Обновление подборки законодательства о КИИ на март 2023

На страницу с подборкой нормативно-правовых актов и дополнительных материалов по теме безопасности критической информационной инфраструктуры Российской Федерации добавлены свежие материалы. Предыдущее обновление было 04 октября 2022 года.

Вот что было добавлено (с краткой аннотацией):

• Федеральный закон от 19.12.2022 № 518-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации»
  Уточнен порядок привлечения к ответственности за непредоставление или нарушение сроков направления во ФСТЭК России сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения категорий. Будут наказывать в т.ч. за передачу недостоверных сведений. Размеры штрафов при этом не изменены. Одновременно введены штрафы за повторное совершение этого правонарушения: от 50 тыс. до 100 тыс. руб. для должностных лиц, от 100 тыс. до 200 тыс. руб. для юрлиц.

• Федеральный закон №572 от 29.12.2022 «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биоПДн, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ»
  С 1 июня 2023 года ЕБС может использоваться при проходе на территории [..] организаций, относящихся […] к субъектам КИИ, совершение террористического акта на которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями согласно категорированию.

• Постановление Правительства РФ №2360 от 20.12.2022 «О внесении изменения в ПП-127 от 08.02.2018»
  Дополнен перечень видов исходных данных для категорирования объектов КИИ. Таковыми могут быть списки типовых отраслевых объектов. Установлено, кем они формируются. Уточнены нормы о мониторинге предоставления субъектами КИИ сведений в целях категорирования. Скорректированы некоторые показатели критериев значимости объектов и их значения. Добавлены новые, среди которых - прекращение или нарушение проведения операций по выплатам, перестрахованию, инвестициям, выполняемых страховыми организациями.

• Указ Президента РФ №954 от 26.12.2022 «О внесении изменения в состав Межведомственной комиссии Совбеза РФ по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ РФ по должностям, утвержденный Указом Президента РФ от 14 апреля 2022 г. № 203»
  Президент РАН дополнительно включен в состав Межведомственной комиссии Совета Безопасности РФ по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры.

• Указ Президента РФ №82 от 11.02.2023 «О внесении изменения в состав Межведомственной комиссии Совбеза РФ по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ РФ по должностям, утвержденный Указом Президента РФ от 14 апреля 2022 г. № 203»
  В состав Межведомственной комиссии Совета Безопасности по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры (КИИ) дополнительно включен президент Национального исследовательского центра “Курчатовский институт”.

• Приказ Минтруда России №525н от 14.09.2022 «Об утверждении профстандарта “Специалист по защите информации в автоматизированных системах”»
  В Обобщенные трудовые функции, входящие в профессиональный стандарт ‘Специалист по защите информации в автоматизированных системах’ включено обслуживание систем защиты информации, обеспечение защиты информации, разработка систем защиты информации, формирование требований к защите информации в автоматизированных системах, используемыхв том числе на объектах КИИ, в отношении которых отсутствует необходимость присвоения им категорий значимости.

• Приказ ФСБ России №543 от 01.11.2022 «Об определении переходного периода, предусмотренного подпунктом б) пункта 5 Указа Президента РФ от 1 мая 2022 г. № 250»
  Установлен 3-хлетний переходный период, когда центрам ГосСОПКА допускается осуществлять мероприятия по ОПЛПКА и реагированию на КИ в интересах субъектов КИИ на основании заключенных с НКЦКИ соглашений о сотрудничестве. По истечении этого периода для проведения таких работ организации смогут подключать только аккредитованные центры ГосСОПКА.

• Приказ ФСБ России №547 от 04.11.2022 «Об утверждении Перечня сведений в области военной, военно-технической деятельности РФ, которые при их получении иностранными источниками могут быть использованы против безопасности РФ»
  В Перечень в том числе включены сведения oб объектах КИИ, технической документации (техническом задании, моделях угроз и нарушителя) на создание систем обеспечения ИБ объектов КИИ, настройках СрЗИ, результатах анализа защищенности и реагирования на компьютерные инциденты ИБ объектов КИИ.

• Приказ ФСБ России №77 от 13.02.2023 «Об утверждении порядка взаимодействия операторов с ГосСОПКА, включая информирование ФСБ России о КИ, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн»
  Установлен порядок взаимодействия операторов ПДн с ГосСОПКА. Взаимодействие происходит через НКЦКИ. Операторы направляют информацию в течение 24 часов с момента обнаружения инцидента.

• Информационное сообщение ФСТЭК России №240-24-5981 от 25.11.2022 «О внесении изменений в Положение о системе сертификации СрЗИ, утвержденное приказом ФСТЭК России от 3 апреля 2018 г. № 55»
  Изменения направлены на сокращение сроков проведения сертификации средств защиты информации, в том числе за счет внедрения разработчиками процедур безопасной разработки программного обеспечения в соответствии с национальными стандартами.

--- === @zlonov === ---