18 ноября, 2022

Куда смотрит регуляторный вектор

В рамках «SOC-Форум 2022: Практика противодействия кибератакам и построения центров мониторинга ИБ» состоялся регуляторный трек, где представители различных ведомств и организаций рассказали об актуальных направлениях развития регуляторной деятельности. 

В сессии приняли участие представитель НКЦКИ Андрей Раевский, начальник управления ФСТЭК России Елена Торбенко, директор департамента экономической безопасности в ТЭК Минэнерго России Антон Семейкин, заместитель директора департамента информационной безопасности Банка России Андрей Выборнов, заместитель директора департамента обеспечения кибербезопасности, Минцифры России Айсалу Бадягина. 

 

Развитие нормативно-правовой базы по линии ГосСОПКА

Андрей Раевский, представитель НКЦКИ, рассказал о векторах развития нормативной правовой базы по линии ГосСОПКА. Он подчеркнул, что речь идет именно о векторах развития, а не уже утвержденных нормативно-правовых актах, это проекты документов, которые должны быть изданы в свете как Федерального закона «О персональных данных», так и указа президента от 1 мая 2022 года № 250.

Эксперт выделил три основных направления развития, по которым сейчас ведется работа. Первое – это изменения в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Второе — это издание указа президента от 1 мая 2022 года № 250 «О дополнительных мерах по информационной безопасности». Третье — это шаги по реализации указа президента от 1 мая 2022 года № 250 «О дополнительных мерах по информационной безопасности».

Он рассказал об изменениях в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Так, статья 19 дополнилась информацией про обязанность оператора в порядке определенном ФСБ России обеспечивать взаимодействие с ГосСОПКА, включая информирование о критических инцидентах (КИ), повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

Приказом ФСБ России должен быть определен порядок такого взаимодействия.

«Мы предполагаем, что будет определен следующий порядок взаимодействия операторов ИСПДн и ГосСОПКА. Операторы ИСПДн обязаны передавать информацию о КИ в НКЦКИ. Мы прописываем в проекте приказа два варианта взаимодействия, — рассказал Андрей Раевский.

Первый вариант — это когда операторы ИСПДн заключат соглашение регламент с ФСБ либо с НКЦКИ и будут передавать информацию о компьютерном инциденте в течение 3-х часов. Подтверждением того, что НКЦКИ принял информацию о КИ, является идентификатор, который присваивается НКЦКИ и направляется по тем же каналам взаимодействия, которые прописаны в регламенте, оператору. Операторы могут фиксировать, запоминать, включать в свои базы этот идентификатор.

Второй вариант взаимодействия — это когда оператор не имеет соглашения/регламента с ФСБ либо с НКЦКИ. В этом случае предполагается, что оператор будет заполнять форму, которая уже сформирована на сайте Роскомнадзора и далее эта информация будет поступать в НКЦКИ.

«Мы будем информировать Роскомнадзор о поступившей в наш адрес информации», — отметил эксперт.

НКЦКИ будет иметь право в случае необходимости направлять запросы операторам персональных данных для того, чтобы если есть вопросы в отношении компьютерного инцидента, иметь возможность получить ответ в течение 24 часов.

«Следующее наше направление работы — это указ президента от 1 мая 2022 года № 250 о дополнительных мерах по информационной безопасности.

Напомню, что согласно указу на руководителя органа (организации) возлагаются полномочия по обеспечению ИБ. Также в органе (организации) создается структурное подразделение, осуществляющее функции по обеспечению ИБ.

Отмечу, что в связи с Указом вышло постановление правительства 1272 о типовом положении такого руководителя и типовое положение о таком структурном подразделении, где прописано, что руководитель обязан осуществлять мероприятия по обнаружению, предупреждению, ликвидации компьютерных атак и реагированию на компьютерные инциденты», — сказал Андрей Равский.

В рамках Указа президента РФ № 250 от ФСБ России требуется следующее. Во-первых, определит переходный период взаимодействия с НКЦКИ на основе соотношений/регламентов. Во-вторых, организовать аккредитацию центров ГосСОПКА. В-третьих, определить порядок осуществления мониторинга защищенности информационных систем.

 

Вопросы категорирования по-прежнему актуальны

Начальник управления ФСТЭК России Елена Торбенко в своем выступлении обратила внимание аудитории, что хотя законодательство действует с 2018 года, у большинства компаний вопросы, к сожалению, остались на уровне начала реализации законодательства. 

Даже сейчас от тех, кто не первый год живет в поле безопасности, раздаются вопросы о том, как провести категорирование, говорит Елена Торбенко.

«Мы ожидали немного другого, особенно учитывая то, что с начала этого года количество атак увеличивается, опасность повышается, подкованность злоумышленника, который атакует системы, растет», — подчеркнула она

Эксперт акцентировала внимание, что «в вопросах категорирования 127-ое постановление определяет правила игры». 

«У некоторых регуляторов есть методические рекомендации, как проводить категорирование, с рядом регуляторов мы работаем, в ближайшее время появятся такие документы», — отметила спикер.

Основной вопрос — нужно ли согласовывать перечень объектов, подлежащих категорированию с регулятором? «Только в части подведомственности, — ответила начальник управления ФСТЭК России. — Если вы ФГУП (казенное учреждение), т. е. в своей хозяйственной деятельности зависите от органа власти (федерального либо регионального), вы согласовываете (перечень – прим. ред.). Если вы микрофинансовая организация или завод (акционерное общество), например, то если регулятор в вашей области, в данном случае Центробанк и Минпромторг, не установил такой потребности и согласования перечня, то перечень объектов, подлежащих категорированию не подлежит обязательному согласованию с таким регулятором».

Елена Торбенко также рассказала о выявленных типовых нарушениях и основных мерах по обеспечению безопасности значимых объектов КИИ, а также мерах безопасности периметра.

 

Вопрос — в качестве реализации требований

Заместитель директора департамента информационной безопасности Банка России Андрей Выборнов выступил с докладом «Особенности развития нормативно-правовой базы в области обеспечения информационной безопасности объектов КИИ в кредитно-финансовой сфере».

«Исходя из требования ФЗ №187, вся наша отрасль является субъектами КИИ, независимо от их размеров, масштабов бизнеса и т.д. Поэтому мы, как регулятор, находимся в эпицентре этой тематики, — отметил он. — Банк России активно занимался вопросами регулирования, было издано большое число нормативных актов по вопросам защиты информации, операционной надежности. И в целом, если говорить о регуляторной деятельности, как нам кажется, мы охватили все области и новых глобальных требований, которые нам нужно было бы издать, пока нет. Тем не менее, возникают вопросы о качестве реализации этих требований и вовлеченности менеджмента и руководства наших поднадзорных организаций в реализации этих процессов».

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.03.2024
Банки будут строже следить за криптотранзакциями, связанными с дропперами
01.03.2024
Холода прошли, но голос берегите — скамеры усиленно собирают слепки
01.03.2024
Лишение банковской лицензии — это ещё не всё
01.03.2024
«Они подобны смартфонам на колёсах». В США проверят «умные» авто из Китая
01.03.2024
Набиуллина: Дважды «красные» клиенты будут исключаться из реестра
01.03.2024
Банк России усовершенствует платформу цифрового рубля
01.03.2024
Организации здравоохранения США стали жертвами массовых кибератак
29.02.2024
«ИнфоТеКС» — о проблемах стандартизации ИБ
29.02.2024
Почему нормативные акты выполняются формально
29.02.2024
Почему затянулся переход на российские решения

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных