Какие законы, направленные на укрепление защиты КИИ, вышли в 2023 году?

Указ Президента РФ №82 от 11.02.2023 «О внесении изменения в состав Межведомственной комиссии Совбеза РФ по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ РФ по должностям, утвержденный Указом Президента РФ от 14 апреля 2022 г. № 203».

Комментарий эксперта: в состав Межведомственной комиссии Совета Безопасности по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ дополнительно включен президент Национального исследовательского центра «Курчатовский институт».

Приказ Минцифры России №21 от 18.01.2023 «Об утверждении Методических рекомендаций по переходу на использование российского программного обеспечения, в том числе на значимых объектах КИИ РФ, и о реализации мер, направленных на ускоренный переход органов госвласти и организаций на использование российского программного обеспечения (далее — ПО) в РФ».

Комментарий эксперта: документ определяет набор методических рекомендаций, нацеленных на ускорение перехода государственных органов и организаций к использованию российского ПО. Приказ поддерживает стратегию технологической независимости страны и содержит конкретные шаги и рекомендации, как эффективно осуществить этот переход, обеспечивая при этом необходимый уровень информационной безопасности и стабильность работы ключевых информационных систем.

Приказ Минпромторга России №722 от 06.03.2023 «Об утверждении отраслевого плана мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юрлиц» (за исключением организаций с муниципальным участием), к преимущественному использованию российского ПО, в том числе в составе программно-аппаратных комплексов (далее – ПАК), на принадлежащих им значимых объектах КИИ РФ, которые функционируют в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии».

Комментарий эксперта: составлен отраслевой план мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с требованиями 223-ФЗ (за исключением организаций с муниципальным участием) к преимущественному использованию российского ПО, в том числе в составе ПАК, на принадлежащих им значимых объектах КИИ.

Приказ ФСТЭК России №44 от 07.03.2023 «Об утверждении требований по безопасности информации к многофункциональным межсетевым экранам уровня сети».

Комментарий эксперта: документ определяет новые требования к безопасности межсетевых экранов (далее — МЭ), которые используются для защиты сетей важных объектов инфраструктуры. В зависимости от важности объекта, МЭ должны соответствовать разным уровням защиты: менее защищенные (6 класс) применяются для наименее критических объектов (3 категории значимости). Более строгие требования 5 и 4 классы — для объектов средней (2 категории) и высокой значимости (1 категории) соответственно. Это помогает обеспечить нужный уровень безопасности, пропорциональный значимости и потенциальному риску для каждого объекта.

Приказ ФСТЭК России №64 от 14.04.2023 «Об утверждении требований по безопасности информации к системам управления базами данных».

Комментарий эксперта: системы управления базами данных (далее — СУБД) разделены на три уровня защиты в зависимости от важности объекта, которым они управляют. Самый высокий уровень защиты (6 класс) требуется для систем, управляющих данными наиболее критически важных объектов (1 категория). Системы со средним уровнем защиты (5 класс) используются для объектов средней значимости (2 категория), а базовый уровень защиты (4 класс) — для объектов с наименьшей критичностью (3 категория значимости). Это обеспечивает адекватную защиту информации согласно степени её важности и потенциального риска.

Приказ ФСТЭК России №69 от 20.04.2023 «О внесении изменений в требования к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21 декабря 2017 г. № 235».

Комментарий эксперта: скорректированы формулировки при упоминании лиц, ответственных за обеспечение информационной безопасности, а также скорректированы требования к специалистам структурного подразделения по безопасности. Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области информационной безопасности, что расширяет пул доступных кадров. Приказ также вводит дополнительные меры, которые должны быть реализованы, если техническая поддержка со стороны производителя средств защиты информации окажется недоступной.

Приказ ФСБ России №213 от 11.05.2023 «Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов РФ, госфондам, госкорпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществами системообразующим организациям российской экономики, юрлицам, являющимся субъектами КИИ РФ либо используемых ими».

Комментарий эксперта: ФСБ России установила порядок проведения мониторинга защищенности информационных ресурсов (в том числе субъектов КИИ).

Методика ФСТЭК России от 17.05.2023 «Руководство по организации процесса управления уязвимостями в органе (организации)».

Комментарий эксперта: определены состав и содержание работ по анализу и устранению уязвимостей, выявленных в программных, программно-аппаратных средствах, информационных системах органов и организаций. Обозначены этапы управления уязвимостями.

Приказ Минпромторга России №1981 от 31.05.2023 «Об утверждении Порядка проведения в отношении субъектов КИИ РФ, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ утвержденных постановлением Правительства РФ от 8 февраля 2018 г. № 127, и установлении критериев определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 8 февраля 2018 г. № 127».

Комментарий эксперта: в отношении субъектов КИИ в области оборонной, металлургической и химической промышленности проводится оценка актуальности и достоверности определенных сведений. Минпромторг установил порядок проведения оценки и критерии определения организаций, привлекаемых к оценке. Создается рабочая группа, включающая представителей Минпромторга и (или) представителей отраслевого центра компетенций по информационной безопасности в промышленности, образованного на базе подведомственной Министерству организации, включенной в перечень юрлиц, привлекаемых к оценке.

Федеральный закон №214 от 13.06.2023 «О внесении изменения в статью 104-1 Уголовного кодекса Российской Федерации».

Комментарий эксперта: закон вносит изменение в статью 104-1 УК РФ, расширяя меры ответственности за киберпреступления. Теперь за преступления, связанные с неправомерным доступом к компьютерной информации (ч. 2-4 ст.272), созданием и распространением вредоносных программ (ст. 273), нарушением правил эксплуатации информационных сетей (ч.2 ст.274), а также за неправомерное воздействие на критическую информационную инфраструктуру (ст. 274.1), предусмотрена конфискация имущества. Это означает, что виновные в таких деяниях могут лишиться не только денег, но и других ценностей, что усиливает сдерживающий эффект закона.

Федеральный закон №243 от 13.06.2023 «О внесении изменений в Федеральный закон «О Банке России».

Комментарий эксперта: документ вносит изменения в закон о Банке России, требуя от кредитных и некредитных финансовых организаций переходить на российское программное обеспечение, радиоэлектронную продукцию и телекоммуникационное оборудование на ключевых объектах критической информационной инфраструктуры. Эти меры направлены на усиление информационной безопасности и сокращение зависимости от иностранных технологий, повышая тем самым устойчивость финансового сектора страны.

Федеральный закон №243 от 13.06.2023 «О внесении изменений в Федеральный закон «О Банке России».

Комментарий эксперта: документ вносит изменения в закон о Банке России, требуя от кредитных и некредитных финансовых организаций переходить на российское программное обеспечение, радиоэлектронную продукцию и телекоммуникационное оборудование на ключевых объектах критической информационной инфраструктуры. Эти меры направлены на усиление информационной безопасности и сокращение зависимости от иностранных технологий, повышая тем самым устойчивость финансового сектора страны.

Федеральный закон №312 от 10.07.2023 «О внесении изменения в статью 2 Федерального закона «О безопасности КИИ РФ».

Комментарий эксперта: к критической информационной инфраструктуре РФ отнесены информационные системы в сфере госрегистрации прав на недвижимое имущество и сделок с ним. Это позволит повысить защищенность таких систем от компьютерных атак.

Указ Президента РФ №846 от 08.11.2023 «О внесении изменений в Указ Президента РФ от 16.08.2004 г. № 1085 «Вопросы ФСТЭК России» и в Положение, утвержденное этим Указом.

Комментарий эксперта: согласно новому указу, ФСТЭК получил расширенные полномочия, включая ответственность за создание и управление автоматизированной информационной системой, которая занимается технической защитой информации и безопасностью ключевых объектов критической информационной инфраструктуры. Эти изменения предназначены для усиления контроля и повышения эффективности защиты важнейших информационных активов страны. Указ вступил в силу немедленно с даты его подписания, что подчеркнуло его значимое влияние на систему информационной безопасности России.

Постановление Правительства Российской Федерации от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации» (официально опубликовано 16 ноября 2023 года).

Комментарий эксперта: документ устанавливает новый порядок для организаций, относящихся к критической информационной инфраструктуре России (КИИ), по переходу на использование доверенных программно-аппаратных комплексов (ПАК) на их значимых объектах. Согласно постановлению, организации должны завершить переход на доверенные ПАК до 1 января 2030 года. Начиная с 1 сентября 2024 года, запрещается использование на значимых объектах КИИ любых ПАК, приобретенных после этой даты, если они не относятся к доверенным. Исключение сделано только для случаев, когда в России не производятся доверенные аналоги приобретенных ПАК.

Перечни типовых отраслевых объектов КИИ.

В 2023 году отраслевыми регуляторами были разработаны перечни типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сферах/областях энергетики, транспорта, здравоохранения, химической, горнодобывающей, металлургической и оборонной промышленности (данные перечни можно найти на официальных ресурсах отраслевых регуляторов, например, здесь https://minenergo.gov.ru/opendata/7715847529-perechen-obektov-kii-2023/, здесь https://minpromtorg.gov.ru/activities/vgpp/vgpp4/perechni-tipovyh-obektov-kii и т.д.).

В состав таких перечней входят типовые автоматизированные системы управления технологическим процессом, программно-аппаратные платформы промышленного интернета вещей (IoT), системы управления предприятием (ERP), системы хранения данных и др. Такие перечни будут являться основой для определения конкретных