Начинаем год с новых требований законодательства

Применение требований Положений Банка России № 683-П и № 684-П

С 1 января 2020 г. вступил в силу п. 4 Положения Банка России № 683-П¹, согласно которому кредитные организации в ряде случаев должны применять программное обеспечение, сертифицированное ФСТЭК России, или в отношении которого проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже, чем ОУД 4 по ГОСТ 15408-2–2013². В связи с этим Банк России 31.12.2019 опубликовал информационное письмо № ИН-014-56/105 о неприменении мер к кредитным организациям при реализации отдельных требований Положения Банка России № 683-П. Данным информационным письмом Банк России сообщил, что применять к кредитным организациям меры за несоблюдение требований 4 Положения Банка России № 683-П начнут с 1 июля 2020 г.

Для некредитных финансовых организаций Банком России 31.12.2019 было опубликовано информационное письмо № ИН-014-56/106 о реализации некредитными финансовыми организациями требований Положения Банка России № 684-П³, в котором Банк России сообщил, что с 1 июля 2020 г. начнут применять к некредитным финансовым организациям меры за несоблюдение требований, установленных Положением Банка России № 684-П, в части:

• используемого некредитной финансовой организацией программного обеспечения и приложений (п. 9 Положения Банка России № 684-П);
• способов подписания некредитной финансовой организацией (ее уполномоченными лицами) электронных сообщений (п. 10 Положения Банка России № 684-П);
• технологии обработки защищаемой информации, указанной в абзацах 2–4 п. 1 Положения № 684-П (п. 11 Положения Банка России № 684-П).

Информационным письмом от 30.01.2020 № ИН-014-56/4 Банк России также дает пояснения к применению пп. 5.1 п. 5 Положения Банка России № 683-П и п. 10 Положения Банка России № 684-П. Согласно упомянутым выше пунктам кредитные организации и некредитные финансовые организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом. Банк России разъясняет, что для целей выполнения описанных требований можно использовать подписание простой электронной подписью или усиленной неквалифицированной электронной подписью, но рекомендуется отражать такое использование в договорах с клиентами.

КоАП и КИИ

В январе ФСТЭК России опубликовала доработанный по итогам обсуждения проект федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры (КИИ) Российской Федерации"⁴ (далее – Проект).

Суммы административных штрафов, предлагаемые Проектом, приведены в табл. 1.

Однако по итогам экспертизы была получена отрицательная оценка регулирующего воздействия Проекта. При этом Минэкономразвития России отмечает, что наличие проблемы и целесообразность ее решения с помощью регулирования, предусмотренного Проектом, обоснованы.

Прекращение поддержки и выпуска обновлений для ОС Windows 7 и Windows Server 2008

21 января 2020 г. ФСТЭК России опубликовала информационное сообщение "О применении сертифицированных операционных систем (ОС) Microsoft Windows 7 и Microsoft Windows Server 2008 R2" в связи с прекращением их технической поддержки от 20 января 2020 г. № 240/24/250⁵.

Компанией Microsoft с 14 января 2020 г. прекращена поддержка и выпуск обновлений для ОС Windows 7 и Windows Server 2008 R2, на основании чего ФСТЭК России прекратила действие сертификатов соответствия № 2180/1 на ОС Microsoft Windows 7 (SP1) в редакциях: "Профессиональная", "Корпоративная" и "Максимальная", и № 2181/1 на ОС Microsoft Windows Server 2008 R2 (SP1) в редакциях: Standard, Enterprise и Datacenter. Ввиду возможности обнаружения новых уязвимостей в указанных ОС отсутствие их обновлений производителем может привести к вероятной реализации угроз безопасности информации.

Органам государственной власти и организациям, использующим сертифицированные версии, рекомендуется до 1 июня 2020 г. перейти на ОС, поддерживаемые производителем, а до момента перехода применять перечень компенсирующих мер по защите информации, указанный в информационном письме ФСТЭК России.

Стоит отметить, что в действующей редакции приказа ФСТЭК России от 25.12.2017 № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" установлено требование об обязательном применении в значимом объекте КИИ только программных средств, обеспеченных гарантийной и (или) технической поддержкой.

Сертификация средств защиты информации по требованиям безопасности для обработки информации, составляющей государственную тайну

22 января 2020 г. ФСБ России опубликован проект приказа "Об утверждении Положения о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (далее – Положение о системе сертификации СЗИ-ГТ), и Перечня средств защиты информации, подлежащих сертификации в системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну"⁶.

Действующая на данный момент система сертификации СЗИ-ГТ была утверждена еще в 1999 г. приказом ФСБ России от 13.11.1999 № 564 "Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия".

Проект Положения о системе сертификации СЗИ-ГТ распространяется на ее участников:

• юридических лиц, аккредитованных ФСБ России в качестве органа по сертификации;
• юридических лиц, аккредитованных ФСБ России в качестве испытательной лаборатории (центра);
• юридических лиц – лицензиатов ФСБ России, разрабатывающих и производящих средства защиты информации;
• юридических лиц, органов и организаций – заявителей на осуществление сертификации средств защиты информации.

Также проектом Положения о системе сертификации СЗИ-ГТ предлагается установить, что сертификации подлежат только средства, разработанные и произведенные российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц. Хотя в действующем положении определено, что органы по сертификации системы сертификации СЗИ-ГТ могут проводить сертификацию СЗИ, используемых при работе со сведениями, составляющими государственную тайну, в том числе иностранного производства.

В феврале 2020 г. ФСТЭК России опубликовала для общественных обсуждений проект изменений требований по обеспечению безопасности значимых объектов КИИ, в котором, в частности, затрагиваются модернизация значимых объектов КИИ и сертификация средств защиты информации.

6 февраля 2020 г. опубликован проект приказа ФСТЭК России "О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 года. № 239"⁷ (далее – Проект). Общественные обсуждения проходили до 20 февраля 2020 г.

В Проекте предлагается дать расшифровку термина "модернизация". При этом не совсем понятно, почему "модернизацией является изменение архитектуры подсистемы безопасности", так как в текущей редакции приказа ФСТЭК России от 25.12.2017 № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" (далее – приказ № 239) модернизация касается непосредственно самого значимого объекта КИИ, т.е. всех его подсистем.

Согласно приказу № 239 для обеспечения безопасности значимых объектов КИИ должны использоваться сертифицированные средства защиты информации (СЗИ) или СЗИ, прошедшие оценку на соответствие требованиям в форме испытаний или приемки. Проектом приказа предлагается регламентировать процесс испытаний (приемки) и установить обязательное соответствие СЗИ пятому или более высокому уровню доверия. При этом по решению субъекта КИИ испытания (приемка) могут проводиться им самостоятельно или с привлечением организаций, имеющих лицензии на деятельность в области защиты информации. Следует также отметить, что Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, (утв. приказом ФСТЭК России от 30 июля 2018 г. № 131) носят гриф "Для служебного пользования". Предполагается, что все требования касательно приемки (испытаний) СЗИ вступят в силу с 1 января 2023 г.

По приказу № 239 удаленный доступ непосредственно (напрямую) к средствам значимых объектов КИИ для обновления или управления лицам, которые не являются работниками субъекта КИИ, запрещен. Проектом предлагается скорректировать область действия этого требования и запретить удаленный доступ только для лиц, являющихся работниками зарубежных организаций, а также организаций, находящих под прямым или косвенным контролем иностранных физических и (или) юридических лиц.

В п. 10 Проекта запрещается техническая поддержка средств, в том числе СЗИ, применяемых в значимом объекте КИИ, зарубежными организациями, а также организациями, находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц. По мнению ряда экспертов, это означает неизбежный переход к использованию отечественного программного обеспечения в значимых объектах КИИ.

Нововведениями Проекта являются:

• предъявление к прикладному программному обеспечению объектов КИИ требований по безопасной разработке (что, в свою очередь, подтверждает тезис о том, что нововведениями делается акцент на использовании отечественных разработок);
• выявление уязвимостей и недекларированных возможностей;
• требование, что входящие в состав объектов КИИ второй категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации. В действующей редакции приказа № 239 данное требование предъявляется только к объектам КИИ первой категории значимости.