасности информационных техно- логий, включая защищенные средства обработки информации; l сертификация процессов безопасной разработки программного СрЗИ. С 1 марта 2025 г. вступят в силу сле- дующие два положения приказа ФСТЭК России от 27.07.2023 № 148: 1. Исключаются требования к срокам обучения по программам профессио- нальной переподготовки по направлению "Информационная безопасность" для руководителя аккредитованного лица и работников, участвующих в проведе- нии работ по оценке (подтверждению) соответствия продукции, имеющих выс- шее образование, отличное от направ- ления подготовки "Информационная без- опасность". 2. В программу оценки соответствия заявителя критериям аккредитации будет включена проверка наличия сви- детельств об аттестации в заявленной области аккредитации у работников заявителя, выполняющих работы по оценке (подтверждению) соответствия продукции. Аттестация работников органов по сертификации и испытательных лабораторий Приказ ФСТЭК России от 27.07.2023 № 147 "Об утверждении Порядка аттеста- ции работников органов по сертификации и испытательных лабораторий, выполняю- щих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защи- ты сведений, составляющих государст- венную тайну или относимых к охраняемой в соответствии с законодательством Рос- сийской Федерации иной информации ограниченного доступа" 8 также был офи- циально опубликован 23 ноября  2023 г. Приказ ФСТЭК России от 27.07.2023 № 147 вступает в силу с 1 сентября 2024 г. Аттестация работников органов по сертификации и испытательных лабо- раторий проводится в целях оценки уровня знаний экспертов и их способно- сти выполнять работы по оценке (под- тверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законо- дательством РФ иной информации ограниченного доступа, в определенной области аккредитации в установленной ФСТЭК России сфере деятельности. Аттестация экспертов проводится ФСТЭК России в форме тестирования и решения практических задач. В случае принятия решения об аттестации экс- перта ФСТЭК России оформляет или переоформляет (в случае расширения области аккредитации) свидетельство об аттестации эксперта. Госконтроль за обеспечением защиты ГТ Постановление Правительства Рос- сийской Федерации от 26.10.2023 № 1784 "Об утверждении Правил осу- ществления федерального государст- венного контроля за обеспечением защиты государственной тайны" 9 офи- циально опубликовано 3 ноября 2023 г. ПП РФ № 1784 вступает в силу по истечении шести месяцев со дня его официального опубликования и признает утратившим силу постановление Пра- вительства Российской Федерации от 22 ноября 2012 г. № 1205 "Об утвержде- нии Правил организации и осуществле- ния федерального государственного контроля за обеспечением защиты госу- дарственной тайны". Органами госу- дарственного контроля являются ФСБ Росси, Служба внешней разведки Рос- сийской Федерации, ФСТЭК России, Минобороны России (в пределах их ком- петенции). Государственному контролю подлежат предприятия, учреждения и организации независимо от форм собственности, которые проводят работы, связанные с использованием сведений, составляю- щих государственную тайну (ГТ), а также осуществляют хранение носителей све- дений, составляющих ГТ. Государственный контроль проводится органами государственного контроля в форме плановых или внеплановых выездных проверок в отношении пред- приятий, учреждений, организаций, их филиалов, представительств, обособлен- ных структурных подразделений по месту (местам) их фактического нахождения. Методические рекомендации Банка России Методические рекомендации по уста- новлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связан- ных с осуществлением перевода денеж- ных средств без согласия клиента, а также установлению пороговых значе- ний и расчету фактических значений ключевых индикаторов риска информа- ционной безопасности утверждены Бан- ком России от 30.11.2023 № 17-МР 10 . 7 http://publication.pravo.gov.ru/document/0001202311230019?index=1 8 http://publication.pravo.gov.ru/document/0001202311230015 9 http://publication.pravo.gov.ru/document/0001202311030043?index=1 10 https://cbr.ru/Crosscut/LawActs/File/6554