Эксперт AKTIV.CONSULTING Алексей Филиппов рассказал, какие важные регуляторные изменения, связанные с требованиями по информационной безопасности, вступят в силу в 2024 году.
С 1 января 2024:
Согласно Положению ЦБ №757-П, оператор информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператор обмена цифровых финансовых активов должны обеспечивать использование узлами информационной системы безопасной топологии коммуникационных сетей, программного кода и протоколов с учетом актуальных угроз безопасности и применяемых информационных технологий, в том числе:
- реализацию системы защиты от атак, направленных на отказ в обслуживании, с возможностью фильтрации передаваемых данных;
- хранение узлами информационной системы доверенных сетевых адресов;
- реализацию механизма проверки некорректных узлов информационной системы.
Согласно Положению ЦБ №719-П (утрачивает силу с 1 апреля 2024), оператор значимой платежной системы в соответствии с правилами платежной системы должен обеспечить использование в аппаратных модулях безопасности информационной инфраструктуры платежной системы СКЗИ, реализующих криптографические алгоритмы, не определенные национальными стандартами Российской Федерации, которые имеют подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.
Операторы по переводу денежных средств, операторы услуг информационного обмена, операторы услуг платежной инфраструктуры вправе применять для обеспечения защиты информации при осуществлении переводов денежных средств СКЗИ иностранного производства в части, не противоречащей требованиям данного Положения.
Вступает в силу Положение ЦБ от 7 декабря 2023 г. №833-П «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля» (за исключением нескольких пунктов Положения, которым установлен иной срок вступления их в силу).
С 1 апреля 2024:
Вступает в силу Положение ЦБ от 17 августа 2023 г. №821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (взамен Положения ЦБ №719-П).
С 1 сентября 2024:
Согласно Постановлению Правительства PФ от 14 ноября 2023 г. №1912, субъекты критической информационной инфраструктуры должны будут начать переход на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах КИИ (ЗО КИИ). Переход должен быть осуществлен до 1 января 2030 года.
Также согласно данному Постановлению не допускается использование субъектами критической информационной инфраструктуры на принадлежащих им ЗО КИИ программно-аппаратных комплексов, приобретенных с 1 сентября 2024 г. и не являющихся доверенными ПАК. Исключением являются случаи отсутствия произведенных в России доверенных ПАК, являющихся аналогами приобретенных субъектами КИИ программно-аппаратных комплексов.
Автор: Алексей Филиппов, методолог по информационной безопасности AKTIV.CONSULTING.
Оригинал публикации на сайте CISOCLUB: "Регуляторные нововведения в ИБ-отрасли в 2024 году".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Эксперты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.