Дайджест ИБ-регулирования. Январь – март 2025

Привет, Хабр! Мы продолжаем серию обзоров законов, приказов, постановлений и инициатив регуляторов, касающихся информационной безопасности. В этой статье – о том, что изменилось в ИБ-регулировании с начала 2025 года.

1. Снова штрафы: инициатива по поправкам в КоАП РФ

Что произошло?

Официально: в Госдуме рассматривают законопроект о внесении изменений в КоАП РФ в части усиления ответственности за нарушение правил защиты информации.

Фактически: предлагается увеличить штрафы:

• За использование несертифицированных СЗИ – до 50-100 тысяч рублей для юрлиц, до 10-50 тысяч для должностных лиц. В обоих случаях СЗИ могут конфисковать.

• За нарушение законодательных требований к защите информации – те же суммы штрафов для юридических и должностных лиц, но уже без конфискации СЗИ.

Комментарий:

Увеличить штрафы предложили после анализа событий ИБ в информационных системах госсектора. Эксперты Правительства установили: более 70% инцидентов, из-за которых пострадали эти ресурсы, вызваны недостатком мер защиты со стороны ответственных за ИБ. В 40% систем нашли критические уязвимости, с помощью которых даже хакер-новичок сможет нанести существенный вред.

Под угрозу штрафов попадают, в основном, ИБ-специалисты и организации госсектора. Внесение поправок совпало с разработкой Постановления о тестировании ГИС на безопасность. Поэтому госорганизациям имеет смысл озаботиться поиском и закрытием уязвимостей, избыточных доступов и других слабых мест ИБ. Их могут находить SIEM-системы. При небольших ИБ-бюджетах, дефиците опытных кадров и «железа», стоить рассмотреть «коробочные» решения этого класса: SIEM – это не обязательно rocket science.

2. Всерьез о киберпреступности: законопроект о борьбе с ИКТ-преступлениями

Что произошло?

Официально: 1 апреля Госдума приняла закон о создании ГИС по противодействию правонарушениям, совершаемым с использованием ИКТ, и о внесении изменений в отдельные законодательные акты РФ.

Фактически: Минцифры создаст ГИС для сбора от организаций и граждан данных о киберпреступлениях. Эти данные по запросу на условиях конфиденциальности смогут получать МВД и СК РФ. Кроме того, сотрудникам организаций госсектора и финансовых учреждений будет запрещено вести служебное общение с гражданами в иностранных мессенджерах.

Комментарий:

Борьба с киберпреступностью – один из приоритетов нового нацпроекта «Экономика данных», поэтому направлению стали уделять такое большое внимание. В свете нового закона важнее всего будет повышение защиты у крупных операторов данных, в частности, финучреждений. Это лишит преступников базы для их «работы» – сведений о гражданах.

Выполнить новые требования реально: все необходимые СЗИ уже есть на рынке. Например, DLP проконтролируют использование иностранных мессенджеров и заблокируют попытки отправить в них конфиденциальные данные. DCAP-решения помогут находить чувствительную информацию в разветвленных ИС и превентивно защитят данные от выгрузки.

3. Критические поправки для критических систем: изменения в закон о безопасности КИИ

Что произошло?

Официально: принят закон о комплексных изменениях в Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ».

Фактически: правительство сможет устанавливать:

• перечни типовых объектов КИИ,

• особенности категорирования по отраслям,

• требования к программно-аппаратным средствам на значимых объектах КИИ,

• порядку и срокам их внедрения,

  а также вести мониторинг перехода субъектов КИИ на российские решения.

Устанавливается обязанность по непрерывному взаимодействию с ГосСОПКА не только для субъектов КИИ, но и для всех государственных органов и учреждений. Система ГосСОПКА будет собирать сведения о компьютерных атаках наряду с информацией об инцидентах.

Зато к субъектам КИИ больше не относятся индивидуальные предприниматели (ИП).

Комментарий:

Изменения серьезные, но некоторые процедуры, например, категорирование, упрощаются. Организации смогут сверяться с установленными перечнями, чтобы понять, являются ли они субъектами КИИ, какие объекты требуют внимания и какие меры нужны для их защиты. Во-первых, это позволит избежать ошибок при категорировании. Во-вторых, не получится уклониться от признания субъектами КИИ организациям, у которых есть соответствующие ИТ-объекты.

Также Правительство берет в свои руки вопрос импортозамещения. Требования к замене ПО и оборудования будут «спускать» организациям и следить за их выполнением в срок.

Блок ИБ-задач дается и организациям госсектора: всем органам власти и госучреждениям федерального и регионального уровней. Теперь им всем, независимо от принадлежности к КИИ, нужно выявлять инциденты и взаимодействовать с НКЦКИ, а соответственно – контролировать ИТ-инфраструктуру. Такие меры выполняются с помощью SIEM-систем. Желательно простых в управлении и с прямой интеграцией с ГосСОПКА – чтобы справились даже те госорганизации, где раньше не решали подобных задач и ограничены ресурсы.

4. ДСП для всех-всех-всех: новый порядок обращения со служебной информацией ограниченного распространения

Что произошло?

Официально: опубликован проект Постановления Правительства РФ «О внесении изменений в постановление Правительства Российской Федерации от 03.11.1994 № 1233», который обновляет требования к обработке информации «для служебного пользования» (ДСП).

Фактически: теперь требования по обеспечению безопасности служебной информации ограниченного распространения касаются всех операторов таких данных. Раньше все регламентировалось отдельными актами для разных организаций. Теперь любым организациям с информацией ДСП, включая региональные и муниципальные органы и учреждения, рекомендуют унифицировать Положения о порядке работы с такими сведениями. А их защиту привести в соответствие с новыми требованиями к ИБ в системах госсектора, которые готовит ФСТЭК. О них мы говорили в прошлом дайджесте.

Комментарий:

Этот проект прошел незамеченным, но он действительно значимый: вводит единые правила защиты информации для служебного пользования и подводит их под требования ФСТЭК. Раньше эти требования регламентировались по отдельности, причем основной акцент часто делали на защиту информации в бумажном формате.

Новый проект упорядочивает учет, организацию хранения и передачи, защиту данных ДСП в электронной форме. Фактически, всем организациям госсектора будет рекомендовано реализовать датацентричный подход к защите служебной информации, взять под контроль действия с такими сведениями и их перемещение, блокировать утечки.

Работу по приведению процессов обработки и защиты еще одной объемной категории данных к общему стандарту облегчат СЗИ. DCAP-системы позволят найти, учесть и отметить файлы с содержимым ДСП во всех файловых хранилищах, а также разграничить к ним доступ и предотвратить их утрату. Такие решения достаточно просты и нетребовательны: их сможет внедрить и эффективно использовать даже небольшая бюджетная организация.

5. Не ПДн едиными: ужесточения ст. 183 УК РФ за утечки

Что произошло?

Официально: в апреле в Госдуме рассмотрят законопроект о внесении изменений в статью 183 УК РФ (Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую и банковскую тайну).

Фактически: вводится нижний порог уголовного наказания за разглашение таких сведений. Если преступление совершено по корыстным мотивам, группой лиц или в случае крупного ущерба от преступления – назначат минимум 2 года лишения свободы (максимум не менялся – 5 лет). Если инцидент повлечет тяжкие последствия, минимальное наказание составит 3 года лишения свободы (максимум  – 7 лет). Дополнительно суды смогут штрафовать виновников утечек: в первом случае на суммы до 5 млн рублей, во втором – на 1-5 млн.

Комментарий:

Пояснительная записка гласит, что законопроект создан для борьбы с утечками из систем таможенных органов. Фактически он охватывает нарушения в самых разных сферах: финсекторе, госуправлении (особенно в налоговой сфере), предприятиях различных отраслей.

Коммерческая и банковская тайна – заманчивая цель для инсайдеров: эта информация ценится на черном рынке, она на руку конкурентам любого бизнеса. Принятие законопроекта и новое, более суровое наказание потенциально сможет остановить часть инсайдеров «на подлете» – проще говоря, напугать.

А против более целеустремленных нарушителей и случайных инцидентов помогут СЗИ. DCAP исключит ошибочное попадание комтайны в руки тех, кому работать с ней не положено. DLP помогут бороться с умышленным «выносом»: блокируют выгрузку и отправку данных. При расследовании инцидента DLP позволит быстро найти виновника и собрать доказательства его причастности. Это поможет привлечь инсайдера к ответственности. Наличие приговора в отношении нарушителя упрощает получение компенсации за ущерб, если пострадала, например, коммерческая тайна: практика судов это подтверждает.

В первом квартале наступившего года регуляторы обратили внимание на защиту конфиденциальной информации, не относящейся к персональным данным. Это однозначный плюс, ведь у бизнеса утекают отнюдь не только ПДн: например, в бизнесе куда чаще «сливают» информацию о сделках. Ужесточение ответственности для непосредственных виновников – теперь фактически за любые утечки – серьезный шаг для их острастки.

Другой важной тенденцией года станет борьба с киберпреступностью. Регуляторы закрепляют уже сложившуюся практику защиты, делая ее обязательной для всех. Радует, что решения для этого на рынке есть, а нужный опыт накоплен.

Как будет развиваться ситуация дальше, расскажем в конце второго квартала. Не скучайте! А пока делимся материалами, которые помогут выполнить новые нормативные требования:

• Памятка «Использование SIEM-систем для выполнения нормативных требований». Раскрывает, как с помощью одного решения можно выполнить более 20 требований ФСТЭК по защите КИИ и персданных.

• Инструкция «Как управлять доступом к файлам». Подробно расскажет, как автоматизировать поиск защищаемых файлов, настроить доступ к ним и исключить опасные случайности при их обработке. Подойдет для работы с файлами ДСП, с персданными и коммерческой тайной.

• Чек-лист «5 шагов для внедрения коммерческой тайны». Подскажет, какие организационные меры нужны, чтобы ввести в организации режим КТ и применять ИБ-средства так, чтобы их показатели могли быть доказательствами при инциденте.

• Запись вебинара «Простые решения острых ИБ-проблем». Заместитель генерального директора «СерчИнформ» по инновационной деятельности Алексей Парфентьев рассказывает, как выполнить ИБ-требования в условиях нехватки людей и финансирования.