5 Марта, 2019

Изменения в 235 приказ ФСТЭК

Валерий Комаров


      01.03.2019 На  https://regulation.gov.ru/projects#npa=89049  для общественного обсуждения опубликован проект приказа ФСТЭК «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235».
      Ровно год назад написал заметку в блог , в которой выразил надежду, что за год ФСТЭК нормализует текст 235 приказа. И так, на что решилась ФСТЭК?
name='more'>
      Внесение изменений в подзаконные акты 187-ФЗ идет по План-графику подготовки нормативных правовых актов Российской Федерации, направленных на совершенствование обеспечения безопасности критической информационной инфраструктуры Российской Федерации, утвержденным Правительством Российской Федерации 25 октября 2018 г. №8705п-П10.
Изменения в ПП127
Изменения в 236 приказ ФСТЭК
    Теперь и 235 приказ ФСТЭК
    Начнем с пояснительной записки: При разработке проекта приказа учтены результаты мониторинга правоприменения приказа ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования». Вот интересно, а сколько случаев правоприменения 235 приказа в стране? Публичных докладов субъектов КИИ на конференциях я не встречал. ФСТЭК так же статистику не приводила. Все только этап категорирования ОКИИ заканчивают.
   Теперь сами изменения в 235 приказе:
? Создаваемая субъектом КИИ система безопасности должна учитывать обеспечение безопасности значимых объектов КИИ, эксплуатируемых в обособленных подразделениях (филиалах, представительствах) субъекта КИИ.
? Регламентирован порядок создания и работы структурных подразделений и специалистов по безопасности обособленных подразделений (филиалов, представительств) субъекта КИИ.
? Система безопасности субъекта КИИ, являющегося интегрированной структурой, в состав которой входят другие субъекты КИИ, должна создаваться во взаимодействии с указанными субъектами КИИ интегрированной структуры.
? Периодичность контроля состояния безопасности значимых объектов КИИ определяется руководителем субъекта КИИ, но не реже, чем раз в три года.
? С 1 января 2021 года:
    Устанавливаются дополнительные требования к стажу и образованию руководителей и штатных работников структурных подразделений по безопасности:
руководители структурных подразделений по безопасности:
? высшее профессиональное образование в области ИБ
? или иное высшее профессиональное образование + профессиональная переподготовка по ИБ сроком обучения не менее 360 часов;
? стаж работы в сфере ИБ не менее трех лет;
штатные работники структурных подразделений по безопасности:
? высшее профессиональное образование в области ИБ
? или иное высшее профессиональное образование + профессиональная переподготовка по ИБ сроком обучения не менее 72 часов.
    Субъект КИИ обязан не реже раза в пять лет организовывать повышение квалификации по ИБ для работников структурного подразделения по безопасности.
    Важное:
1. Требования по квалификации специалистов полностью поддерживаю. Мое прошлогоднее пожелание  реализовано .  А вот требования к квалификации вызывают вопросы:
- требования по опыту работы предъявляются только к руководителю. При наличии подразделения СБ, это разумно – низовой специалист контролируется и направляется опытным безопасником. А если субъект КИИ принял решение не создавать подразделение и просто назначить специалиста по безопасности, то в организации просто некий сотрудник, с 72 часами курсов и никакой возможности проконсультироваться. Нельзя приравнивать специалиста подразделения СБ к специалисту по безопасности. Они в разных условиях работают. Я бы поставил требование о наличии 1 года опыта в ИБ. И курсы повышения квалификации для него не по ИБ, а по « обеспечению безопасности ЗОКИИ ».
2. Почему то в п.12.1.  появились штатные специалисты, которые нигде более по тексту не упоминаются.
3. Требования по квалификации начнут действовать только с 01.01.2021. То есть, уже сейчас субъект КИИ обязан создавать СБ, но два года может использовать любых сотрудников.
4. Увеличили период внутреннего контроля с одного года до трех. Решение спорное, учитывая заявленную актуальность безопасности ЗОКИИ. В аттестованных ГИС ежегодный контроль обычное дело.
5. Для интегрированной системы  не установлена иерархия подчинения (п.10.2). Не понятно кто обязан обеспечить и организовать взаимодействие.
6. Остался без изменения пункт 32. Контроль за выполнением плана мероприятий возложен на то же подразделение, которое его разработало, да и реализовывать будет оно же в основном. А как же независимость аудита?

P.S.  В первоначальном проекте 235 приказа (вариант 2017 года) уже была попытка ФСТЭК внести требования к квалификации безопасников, но на этапе утверждения и регистрации они исчезли. Такой ход согласования не исключен и сейчас.


Изменения, вносимые в Приказ ФСТЭК от 21 декабря 2017 г. № 235
«Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»

Действующая редакция,
синим удалено
Предлагается проектом,
красным добавлено


Требования
к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования
1.       
3. Создание и функционирование систем безопасности должно быть направлено на обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры при проведении в отношении них компьютерных атак.

Системы безопасности создаются в отношении всех значимых объектов критической информационной инфраструктуры субъектов критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры для одного или группы значимых объектов критической информационной инфраструктуры могут создаваться отдельные системы безопасности.
3. Создание и функционирование систем безопасности должно быть направлено на обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры при проведении в отношении них компьютерных атак.

Системы безопасности создаются в отношении всех значимых объектов критической информационной инфраструктуры субъекта критической информационной инфраструктуры с учетом значимых объектов критической информационной инфраструктуры, эксплуатируемых в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры для одного или группы значимых объектов критической информационной инфраструктуры могут создаваться отдельные системы безопасности.
2.       
9. Руководитель субъекта критической информационной инфраструктуры определяет состав и структуру системы безопасности, а также функции ее участников при обеспечении безопасности значимых объектов критической информационной инфраструктуры в зависимости от количества значимых объектов критической информационной инфраструктуры, а также особенностей деятельности субъекта критической информационной инфраструктуры.

новый абзац
9. Руководитель субъекта критической информационной инфраструктуры определяет состав и структуру системы безопасности, а также функции ее участников при обеспечении безопасности значимых объектов критической информационной инфраструктуры в зависимости от количества значимых объектов критической информационной инфраструктуры, а также особенностей деятельности субъекта критической информационной инфраструктуры.

Создаваемая система безопасности должна включать силы обеспечения безопасности обособленных подразделений (филиалов, представительств) субъекта критической информационной инфраструктуры, в которых эксплуатируются значимые объекты критической информационной инфраструктуры.
3.       
новый пункт 10.1
10.1. По решению руководителя субъекта критической информационной инфраструктуры (уполномоченного лица) в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры, в которых эксплуатируются значимые объекты критической информационной инфраструктуры, создаются (определяются) структурные подразделения по безопасности или назначаются специалисты по безопасности.

Координацию и контроль выполнения функций структурными подразделениями по безопасности, специалистами по безопасности обособленных подразделений (филиалов, представительств) осуществляют  структурные подразделения по безопасности, специалисты по безопасности субъекта критической информационной инфраструктуры.

Порядок взаимодействия структурных подразделений по безопасности, специалистов по безопасности субъекта критической информационной инфраструктуры и структурных подразделений по безопасности, специалистов по безопасности обособленных подразделений (филиалов, представительств) определяется организационно-распорядительными документами субъекта критической информационной инфраструктуры.

новый пункт 10.2
10.2. В случае если субъект критической информационной инфраструктуры является интегрированной структурой, в состав которой входят другие субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или на ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, то структурные подразделения по безопасности, специалисты по безопасности указанных субъектов должны осуществлять свои функции во взаимодействии со структурными подразделениями по безопасности, специалистами по безопасности интегрированной структуры.
4.       


новый пункт 12.1
вступает в силу с 1 января 2021 года

12.1. Руководитель структурного подразделения по безопасности должен иметь высшее профессиональное образование по направлению подготовки (специальности) в области информационной безопасности или иное высшее профессиональное образование по направлению подготовки (специальности) в области математики и механики, компьютерных и информационных наук, информатики и вычислительной техники, электроники, радиотехники и систем связи, фотоники, приборостроения, оптических и биотехнических систем и технологий, электро- и теплоэнергетики, ядерной энергетики и технологий, машиностроения, физико-технических наук и технологий, оружия и систем вооружения, техники и технологии наземного транспорта, авиационной и ракетно-космической техники, техники и технологий кораблестроения и водного транспорта, нанотехнологий и наноматериалов* и пройти обучение по программам профессиональной переподготовки по направлению «Информационная безопасность» (со сроком обучения не менее 360 часов).

Руководитель структурного подразделения по безопасности должен иметь стаж работы в сфере информационной безопасности не менее 3 лет.

Штатные работники структурного подразделения по безопасности, штатные специалисты по безопасности должны иметь высшее профессиональное образование по направлению подготовки (специальности) в области информационной безопасности или иное высшее профессиональное образование по направлению подготовки (специальности) в области математики и механики, компьютерных и информационных наук, информатики и вычислительной техники, электроники, радиотехники и систем связи, фотоники, приборостроения, оптических и биотехнических систем и технологий, электро- и теплоэнергетики, ядерной энергетики и технологий, машиностроения, физико-технических наук и технологий, оружия и систем вооружения, техники и технологии наземного транспорта, авиационной и ракетно-космической техники, техники и технологий кораблестроения и водного транспорта, нанотехнологий и наноматериалов* и пройти обучение по программам повышения квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов).

* В соответствии с перечнями специальностей и направлений подготовки высшего образования, утверждаемыми федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в сфере образования, в соответствии с частью 8 статьи 11 Федерального закона от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации» (Собрание законодательства Российской Федерации, 2012, № 53, ст. 7598; 2013, № 19, ст. 2326; 2015, № 18, ст. 2625; 2018, № 32, ст. 5110).



новый пункт 12.2
вступает в силу с 1 января 2021 года

12.2. Субъект критической информационной инфраструктуры должен организовывать в соответствии с законодательством Российской Федерации периодическое (не реже 1 раза в 5 лет) обучение по программам повышения квалификации по направлению «Информационная безопасность» работников структурного подразделения по безопасности, специалистов по безопасности.
5.       
23. Субъектом критической информационной инфраструктуры в рамках функционирования системы безопасности должны быть утверждены организационно-распорядительные документы по безопасности значимых объектов, определяющие порядок и правила функционирования системы безопасности значимых объектов, а также порядок и правила обеспечения безопасности значимых объектов критической информационной инфраструктуры.






новый абзац

23. Субъектом критической информационной инфраструктуры в рамках функционирования системы безопасности должны быть утверждены организационно-распорядительные документы по безопасности значимых объектов, в том числе значимых объектов, которые эксплуатируются в подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры, определяющие порядок и правила функционирования системы безопасности значимых объектов, а также порядок и правила обеспечения безопасности значимых объектов критической информационной инфраструктуры.

В случае, если субъект критической информационной инфраструктуры входит в состав интегрированной структуры, при подготовке его организационно-распорядительных документов должны учитываться положения организационно-распорядительных документов указанной интегрированной структуры.
6.       
29. В рамках планирования мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры осуществляются разработка и утверждение ежегодного плана мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее - план мероприятий).
новый абзац
29. В рамках планирования мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры осуществляются разработка и утверждение ежегодного плана мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее - план мероприятий).
В план мероприятий должны включаться мероприятия по обеспечению безопасности значимых объектов критической информационной инфраструктуры, функционирующих в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры.
7.       
36. Контроль проводится ежегодно комиссией, назначаемой субъектом критической информационной инфраструктуры. В состав комиссии включаются работники структурного подразделения по безопасности, специалисты по безопасности, работники подразделений, эксплуатирующих значимые объекты критической информационной инфраструктуры, и подразделений, обеспечивающих функционирование значимых объектов критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры в состав комиссии могут включаться работники иных подразделений субъекта критической информационной инфраструктуры.

новый абзац
36. Контроль проводится комиссией, назначаемой субъектом критической информационной инфраструктуры. В состав комиссии включаются работники структурного подразделения по безопасности, специалисты по безопасности, работники подразделений, эксплуатирующих значимые объекты критической информационной инфраструктуры, и подразделений, обеспечивающих функционирование значимых объектов критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры в состав комиссии могут включаться работники иных подразделений субъекта критической информационной инфраструктуры.

Контроль проводится не реже, чем раз в 3 года. Периодичность контроля определяется руководителем субъекта критической информационной инфраструктуры.



* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога