Куда смотрит регуляторный вектор

Куда смотрит регуляторный вектор

В рамках «SOC-Форум 2022: Практика противодействия кибератакам и построения центров мониторинга ИБ» состоялся регуляторный трек, где представители различных ведомств и организаций рассказали об актуальных направлениях развития регуляторной деятельности. 

В сессии приняли участие представитель НКЦКИ Андрей Раевский, начальник управления ФСТЭК России Елена Торбенко, директор департамента экономической безопасности в ТЭК Минэнерго России Антон Семейкин, заместитель директора департамента информационной безопасности Банка России Андрей Выборнов, заместитель директора департамента обеспечения кибербезопасности, Минцифры России Айсалу Бадягина. 

Развитие нормативно-правовой базы по линии ГосСОПКА

Андрей Раевский, представитель НКЦКИ, рассказал о векторах развития нормативной правовой базы по линии ГосСОПКА. Он подчеркнул, что речь идет именно о векторах развития, а не уже утвержденных нормативно-правовых актах, это проекты документов, которые должны быть изданы в свете как Федерального закона «О персональных данных», так и указа президента от 1 мая 2022 года № 250.

Эксперт выделил три основных направления развития, по которым сейчас ведется работа. Первое – это изменения в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Второе — это издание указа президента от 1 мая 2022 года № 250 «О дополнительных мерах по информационной безопасности». Третье — это шаги по реализации указа президента от 1 мая 2022 года № 250 «О дополнительных мерах по информационной безопасности».

Он рассказал об изменениях в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Так, статья 19 дополнилась информацией про обязанность оператора в порядке определенном ФСБ России обеспечивать взаимодействие с ГосСОПКА, включая информирование о критических инцидентах (КИ), повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

Приказом ФСБ России должен быть определен порядок такого взаимодействия.

«Мы предполагаем, что будет определен следующий порядок взаимодействия операторов ИСПДн и ГосСОПКА. Операторы ИСПДн обязаны передавать информацию о КИ в НКЦКИ. Мы прописываем в проекте приказа два варианта взаимодействия, — рассказал Андрей Раевский.

Первый вариант — это когда операторы ИСПДн заключат соглашение регламент с ФСБ либо с НКЦКИ и будут передавать информацию о компьютерном инциденте в течение 3-х часов. Подтверждением того, что НКЦКИ принял информацию о КИ, является идентификатор, который присваивается НКЦКИ и направляется по тем же каналам взаимодействия, которые прописаны в регламенте, оператору. Операторы могут фиксировать, запоминать, включать в свои базы этот идентификатор.

Второй вариант взаимодействия — это когда оператор не имеет соглашения/регламента с ФСБ либо с НКЦКИ. В этом случае предполагается, что оператор будет заполнять форму, которая уже сформирована на сайте Роскомнадзора и далее эта информация будет поступать в НКЦКИ.

«Мы будем информировать Роскомнадзор о поступившей в наш адрес информации», — отметил эксперт.

НКЦКИ будет иметь право в случае необходимости направлять запросы операторам персональных данных для того, чтобы если есть вопросы в отношении компьютерного инцидента, иметь возможность получить ответ в течение 24 часов.

«Следующее наше направление работы — это указ президента от 1 мая 2022 года № 250 о дополнительных мерах по информационной безопасности.

Напомню, что согласно указу на руководителя органа (организации) возлагаются полномочия по обеспечению ИБ. Также в органе (организации) создается структурное подразделение, осуществляющее функции по обеспечению ИБ.

Отмечу, что в связи с Указом вышло постановление правительства 1272 о типовом положении такого руководителя и типовое положение о таком структурном подразделении, где прописано, что руководитель обязан осуществлять мероприятия по обнаружению, предупреждению, ликвидации компьютерных атак и реагированию на компьютерные инциденты», — сказал Андрей Равский.

В рамках Указа президента РФ № 250 от ФСБ России требуется следующее. Во-первых, определит переходный период взаимодействия с НКЦКИ на основе соотношений/регламентов. Во-вторых, организовать аккредитацию центров ГосСОПКА. В-третьих, определить порядок осуществления мониторинга защищенности информационных систем.

Вопросы категорирования по-прежнему актуальны

Начальник управления ФСТЭК России Елена Торбенко в своем выступлении обратила внимание аудитории, что хотя законодательство действует с 2018 года, у большинства компаний вопросы, к сожалению, остались на уровне начала реализации законодательства. 

Даже сейчас от тех, кто не первый год живет в поле безопасности, раздаются вопросы о том, как провести категорирование, говорит Елена Торбенко.

«Мы ожидали немного другого, особенно учитывая то, что с начала этого года количество атак увеличивается, опасность повышается, подкованность злоумышленника, который атакует системы, растет», — подчеркнула она

Эксперт акцентировала внимание, что «в вопросах категорирования 127-ое постановление определяет правила игры». 

«У некоторых регуляторов есть методические рекомендации, как проводить категорирование, с рядом регуляторов мы работаем, в ближайшее время появятся такие документы», — отметила спикер.

Основной вопрос — нужно ли согласовывать перечень объектов, подлежащих категорированию с регулятором? «Только в части подведомственности, — ответила начальник управления ФСТЭК России. — Если вы ФГУП (казенное учреждение), т. е. в своей хозяйственной деятельности зависите от органа власти (федерального либо регионального), вы согласовываете (перечень – прим. ред.). Если вы микрофинансовая организация или завод (акционерное общество), например, то если регулятор в вашей области, в данном случае Центробанк и Минпромторг, не установил такой потребности и согласования перечня, то перечень объектов, подлежащих категорированию не подлежит обязательному согласованию с таким регулятором».

Елена Торбенко также рассказала о выявленных типовых нарушениях и основных мерах по обеспечению безопасности значимых объектов КИИ, а также мерах безопасности периметра.

Вопрос — в качестве реализации требований

Заместитель директора департамента информационной безопасности Банка России Андрей Выборнов выступил с докладом «Особенности развития нормативно-правовой базы в области обеспечения информационной безопасности объектов КИИ в кредитно-финансовой сфере».

«Исходя из требования ФЗ №187, вся наша отрасль является субъектами КИИ, независимо от их размеров, масштабов бизнеса и т.д. Поэтому мы, как регулятор, находимся в эпицентре этой тематики, — отметил он. — Банк России активно занимался вопросами регулирования, было издано большое число нормативных актов по вопросам защиты информации, операционной надежности. И в целом, если говорить о регуляторной деятельности, как нам кажется, мы охватили все области и новых глобальных требований, которые нам нужно было бы издать, пока нет. Тем не менее, возникают вопросы о качестве реализации этих требований и вовлеченности менеджмента и руководства наших поднадзорных организаций в реализации этих процессов».