Обновление подборки законодательства о КИИ на сентябрь 2023

С предыдущего мартовского обновления прошло уже полгода и накопилось существенное количество новых нормативно-правовых актов и дополнительных материалов по теме безопасности критической информационной инфраструктуры Российской Федерации и связанной тематике ГосСОПКА. Все они размещены на соответствующей странице сайта.

Часть обновлений добавлял в течение лета, но сейчас внимательно проштудировал тему и, надеюсь, ничего не упустил.

Итак, вот что основного было добавлено (с краткой аннотацией):

• Перечни типовых отраслевых ОКИИ, функционирующих в сферах энергетики и транспорта
  Минэнерго и Минтранс опубликовали перечни типовых отраслевых объектов КИИ, функционирующих в сферах энергетики и транспорта соответственно.

• Федеральный закон №312 от 10.07.2023 «О внесении изменения в статью 2 ФЗ «О безопасности КИИ РФ»
  К критической информационной инфраструктуре РФ отнесены информационные системы в сфере госрегистрации прав на недвижимое имущество и сделок с ним. Это позволит повысить защищенность таких систем от компьютерных атак.

• Федеральный закон №243 от 13.06.2023 «О внесении изменений в Федеральный закон «О Банке России»
  Вводятся требования для кредитных и некредитных финансовых организаций к переходу на преимущественное использование на ЗО КИИ российского ПО, отечественной радиоэлектронной продукции и телеком-оборудования, в том числе в составе программно-аппаратных комплексов.

• Федеральный закон №214 от 13.06.2023 «О внесении изменения в статью 104-1 Уголовного кодекса Российской Федерации»
  Вводится санкция в виде конфискации имущества (денег, ценностей и т.д.) за совершение следующих преступлений: неправомерный доступ к компьютерной информации (ч. 2-4 ст.272); создание, использование и распространение вредоносных компьютерных программ (ст. 273); нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ч.2 ст.274); неправомерное воздействие на КИИ Российской Федерации (ст 274.1).

• Приказ Минпромторга России №1981 от 31.05.2023 «Об утверждении Порядка проведения в отношении субъектов КИИ РФ, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ утвержденных постановлением Правительства РФ от 8 февраля 2018 г. № 127, и установлении критериев определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 8 февраля 2018 г. № 127»
  В отношении субъектов КИИ в области оборонной, металлургической и химической промышленности, проводится оценка актуальности и достоверности определенных сведений. Минпромторг установил порядок проведения оценки и критерии определения организаций, привлекаемых к оценке. Создается рабочая группа, включающая представителей Минпромторга и (или) представителей отраслевого центра компетенций по информационной безопасности в промышленности, образованного на базе подведомственной Министерству организации, включенной в перечень юрлиц, привлекаемых к оценке.

• Методика ФСТЭК России от 17.05.2023 «Руководство по организации процесса управления уязвимостями в органе (организации)»
  Определены состав и содержание работ по анализу и устранению уязвимостей, выявленных в программных, программно-аппаратных средствах, информационных системах органов и организаций. Обозначены этапы управления уязвимостями.

• Приказ ФСБ России №213 от 11.05.2023 «Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих ФОИВ, высшим исполнительным ОГВ субъектов РФ, госфондам, госкорпорациям (компаниям), иным организациям, созданным на основании ФЗ, стратегическим предприятиям, стратегическим АО и системообразующим организациям российской экономики, юрлицам, являющимся субъектами КИИ РФ либо используемых ими»
  ФСБ установила порядок проведения мониторинга защищенности информресурсов (в том числе субъектов КИИ).

• Приказ ФСТЭК России №69 от 20.04.2023 «О внесении изменений в Требования к созданию СБ ЗО КИИ РФ и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21 декабря 2017 г. № 235»
  Скорректированы формулировки при упоминании лиц, ответственных за обеспечение ИБ, а также скорректированы требования к специалистам структурного подразделения по безопасности. Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области ИБ. Также Приказом вводятся обязательные меры по реализации компенсирующих мер в случае невозможности обеспечения технической поддержки средств защиты информации со стороны производителя.

• Приказ ФСТЭК России №64 от 14.04.2023 «Об утверждении Требований по безопасности информации к СУБД»
  Системы управления базами данных, соответствующие 6 классу защиты, применяются в значимых объектах критической информационной инфраструктуры 3 категории значимости. СУБД 5 класса защиты - 2 категории значимости. СУБД 4 класса защиты - 1 категории значимости.

• Приказ ФСТЭК России №44 от 07.03.2023 «Об утверждении Требований по безопасности информации к многофункциональным межсетевым экранам уровня сети»
  Многофункциональные межсетевые экраны уровня сети, соответствующие 6 классу защиты, применяются в значимых объектах критической информационной инфраструктуры 3 категории значимости. Многофункциональные МЭ уровня сети 5 класса защиты - 2 категории значимости. Многофункциональные МЭ уровня сети 4 класса защиты - 1 категории значимости.

• Приказ Минпромторга России №722 от 06.03.2023 «Об утверждении отраслевого плана мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с ФЗ от 18 июля 2011 г. № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юрлиц» (за исключением организаций с муниципальным участием), к преимущественному использованию российского ПО, в том числе в составе ПАК, на принадлежащих им ЗО КИИ РФ, которые функционируют в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии»
  Составлен отраслевой план мероприятий по обеспечению готовности заказчиков по 223-ФЗ (за исключением организаций с муниципальным участием) к преимущественному использованию российского ПО, в т. ч. в составе ПАК, на принадлежащих им ЗО КИИ.

---

Остальное тут: Подборка НПА и материалов по теме КИИ РФ.

--- === @zlonov === ---