Куда смотрит регуляторный вектор
В рамках «SOC-Форум 2022: Практика противодействия кибератакам и построения центров мониторинга ИБ» состоялся регуляторный трек, где представители различных ведомств и организаций рассказали об актуальных направлениях развития регуляторной деятельности.
В сессии приняли участие представитель НКЦКИ Андрей Раевский, начальник управления ФСТЭК России Елена Торбенко, директор департамента экономической безопасности в ТЭК Минэнерго России Антон Семейкин, заместитель директора департамента информационной безопасности Банка России Андрей Выборнов, заместитель директора департамента обеспечения кибербезопасности, Минцифры России Айсалу Бадягина.
Развитие нормативно-правовой базы по линии ГосСОПКА
Андрей Раевский, представитель НКЦКИ, рассказал о векторах развития нормативной правовой базы по линии ГосСОПКА. Он подчеркнул, что речь идет именно о векторах развития, а не уже утвержденных нормативно-правовых актах, это проекты документов, которые должны быть изданы в свете как Федерального закона «О персональных данных», так и указа президента от 1 мая 2022 года № 250.
Эксперт выделил три основных направления развития, по которым сейчас ведется работа. Первое – это изменения в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Второе — это издание указа президента от 1 мая 2022 года № 250 «О дополнительных мерах по информационной безопасности». Третье — это шаги по реализации указа президента от 1 мая 2022 года № 250 «О дополнительных мерах по информационной безопасности».
Он рассказал об изменениях в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Так, статья 19 дополнилась информацией про обязанность оператора в порядке определенном ФСБ России обеспечивать взаимодействие с ГосСОПКА, включая информирование о критических инцидентах (КИ), повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
Приказом ФСБ России должен быть определен порядок такого взаимодействия.
«Мы предполагаем, что будет определен следующий порядок взаимодействия операторов ИСПДн и ГосСОПКА. Операторы ИСПДн обязаны передавать информацию о КИ в НКЦКИ. Мы прописываем в проекте приказа два варианта взаимодействия, — рассказал Андрей Раевский.
Первый вариант — это когда операторы ИСПДн заключат соглашение регламент с ФСБ либо с НКЦКИ и будут передавать информацию о компьютерном инциденте в течение 3-х часов. Подтверждением того, что НКЦКИ принял информацию о КИ, является идентификатор, который присваивается НКЦКИ и направляется по тем же каналам взаимодействия, которые прописаны в регламенте, оператору. Операторы могут фиксировать, запоминать, включать в свои базы этот идентификатор.
Второй вариант взаимодействия — это когда оператор не имеет соглашения/регламента с ФСБ либо с НКЦКИ. В этом случае предполагается, что оператор будет заполнять форму, которая уже сформирована на сайте Роскомнадзора и далее эта информация будет поступать в НКЦКИ.
«Мы будем информировать Роскомнадзор о поступившей в наш адрес информации», — отметил эксперт.
НКЦКИ будет иметь право в случае необходимости направлять запросы операторам персональных данных для того, чтобы если есть вопросы в отношении компьютерного инцидента, иметь возможность получить ответ в течение 24 часов.
«Следующее наше направление работы — это указ президента от 1 мая 2022 года № 250 о дополнительных мерах по информационной безопасности.
Напомню, что согласно указу на руководителя органа (организации) возлагаются полномочия по обеспечению ИБ. Также в органе (организации) создается структурное подразделение, осуществляющее функции по обеспечению ИБ.
Отмечу, что в связи с Указом вышло постановление правительства 1272 о типовом положении такого руководителя и типовое положение о таком структурном подразделении, где прописано, что руководитель обязан осуществлять мероприятия по обнаружению, предупреждению, ликвидации компьютерных атак и реагированию на компьютерные инциденты», — сказал Андрей Равский.
В рамках Указа президента РФ № 250 от ФСБ России требуется следующее. Во-первых, определит переходный период взаимодействия с НКЦКИ на основе соотношений/регламентов. Во-вторых, организовать аккредитацию центров ГосСОПКА. В-третьих, определить порядок осуществления мониторинга защищенности информационных систем.
Вопросы категорирования по-прежнему актуальны
Начальник управления ФСТЭК России Елена Торбенко в своем выступлении обратила внимание аудитории, что хотя законодательство действует с 2018 года, у большинства компаний вопросы, к сожалению, остались на уровне начала реализации законодательства.
Даже сейчас от тех, кто не первый год живет в поле безопасности, раздаются вопросы о том, как провести категорирование, говорит Елена Торбенко.
«Мы ожидали немного другого, особенно учитывая то, что с начала этого года количество атак увеличивается, опасность повышается, подкованность злоумышленника, который атакует системы, растет», — подчеркнула она
Эксперт акцентировала внимание, что «в вопросах категорирования 127-ое постановление определяет правила игры».
«У некоторых регуляторов есть методические рекомендации, как проводить категорирование, с рядом регуляторов мы работаем, в ближайшее время появятся такие документы», — отметила спикер.
Основной вопрос — нужно ли согласовывать перечень объектов, подлежащих категорированию с регулятором? «Только в части подведомственности, — ответила начальник управления ФСТЭК России. — Если вы ФГУП (казенное учреждение), т. е. в своей хозяйственной деятельности зависите от органа власти (федерального либо регионального), вы согласовываете (перечень – прим. ред.). Если вы микрофинансовая организация или завод (акционерное общество), например, то если регулятор в вашей области, в данном случае Центробанк и Минпромторг, не установил такой потребности и согласования перечня, то перечень объектов, подлежащих категорированию не подлежит обязательному согласованию с таким регулятором».
Елена Торбенко также рассказала о выявленных типовых нарушениях и основных мерах по обеспечению безопасности значимых объектов КИИ, а также мерах безопасности периметра.
Вопрос — в качестве реализации требований
Заместитель директора департамента информационной безопасности Банка России Андрей Выборнов выступил с докладом «Особенности развития нормативно-правовой базы в области обеспечения информационной безопасности объектов КИИ в кредитно-финансовой сфере».
«Исходя из требования ФЗ №187, вся наша отрасль является субъектами КИИ, независимо от их размеров, масштабов бизнеса и т.д. Поэтому мы, как регулятор, находимся в эпицентре этой тематики, — отметил он. — Банк России активно занимался вопросами регулирования, было издано большое число нормативных актов по вопросам защиты информации, операционной надежности. И в целом, если говорить о регуляторной деятельности, как нам кажется, мы охватили все области и новых глобальных требований, которые нам нужно было бы издать, пока нет. Тем не менее, возникают вопросы о качестве реализации этих требований и вовлеченности менеджмента и руководства наших поднадзорных организаций в реализации этих процессов».
.jpg)
