Добавить в корзинуПозвонить
Найти в Дзене
IT-World: Мир цифровых технологий
5384 подписчика

Что приготовил нам законодатель в области информационной безопасности?

42
10 мин
Год 2025-й не успел начаться, как преподнес нам две законодательные новеллы, которые прошли все три чтения, это означает, что к моменту, когда вы будете читать материал IT-World, они могут быть уже подписаны Президентом и вступить в законную силу. Каждый год у нас на рынке законотворчества в информационной безопасности происходят какие-то значимые события, которые меняют если не жизнь всего ИТ-сообщества, то жизнь сегмента ИБ точно. Но часто все эти изменения не могут пройти мимо ИТ, и любой ИТ-менеджер должен хотя бы поверхностно понимать, чем живут его коллеги или подчиненные (в зависимости от структуры подчинения ИБ на предприятии — под ИТ или нет). Например, в 2024 году такой новацией стали поправки в законодательства о персональных данных, а точнее появление нормы об оборотных штрафах за инциденты с персональными данными (и речь не только об утечках, но и о банальной случайной отправке файла с зарплатной ведомостью за пределы компании). Год 2025-й не успел начаться, как преподнес
Оглавление

Год 2025-й не успел начаться, как преподнес нам две законодательные новеллы, которые прошли все три чтения, это означает, что к моменту, когда вы будете читать материал IT-World, они могут быть уже подписаны Президентом и вступить в законную силу.

Каждый год у нас на рынке законотворчества в информационной безопасности происходят какие-то значимые события, которые меняют если не жизнь всего ИТ-сообщества, то жизнь сегмента ИБ точно. Но часто все эти изменения не могут пройти мимо ИТ, и любой ИТ-менеджер должен хотя бы поверхностно понимать, чем живут его коллеги или подчиненные (в зависимости от структуры подчинения ИБ на предприятии — под ИТ или нет). Например, в 2024 году такой новацией стали поправки в законодательства о персональных данных, а точнее появление нормы об оборотных штрафах за инциденты с персональными данными (и речь не только об утечках, но и о банальной случайной отправке файла с зарплатной ведомостью за пределы компании). Год 2025-й не успел начаться, как преподнес нам две законодательные новеллы, которые прошли все три чтения, это означает, что к моменту, когда вы будете читать материал, они могут быть уже подписаны Президентом и вступить в законную силу.

Запрет мессенджеров и обязательное подключение к ЕБС

Первый законопроект касается борьбы с мошенничеством и имеет очень длинное и скучное название — «О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, и о внесении изменений в отдельные законодательные акты Российской Федерации». Направлен он на усиление контроля и регулирования в цифровой среде, включая вопросы идентификации, аутентификации, обмена информацией между ведомствами и использования иностранных информационных систем. Закон устанавливает новые обязанности и запреты для различных организаций, включая кредитные учреждения, операторов связи и владельцев онлайн-платформ, с целью повышения безопасности и предотвращения преступлений в Интернете. Вводимые меры вступают в силу поэтапно в течение 2025–2027 годов.

Что же это за меры и как они могут повлиять на ИТ-составляющую современного предприятия? Позволю себе тезисно описать наиболее важные требования.

  • Создание централизованной системы для борьбы с киберпреступностью и распространением недостоверной информации (ГИС ППП ИКТ), с которой обязаны взаимодействовать операторы связи, организаторы сервисов обмена мгновенными сообщениями (мессенджеров), являющиеся российскими юрлицами или гражданами РФ, провайдеры хостинга, владельцы аудиовизуальных сервисов и операторы поисковых систем, что потребует не только открытия определенных каналов взаимодействия с новой ГИС, но и перестройки многих процессов и систем, которые должны будут в реальном времени либо передавать данные в новую ГИС, либо запрашивать их оттуда.
  • Усиление взаимодействия между различными государственными органами и организациями в сфере противодействия правонарушениям в ИКТ через систему межведомственного электронного документооборота (СМЭВ) и обязательное подключение к ней агрегаторов информации о товарах (услугах), кредитных организаций и операторов связи. Этот, а также предыдущий пункт, предусматривающий обязательное подключение к ГИС ППП ИКТ, потребует от организаций соблюдения регламентов по защите информации, содержащихся в новой редакции 17-го приказа ФСТЭК, который должен быть принят также в первой половине 2025 года и который распространяется не только на ГИС, но и на любые информационные системы государственных органов и организаций, с ними взаимодействующими.
  • Внедрение и активное использование единой системы идентификации и аутентификации (ЕСИА) и единой биометрической системы (ЕБС) для идентификации пользователей в различных сферах — маркетплейсах, мобильных приложениях и на сайтах кредитных организаций, микрофинансовых организаций, сервисах размещения объявлений, бюро кредитных историй. Это требует пересмотра существующих процессов проверки подлинности пользователей и обеспечения резервирования каналов связи до ЕСИА и ЕБС.
  • Ограничение использования информационных систем и программ, принадлежащих иностранным юридическим лицам и (или) иностранным гражданам, для информирования граждан и взаимодействия с ними. В первую очередь речь идет о запрете информирования россиян при помощи иностранных мессенджеров со стороны государственных органов, госкомпаний, кредитных и некредитных финансовых организаций, операторов связи, владельцев агрегаторов, владельцев крупных сайтов и информационных систем, владельцев сервисов размещения объявлений. Запрет привычного для граждан взаимодействия потребует поиска новых каналов и средств коммуникаций, к которым можно отнести VK, СМС/ММС, сайт и т. п., выбор которых невелик. В любом случае понадобится интеграция новых инструментов с существующими в организации CRM, что не всегда является тривиальной задачей.
  • Ужесточение регулирования деятельности операторов связи, в том числе в части противодействия неправомерному использованию абонентских номеров и массовым рассылкам и прозвонам, требующим получения предварительного и подтверждаемого согласия абонента, что также невозможно без автоматизации.
  • Увеличение срока хранения информации организаторами распространения информации в сети «Интернет» с одного года до трех лет.

В ГосСОПКУ… сядут все!

Второй законопроект вносит изменения в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», вступающие в силу с 1 сентября 2025 года и сильно поменяющие уже сложившиеся правила игры.

Угрозы ИБ в 2025 году: что нас ждет?

Во-первых, значительно расширяется перечень субъектов, на которых распространяются определенные обязанности в сфере обнаружения, предупреждения и ликвидации последствий компьютерных атак, в частности на руководителей государственных органов, государственных унитарных предприятий, государственных учреждений, государственных фондов, государственных корпораций (компаний), иных российских юридических лиц, находящихся под контролем Российской Федерации и/или субъекта Российской Федерации. При этом в ряде статей добавляются слова «а также иных органов и организаций» и «и иным не являющимся субъектами критической информационной инфраструктуры органам и организациям», что указывает на намерение законодателя вовлечь в систему обеспечения информационной безопасности более широкий круг участников, чем только КИИ.

Правительство наделяется полномочиями по определению перечней типовых отраслевых объектов КИИ, которые попадают под импортозамещение, а также критерии их отбора. С их помощью у Правительства появится возможность с помощью критериев выделить из общей массы объектов КИИ те, что подлежат импортозамещению в наиболее короткие сроки. И если раньше за категорирование отвечали сами субъекты, часто манкируя этой обязанностью, то c вступлением нового закона ситуация изменится кардинально.

Грядет усиление требований к программно-аппаратным средствам, используемым на значимых объектах КИИ, а также устанавливаются порядок и сроки перехода субъектов КИИ на использование на значимых объектах КИИ отечественного программного обеспечения, включенного в единый реестр российских программ для ЭВМ и баз данных, и программно-аппаратных средств, соответствующих установленным требованиям. Если раньше такие требования были разбросаны по различным документам — от Указов Президента до ведомственных приказов министерств, то сейчас наступает единообразие и усиливается ответственность за нарушение этих требований.

Более четко сформулировано требование об установке на значимых объектах КИИ, сетях электросвязи, используемых для взаимодействия объектов КИИ, и иных информационных ресурсах средств обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на инциденты, включая средства поиска признаков атак, требования к которым еще предстоит разработать и утвердить ФСБ России. С помощью этих средств, которые в принципе не могут быть иностранного происхождения, должно быть обеспечено непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Топ-10 изменений в сфере регулирования ИС, «цифры» и ИТ

Вступление в силу данных изменений с 1 сентября 2025 года потребует от субъектов КИИ и вновь определенных категорий организаций проведения значительной работы по приведению своих информационных систем и процессов в соответствие с новыми требованиями.

Доверяй, но проверяй… подрядчика!

Завершить обзор нормотворческих новаций хочется кратким погружением в еще не вышедший приказ ФСТЭК, который придет на смену 17-му приказу регулятора по защите государственных информационных систем и который будет распространяться (в случае принятия) не только на ГИС, но и на любые информационные системы госорганов, госучреждений и ГУП. Вступает в силу он, как и поправки в закон о безопасности КИИ, с 1 сентября 2025 года.

Тезисно, наиболее интересными мне показались следующие требования, которые должны будут найти свое отражение и в ИТ-стратегии предприятия:

  • Основная цель защиты информации в госоргане — недопущение наступления негативных последствий (событий), а не борьба с всеми угрозами. Негативные последствия определяет сама организация, а пример списка негативных последствий может быть найден на сайте ФСТЭК.
  • Подрядчики госорганов будут обязаны выполнять требования по защите, описанные в политике ИБ. Это должно быть зафиксировано в договоре с подрядчиками. Вообще, учитывая число атак через них, внимание регуляторов к этой теме вполне обоснованно.
  • Госорганы должны иметь (и контролировать) перечень разрешенного и (или) запрещенного ПО и проводить мероприятия по контролю конфигураций информационных систем, что подсказывает, что ИБ надо дружить с ИТ и вообще ИБ не может быть достигнута только классическими мерами ИБ.
  • Госорган должен раз в шесть месяцев проводить оценку текущего состояния защиты информации и его сравнение с нормированными показателями, установленными ФСТЭК. Раз в два года должна проводиться оценка показателя уровня зрелости мероприятий по ИБ. Информация об оценках этих показателей должна направляться в ФСТЭК в течение пяти дней с окончания измерения.
  • Госорган обязан обеспечивать ИБ при использовании искусственного интеллекта; речь идет о необходимости защиты датасетов, моделей и инфраструктуры для них.
  • Устранение критических уязвимостей должно быть обеспечено в течение 24 часов, высокого уровня опасности — в течение семи дней.
  • Защита ПК требует мониторинга и анализа процессов и событий, то есть речь идет о решениях класса EDR.
  • Ежегодный отчет о результатах мониторинга надо направлять в ФСТЭК. То есть если госорган не попадал под КИИ или 250-й Указ, то он раньше результаты мониторинга никому не отправлял, даже в ГосСОПКУ. Теперь это надо делать, как минимум в ФСТЭК. Пока раз в год, но лиха беда начало.
  • Если в организации существует своя разработка, то должны быть реализованы мероприятия по безопасной разработке в соответствии с принятыми в России ГОСТами.
  • Установлены временные интервалы на восстановление в случае нарушения функционирования (сбоя, DDoS, инцидента ИБ и т. п.). Для систем 1-го класса защищенности — это 24 часа.

В целом, ФСТЭК начинает более активно контролировать процесс ИБ в государственных организациях. Если раньше это происходило только во время аттестации и серьезных публичных инцидентов, то сейчас регулятор требует присылать им регулярно сведения об оценке и контроле защищенности, а также об уровне зрелости ИБ в организации.

Гонка за кибербез усиливается!

2025 год обещает стать поворотным в сфере регулирования информационной безопасности. В центре внимания — масштабное ужесточение требований к государственным и аффилированным организациям, а также глубокое проникновение новых норм в ИТ-инфраструктуру бизнеса. Законодатель переходит от декларативного подхода к системному и технически ориентированному контролю: подключение к ГосСОПКА, взаимодействие с новыми государственными системами, обязательное использование ЕБС и ЕСИА, переход на отечественные программно-аппаратные средства, контроль за подрядчиками и обязательный мониторинг ИБ — это уже не «рекомендации», а юридически значимые обязанности.

Заметна четкая тенденция: информационная безопасность становится неотъемлемой частью управленческих и ИТ-стратегий. Организациям предстоит не только адаптироваться к новым реалиям, но и перестроить внутренние процессы, архитектуру систем, цепочки поставок и договорные отношения. Причем в условиях сжатых сроков и возрастающей регуляторной отчетности.

Для ИТ- и ИБ-руководителей это означает не только новые риски и ответственность, но и необходимость более тесной координации, стратегического планирования и вовлечения топ-менеджмента в вопросы цифровой безопасности. Иными словами, регулятор подводит рынок к новому уровню зрелости: «безопасность по остаточному принципу» уходит в прошлое, на смену приходит «безопасность по умолчанию».

Подробнее на it-world.ru