Регулирование ИБ: защищать и развивать

Некое обобщение этой деятельности сделал экспертно-аналитический центр ГК InfoWatch, изучив более 1200 выпущенных за последние три года регулирующих документов по ИБ и ИТ и представив результаты своей работы в отчете «Нормативные правовые акты в сфере информационной безопасности и цифровой экономики. Итоги 2021–2023 гг.». 

Закономерно, что почти половина принятых документов относится к теме «Цифровая экономика». На второе место (25%) в 2023 г. вышло направление персональных данных (включая биометрические), что можно связать с присвоением Единой биометрической системе государственного статуса и принятием 29.12.2022 закона № 572-ФЗ о биометрических персональных данных. На третьем месте – направление информационной безопасности (защиты информации, технической защиты информации): на его долю в 2023 г. пришлось 20% всех принятых в рассматриваемой сфере документов. 

Угрозы объектам критической информационной инфраструктуры за последние три года из теоретической плоскости перешли в практическую, и на это обратили внимание законодатели. Доля принятых документов, относящихся к безопасности КИИ, увеличилась почти в три раза – с 3 до 8%.

К теме импортозамещения интерес регуляторов снизился (3% в 2023 г.). В числе других направлений, не преодолевших пятипроцентный барьер, – «Лицензирование деятельности по технической защите информации», «Национальная безопасность», «Государственная тайна», «Сертификация СЗИ и СКЗИ», «Аккредитация и экспертиза в сфере ИБ и ИТ». Это, вероятно, обусловлено их хорошей проработкой в предшествующий период.

Продолжилась детализация критериев, используемых при классификации отраслевых объектов. Минэнерго России опубликовало перечень типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере энергетики, а Минтранс – в сфере транспорта. Стало ясно, что к объектам КИИ относятся не только, скажем, автоматизированные системы для управления аэропортом, но и системы контроля оплаты проезда без участия кондуктора.

В декабре 2023 г. на новый этап перешло обсуждение ужесточения наказаний за утечки персональных данных. В Государственную Думу внесены проекты федеральных законов об изменениях в КоАП РФ и УК РФ (в январе 2024 г. они были приняты в первом чтении). Согласно предложенным изменениям, административная ответственность при повторном нарушении устанавливается в виде оборотного штрафа в размере от 0,1 до 3% совокупной выручки за календарный год, предшествующий году, в котором было выявлено нарушение. А УК РФ дополняется статьей 272.1 «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения». 

Информационные системы – объекты КИИ их владельцы могут размещать в коммерческих дата-центрах. Поэтому руководитель экспертно-аналитического центра ГК InfoWatch Михаил Смирнов рекомендует операторам коммерческих ЦОДов обратить внимание на новый комплекс документов по безопасности таких объектов. «Заказчики сами или после проверок регуляторов станут выдвигать новые требования, и ЦОДам надо быть к ним готовыми. Кроме того, ЦОДам, которые предоставляют услуги госзаказчикам и предприятиям из стратегических отраслей, стоит обратить внимание на новые документы по импортозамещению. Выполнение новых требований сохранит клиентов и станет конкурентным преимуществом для привлечения новых», – подчеркнул он.

Также эксперт напомнил, что согласно Постановлению Правительства РФ от 14.11.2023 № 1912, субъекты критической информационной инфраструктуры должны до 1 января 2030 г. перейти на преимущественное применение доверенных программно-аппаратных комплексов для хранения криптографических ключей и сертификатов безопасности, поддержки функций шифрования и аутентификации и защиты системы от атак. Изменения стоит учесть прежде всего владельцам облачных дата-центров, часто предлагающим исключительно программные средства защиты. А ужесточение ответственности за утечки персональных данных, скорее всего, повлияет на востребованность услуг хранения данных в облаке в соответствии с законом № 152-ФЗ, которые предлагают большинство облачных провайдеров.

Кроме того, среди клиентов могут появиться новые субъекты КИИ. Согласно закону от 10.07.2023 № 312-ФЗ, к субъектам КИИ теперь будут относиться и владельцы ИС/ИТС/АСУ из сферы государственной регистрации прав на недвижимое имущество и сделок с ним.

Инстанций, вносящих свой вклад в регулирование отраслей ИТ и ИБ, в нашей стране много. Только по направлению информационной безопасности и цифровой экономики их около десятка: Минцифры, ФСТЭК, Госдума, Роскомнадзор, ФСБ, Минобороны, Минпромторг, Минздрав, Банк России и сам президент. Все регуляторы стараются оперативно реагировать на изменения ландшафта угроз, выпуская соответствующие нормативные акты. И задача бизнеса – их отслеживать и своевременно выполнять содержащиеся в них требования, поскольку на этом основывается успешная работа с клиентами.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!