4 Марта, 2019

Изменения в 236 Приказ ФСТЭК.

Валерий Комаров

     Внесение изменений в подзаконные акты 187-ФЗ идет по План-графику подготовки нормативных правовых актов Российской Федерации, направленных на совершенствование обеспечения безопасности критической информационной инфраструктуры Российской Федерации, утвержденным Правительством Российской Федерации 25 октября 2018 г. №8705п-П10.
    Сначала приступили к правке ПП127 , теперь очередь Приказа ФCТЭК от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
name='more'>     28.02.2019 На https://regulation.gov.ru/projects#npa=88982 для общественного обсуждения опубликован проект приказа ФСТЭК «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. № 236».
     Что можно отметить интересного?
1. Из Пояснительной записки к законопроекту следует, что "изменения направленны на оптимизацию состава сведений о результатах присвоения объектам критической информационной инфраструктуры категорий значимости либо об отсутствии необходимости присвоения им таких категорий, представляемых субъектами критической информационной инфраструктуры в ФСТЭК России. При разработке проекта приказа учтены результаты мониторинга правоприменения приказа ФСТЭК России от 22 декабря 2017 г. № 236". Согласно доклада В.С. Лютикова на Инфофорум-2019 и на ТБ-форуме 2019, получены ФСТЭК  - 2000 форм  уведомления. И уже такая незначительная практика правоприменения (1 % от прогнозируемого количества) заставила вносить изменения в простейшую форму уведомления.


2. Без изменений остался п.1.3. "Сфера (область) деятельности, в которой функционирует объект, в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации". То есть, все таки объект функционирует, а не субъект. Это не очень "бьется" с изменениями в ПП127 .
     Изменения, вносимые в Приказ ФCТЭК от 22 декабря 2017 г. № 236
«Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»:

Действующая редакция,
синим удалено
Предлагается проектом,
красным добавлено


Сведения о результатах присвоения объекту критической
информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
1.       
В Федеральную службу по техническому и экспортному контролю

1. Сведения об объекте критической информационной инфраструктуры

1.1.
Наименование объекта







1.2.
Адреса размещения объекта, в том числе адреса обособленных подразделений, филиалов, представительств субъекта критической информационной инфраструктуры, в которых размещаются сегменты распределенного объекта (серверы, рабочие места, технологическое, производственное оборудование (исполнительные устройства)

1.5.
Критические процессы (управленческие, технологические, производственные, финансово-экономические и (или) иные процессы, функции управления и контроля), которые обеспечиваются объектом






В Федеральную службу по техническому и экспортному контролю

1. Сведения об объекте критической информационной инфраструктуры

1.1.
Наименование объекта (наименование информационной системы, автоматизированной системы управления или информационно-телекоммуникационной сети)


1.2.
Адреса размещения объекта, в том числе адреса обособленных подразделений (филиалов, представительств) субъекта критической информационной инфраструктуры, в которых размещаются сегменты распределенного объекта





1.5.
Тип объекта (информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть)









2.       
2. Сведения о субъекте критической информационной инфраструктуры
2.5.
Структурное подразделение, ответственное за обеспечение безопасности значимых объектов, должность, фамилия, имя, отчество (при наличии) руководителя структурного подразделения, телефон, адрес электронной почты (при наличии) или должность, фамилия, имя, отчество (при наличии) штатного специалиста, ответственного за обеспечение безопасности значимых объектов, телефон, адрес электронной почты (при наличии)


новый подпункт 2.6





2. Сведения о субъекте критической информационной инфраструктуры
2.5.
Структурное подразделение, ответственное за обеспечение безопасности значимых объектов, должность, фамилия, имя, отчество (при наличии) руководителя структурного подразделения, телефон, адрес электронной почты (при наличии) или должность, фамилия, имя, отчество (при наличии) специалиста, ответственного за обеспечение безопасности значимых объектов, телефон, адрес электронной почты (при наличии)

2.6.
ИНН субъекта и КПП его обособленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта

3.       
3. Сведения о взаимодействии объекта критической информационной инфраструктуры и сетей электросвязи
3.2.
Наименование оператора связи


3.4.
Способ взаимодействия с сетью электросвязи с указанием типа доступа к сети электросвязи (проводной, беспроводной), используемых технологий доступа, протоколов взаимодействия

3. Сведения о взаимодействии объекта критической информационной инфраструктуры и сетей электросвязи
3.2.
Наименование оператора связи
и (или) провайдера хостинга

3.4.
Способ взаимодействия с сетью электросвязи с указанием типа доступа к сети электросвязи (проводной, беспроводный), протоколов взаимодействия



4.       
4. Сведения о лице, эксплуатирующем объект критической информационной инфраструктуры

новый подпункт 4.4

4. Сведения о лице, эксплуатирующем объект критической информационной инфраструктуры
4.4.
ИНН лица, эксплуатирующего объект и КПП его обособленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта

5.       
5. Сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры
5.1.
Наименования программно-аппаратных средств (пользовательских компьютеров, серверов, телекоммуникационного оборудования, средств беспроводного доступа, технологического, производственного оборудования (исполнительных устройств), иных средств) и их количество

5.4.
Применяемые средства защиты информации (наименования средств защиты информации, реквизиты сертификатов соответствия, иных документов, содержащих результаты оценки соответствия средств защиты информации или сведения о непроведении такой оценки; функции безопасности программного обеспечения, если в него встроены средства защиты информации (идентификация, аутентификация, управление доступом, регистрация событий безопасности, фильтрация, иные функции) или сведения об отсутствии средств защиты информации.

5. Сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры
5.1.
Наименования программно-аппаратных средств (пользовательских компьютеров, серверов, телекоммуникационного оборудования, средств беспроводного доступа, иных средств) и их количество





5.4.
Применяемые средства защиты информации (в том числе встроенные в общесистемное, прикладное программное обеспечение) (наименования средств защиты информации, реквизиты сертификатов соответствия, иных документов, содержащих результаты оценки соответствия средств защиты информации или сведения о непроведении такой оценки или сведения об отсутствии средств защиты информации







6.       
7. Возможные последствия в случае возникновения компьютерных инцидентов
7.2.
Ущерб, который может быть причинен в результате возникновения компьютерных инцидентов, в соответствии с показателями критериев значимости, утверждаемыми в соответствии с пунктом 1 части 2 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" или обоснование отсутствия возможности причинения ущерба вследствие компьютерных инцидентов

7. Возможные последствия в случае возникновения компьютерных инцидентов
подпункт 7.2 исключен
7.       
8. Категория значимости, которая присвоена объекту критической информационной инфраструктуры

8.1.
Категория значимости, которая присвоена объекту




8.2.
Полученные значения по каждому из
показателей критериев значимости с обоснованием или информация о неприменимости показателя к объекту с соответствующим обоснованием


новый подпункт 8.3



8. Категория значимости, которая присвоена объекту критической информационной инфраструктуры

8.1.
Категория значимости, которая присвоена объекту либо информация о неприсвоении объекту ни одной из таких категорий

8.2.
Полученные значения
по каждому из рассчитываемых показателей критериев значимости или информация о неприменимости показателя к объекту


8.3.
Обоснование полученных значений по каждому из показателей критериев значимости или обоснование неприменимости показателя к объекту







 
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога