Как мы повлияли на 235 приказ ФСТЭК

Как мы повлияли на 235 приказ ФСТЭК

        Продолжение  темы изменений в проекты приказов ФСТЭК по КИИ под воздействием общественности, вариант приказа № 235 от ФСТЭК разбирал ранее .
        Опубликован доработанный по итогам общественного обсуждения текст проекта приказа ФСТЭК «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235»
name='more'>

Сводка предложений по итогам общественного обсуждения проекта нормативного правового акта
Наименование проекта: проект приказа Федеральной службы по техническому и экспортному контролю «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235»;

Даты проведения общественного обсуждения: 01.03.2019 - 15.03.2019
Предложения участника общественного обсуждения
Результат рассмотрения разработчиком позиций участников общественного обсуждения
Комментарии разработчика
В части требований к руководителю структурного подразделения, специалистам по безопасности (п. 12.1) предлагаю оставить только высшее профессиональное образование без уточнения направления подготовки, т.к. направления подготовки не полностью увязана с областью действия 187-ФЗ. В частности, здравоохранение. Защиту ПДн реализовали органы здравоохранения своими силами, подключения к ГИСам тоже, навыки работы и обращения со средствами электронной подписи тоже есть, организации здравоохранения компьютеризированы. Основную массу занимают организационные меры. Специфичные технические меры могут быть переданы на аутсорсинг. За это время многие специалисты переквалифицировались без получения второго высшего образования. Так что в данном случае, высшего профессионального образования и переподготовки в области ИБ видится вполне достаточным
Учтено
Изложено в следующей редакции:
«12.1. Руководитель структурного подразделения по безопасности должен иметь высшее профессиональное образование по направлению подготовки (специальности) в области информационной безопасности или иное высшее профессиональное образование и пройти обучение по программам профессиональной переподготовки по направлению «Информационная безопасность» (со сроком обучения не менее 360 часов).
Руководитель структурного подразделения по безопасности должен иметь стаж работы в сфере информационной безопасности не менее 3 лет.
Штатные работники структурного подразделения по безопасности, штатные специалисты по безопасности должны иметь высшее профессиональное образование по направлению подготовки (специальности) в области информационной безопасности или иное высшее профессиональное образование и пройти обучение по программам повышения квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов).»
В проекте документа не нашло отражение ситуации, когда в интегрированной структуре полномочия куратора, координатора (организатора системы) ИБ интегрированной структуры субъектов КИИ находится в ведении не головной компании, а дочернего общества
Учтено
Изложено в новой редакции:
«10.2. В случае если субъект критической информационной инфраструктуры является интегрированной структурой, в состав которой входят другие субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или на ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, то структурные подразделения по безопасности, специалисты по безопасности указанных субъектов должны осуществлять свои функции во взаимодействии со структурными подразделениями по безопасности, специалистами по безопасности интегрированной структуры или определенного интегрированной структурой для этих целей российского юридического лица, входящего в состав этой интегрированной структуры.»
Необходимо добавить определение понятия «интегрированной структуры», введенного в пп. 10.2 и 12.2 Проекта
Не учтено
В нормативных правовых актах федеральных органов исполнительной власти определения терминов даны быть не могут
Исключить из дополнительного пункта 12.1 состав специальностей высшего профессионального образования. Достаточно наличия высшего образования и переподготовки по информационной безопасности
Учтено
Изложено в следующей редакции:
«12.1. Руководитель структурного подразделения по безопасности должен иметь высшее профессиональное образование по направлению подготовки (специальности) в области информационной безопасности или иное высшее профессиональное образование и пройти обучение по программам профессиональной переподготовки по направлению «Информационная безопасность» (со сроком обучения не менее 360 часов).
Руководитель структурного подразделения по безопасности должен иметь стаж работы в сфере информационной безопасности не менее 3 лет.
Штатные работники структурного подразделения по безопасности, штатные специалисты по безопасности должны иметь высшее профессиональное образование по направлению подготовки (специальности) в области информационной безопасности или иное высшее профессиональное образование и пройти обучение по программам повышения квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов).»
Исключить дополнительный пункт 12.2. В программах переподготовки отсутствуют новые знания, которые необходимы руководителю и специалистам по обеспечению безопасности объектов КИИ, если у них уже имеется образование или переподготовка по направлению «Информационная безопасность»
Не учтено
Периодическое повышение квалификации специалистов работников структурного подразделения по безопасности, специалистов по безопасности необходимо в условиях темпов развития информационных технологий и появления новых угроз безопасности информации
Подпункт 1 пункта 1 проекта приказа изложить в следующей редакции:
«1) предложение первое абзаца второго пункта 3 изложить в следующей редакции:
«Системы безопасности создаются в отношении всех значимых объектов критической информационной инфраструктуры субъекта критической информационной инфраструктуры, в том числе в отношении значимых объектов критической информационной инфраструктуры, эксплуатируемых в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры».
Данная поправка направлена на сохранение прежнего подхода о создании систем безопасности в отношении значимых объектов субъекта КИИ, а не значимых объектов других лиц, эксплуатируемых субъектом КИИ
Не учтено
Предлагаемая формулировка предполагает создание отдельных систем безопасности в отношении значимых объектов критической информационной инфраструктуры, эксплуатируемых в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры.
При этом для всех значимых объектов критической информационной инфраструктуры, в том числе эксплуатируемых в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры, может быть создана одна система безопасности
Подпункт 2 пункта 1 проекта приказа изложить в следующей редакции:
«2) пункт 9 дополнить абзацем следующего содержания:
«Создаваемая система безопасности должна включать силы обеспечения безопасности значимых объектов критической информационной инфраструктуры обособленных подразделений (филиалов, представительств) субъектов критической информационной инфраструктуры, в которых эксплуатируются значимые объекты критической информационной инфраструктуры субъекта критической информационной безопасности».
В пункте 4 Требований, утвержденных приказом ФСТЭК России от 21.12.2017 № 235, указаны силы обеспечения безопасности значимых объектов критической информационной инфраструктуры. Также важно уточнить, что имеется в виду эксплуатация значимых объектов субъекта КИИ, а не третьих лиц.
Учтено
Изложено в следующей редакции:
пункт 9 дополнить абзацем следующего содержания:
«Создаваемая система безопасности должна включать силы обеспечения безопасности значимых объектов критической информационной инфраструктуры обособленных подразделений (филиалов, представительств) субъектов критической информационной инфраструктуры, в которых эксплуатируются значимые объекты критической информационной инфраструктуры.»
По подпункту 3 пункта 1 проекта приказа.
Предлагается в абзаце первом проектируемого пункта 10.1 слова «значимые объекты критической информационной инфраструктуры» заменить словами «значимые объекты субъекта критической информационной инфраструктуры».
Важно уточнить, что имеется в виду эксплуатация значимых объектов субъекта КИИ, а не третьих лиц
Не учтено
Структурные подразделения по безопасности или специалисты по безопасности в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры могут обеспечивать безопасность всех объектов критической информационной инфраструктуры, в том числе принадлежащих третьим лицам
Не раскрыто, что понимается под «интегрированной структурой». Кроме того, взаимодействие юридических лиц внутри их группы не является предметом регулирования Требований.
Аналогичное замечание имеется по подпункту 5 пункта 1 проекта приказа
Не учтено
В нормативных правовых актах федеральных органов исполнительной власти определения терминов даны быть не могут.
В рассматриваемом проекте приказа рассматривается не взаимодействие юридических лиц внутри их группы, а порядок взаимодействия структурных подразделений по безопасности, специалистов по безопасности в рамках интегрированной структуры
Предлагается проектируемые пункты 12.1 и 12.2 согласовать с Советом по профессиональным коммуникациям ИТ, как организацией ответственной за разработку квалификационных требования и организацию независимой оценки
Не учтено
Такое согласование в соответствии с законодательством Российской Федерации не требуется
    
    Действительно, а что это мы "гуманитариев" дискриминации подвергаем?
  

   Что тут скажешь? ФСТЭК заботится о разнообразии терминов и определений, используемой в подзаконных актах. Будем теперь разбираться самостоятельно с "интегрированными структурами".

    Непонятно почему ФСТЭК прописывает переквалификацию по ИБ каждые 5 лет для специалистов по безопасности значимых объектов, а не специализированный курс по уже выпущенной ФСТЭК специализированной программе ?

   Привело это к следующим изменениям:

Действующая редакция,
синим удалено
Проект от 01.03.2019,
красным добавлено, синим удалено, фиолетовым было добавлено и затем удалено следующим проектом
Доработанный проект от 28.03.2019,
темным было добавлено ранее,
красным добавлено

Требования
к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования
3. Создание и функционирование систем безопасности должно быть направлено на обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры при проведении в отношении них компьютерных атак.

Системы безопасности создаются в отношении всех значимых объектов критической информационной инфраструктуры субъектов критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры для одного или группы значимых объектов критической информационной инфраструктуры могут создаваться отдельные системы безопасности.
3. Создание и функционирование систем безопасности должно быть направлено на обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры при проведении в отношении них компьютерных атак.

Системы безопасности создаются в отношении всех значимых объектов критической информационной инфраструктуры субъекта критической информационной инфраструктуры с учетом значимых объектов критической информационной инфраструктуры, эксплуатируемых в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры для одного или группы значимых объектов критической информационной инфраструктуры могут создаваться отдельные системы безопасности.
3. Создание и функционирование систем безопасности должно быть направлено на обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры при проведении в отношении них компьютерных атак.

Системы безопасности создаются в отношении всех значимых объектов критической информационной инфраструктуры субъекта критической информационной инфраструктуры с учетом значимых объектов критической информационной инфраструктуры, эксплуатируемых в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры для одного или группы значимых объектов критической информационной инфраструктуры могут создаваться отдельные системы безопасности.
9. Руководитель субъекта критической информационной инфраструктуры определяет состав и структуру системы безопасности, а также функции ее участников при обеспечении безопасности значимых объектов критической информационной инфраструктуры в зависимости от количества значимых объектов критической информационной инфраструктуры, а также особенностей деятельности субъекта критической информационной инфраструктуры.

новый абзац
9. Руководитель субъекта критической информационной инфраструктуры определяет состав и структуру системы безопасности, а также функции ее участников при обеспечении безопасности значимых объектов критической информационной инфраструктуры в зависимости от количества значимых объектов критической информационной инфраструктуры, а также особенностей деятельности субъекта критической информационной инфраструктуры.

Создаваемая система безопасности должна включать силы обеспечения безопасности обособленных подразделений (филиалов, представительств) субъекта критической информационной инфраструктуры, в которых эксплуатируются значимые объекты критической информационной инфраструктуры.
9. Руководитель субъекта критической информационной инфраструктуры определяет состав и структуру системы безопасности, а также функции ее участников при обеспечении безопасности значимых объектов критической информационной инфраструктуры в зависимости от количества значимых объектов критической информационной инфраструктуры, а также особенностей деятельности субъекта критической информационной инфраструктуры.

Создаваемая система безопасности должна включать силы обеспечения безопасности значимых объектов критической информационной инфраструктуры обособленных подразделений (филиалов, представительств) субъектов критической информационной инфраструктуры, в которых эксплуатируются значимые объекты критической информационной инфраструктуры.
новый пункт 10.1
10.1. По решению руководителя субъекта критической информационной инфраструктуры (уполномоченного лица) в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры, в которых эксплуатируются значимые объекты критической информационной инфраструктуры, создаются (определяются) структурные подразделения по безопасности или назначаются специалисты по безопасности.

Координацию и контроль выполнения функций структурными подразделениями по безопасности, специалистами по безопасности обособленных подразделений (филиалов, представительств) осуществляют  структурные подразделения по безопасности, специалисты по безопасности субъекта критической информационной инфраструктуры.

Порядок взаимодействия структурных подразделений по безопасности, специалистов по безопасности субъекта критической информационной инфраструктуры и структурных подразделений по безопасности, специалистов по безопасности обособленных подразделений (филиалов, представительств) определяется организационно-распорядительными документами субъекта критической информационной инфраструктуры.
10.1. По решению руководителя субъекта критической информационной инфраструктуры (уполномоченного лица) в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры, в которых эксплуатируются значимые объекты критической информационной инфраструктуры, создаются (определяются) структурные подразделения по безопасности или назначаются специалисты по безопасности.

Координацию и контроль выполнения функций структурными подразделениями по безопасности, специалистами по безопасности обособленных подразделений (филиалов, представительств) осуществляют  структурные подразделения по безопасности, специалисты по безопасности субъекта критической информационной инфраструктуры.

Порядок взаимодействия структурных подразделений по безопасности, специалистов по безопасности субъекта критической информационной инфраструктуры и структурных подразделений по безопасности, специалистов по безопасности обособленных подразделений (филиалов, представительств) определяется организационно-распорядительными документами субъекта критической информационной инфраструктуры.
новый пункт 10.2
10.2. В случае если субъект критической информационной инфраструктуры является интегрированной структурой, в состав которой входят другие субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или на ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, то структурные подразделения по безопасности, специалисты по безопасности указанных субъектов должны осуществлять свои функции во взаимодействии со структурными подразделениями по безопасности, специалистами по безопасности интегрированной структуры.
10.2. В случае если субъект критической информационной инфраструктуры является интегрированной структурой, в состав которой входят другие субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или на ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, то структурные подразделения по безопасности, специалисты по безопасности указанных субъектов должны осуществлять свои функции во взаимодействии со структурными подразделениями по безопасности, специалистами по безопасности интегрированной структуры или определенного интегрированной структурой для этих целей российского юридического лица, входящего в состав этой интегрированной структуры.


новый пункт 12.1
вступает в силу с 1 января 2021 года

12.1. Руководитель структурного подразделения по безопасности должен иметь высшее профессиональное образование по направлению подготовки (специальности) в области информационной безопасности или иное высшее профессиональное образование по направлению подготовки (специальности) в области математики и механики, компьютерных и информационных наук, информатики и вычислительной техники, электроники, радиотехники и систем связи, фотоники, приборостроения, оптических и биотехнических систем и технологий, электро- и теплоэнергетики, ядерной энергетики и технологий, машиностроения, физико-технических наук и технологий, оружия и систем вооружения, техники и технологии наземного транспорта, авиационной и ракетно-космической техники, техники и технологий кораблестроения и водного транспорта, нанотехнологий и наноматериалов* и пройти обучение по программам профессиональной переподготовки по направлению «Информационная безопасность» (со сроком обучения не менее 360 часов).

Руководитель структурного подразделения по безопасности должен иметь стаж работы в сфере информационной безопасности не менее 3 лет.

Штатные работники структурного подразделения по безопасности, штатные специалисты по безопасности должны иметь высшее профессиональное образование по направлению подготовки (специальности) в области информационной безопасности или иное высшее профессиональное образование по направлению подготовки (специальности) в области математики и механики, компьютерных и информационных наук, информатики и вычислительной техники, электроники, радиотехники и систем связи, фотоники, приборостроения, оптических и биотехнических систем и технологий, электро- и теплоэнергетики, ядерной энергетики и технологий, машиностроения, физико-технических наук и технологий, оружия и систем вооружения, техники и технологии наземного транспорта, авиационной и ракетно-космической техники, техники и технологий кораблестроения и водного транспорта, нанотехнологий и наноматериалов* и пройти обучение по программам повышения квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов).

* В соответствии с перечнями специальностей и направлений подготовки высшего образования, утверждаемыми федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в сфере образования, в соответствии с частью 8 статьи 11 Федерального закона от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации» (Собрание законодательства Российской Федерации, 2012, № 53, ст. 7598; 2013, № 19, ст. 2326; 2015, № 18, ст. 2625; 2018, № 32, ст. 5110).
вступает в силу с 1 января 2021 года

12.1. Руководитель структурного подразделения по безопасности должен иметь высшее профессиональное образование по направлению подготовки (специальности) в области информационной безопасности или иное высшее профессиональное образование и пройти обучение по программам профессиональной переподготовки по направлению «Информационная безопасность» (со сроком обучения не менее 360 часов).















Руководитель структурного подразделения по безопасности должен иметь стаж работы в сфере информационной безопасности не менее 3 лет.

Штатные работники структурного подразделения по безопасности, штатные специалисты по безопасности должны иметь высшее профессиональное образование по направлению подготовки (специальности) в области информационной безопасности или иное высшее профессиональное образование и пройти обучение по программам повышения квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов).



новый пункт 12.2
вступает в силу с 1 января 2021 года

12.2. Субъект критической информационной инфраструктуры должен организовывать в соответствии с законодательством Российской Федерации периодическое (не реже 1 раза в 5 лет) обучение по программам повышения квалификации по направлению «Информационная безопасность» работников структурного подразделения по безопасности, специалистов по безопасности.
вступает в силу с 1 января 2021 года

12.2. Субъект критической информационной инфраструктуры должен организовывать в соответствии с законодательством Российской Федерации периодическое (не реже 1 раза в 5 лет) обучение по программам повышения квалификации по направлению «Информационная безопасность» работников структурного подразделения по безопасности, специалистов по безопасности.
23. Субъектом критической информационной инфраструктуры в рамках функционирования системы безопасности должны быть утверждены организационно-распорядительные документы по безопасности значимых объектов, определяющие порядок и правила функционирования системы безопасности значимых объектов, а также порядок и правила обеспечения безопасности значимых объектов критической информационной инфраструктуры.






новый абзац

23. Субъектом критической информационной инфраструктуры в рамках функционирования системы безопасности должны быть утверждены организационно-распорядительные документы по безопасности значимых объектов, в том числе значимых объектов, которые эксплуатируются в подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры, определяющие порядок и правила функционирования системы безопасности значимых объектов, а также порядок и правила обеспечения безопасности значимых объектов критической информационной инфраструктуры.

В случае, если субъект критической информационной инфраструктуры входит в состав интегрированной структуры, при подготовке его организационно-распорядительных документов должны учитываться положения организационно-распорядительных документов указанной интегрированной структуры.
23. Субъектом критической информационной инфраструктуры в рамках функционирования системы безопасности должны быть утверждены организационно-распорядительные документы по безопасности значимых объектов, в том числе значимых объектов, которые эксплуатируются в подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры, определяющие порядок и правила функционирования системы безопасности значимых объектов, а также порядок и правила обеспечения безопасности значимых объектов критической информационной инфраструктуры.

В случае, если субъект критической информационной инфраструктуры входит в состав интегрированной структуры, при подготовке его организационно-распорядительных документов должны учитываться положения организационно-распорядительных документов указанной интегрированной структуры.
29. В рамках планирования мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры осуществляются разработка и утверждение ежегодного плана мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее - план мероприятий).
новый абзац
29. В рамках планирования мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры осуществляются разработка и утверждение ежегодного плана мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее - план мероприятий).
В план мероприятий должны включаться мероприятия по обеспечению безопасности значимых объектов критической информационной инфраструктуры, функционирующих в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры.
29. В рамках планирования мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры осуществляются разработка и утверждение ежегодного плана мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее - план мероприятий).
В план мероприятий должны включаться мероприятия по обеспечению безопасности значимых объектов критической информационной инфраструктуры, функционирующих в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры.
36. Контроль проводится ежегодно комиссией, назначаемой субъектом критической информационной инфраструктуры. В состав комиссии включаются работники структурного подразделения по безопасности, специалисты по безопасности, работники подразделений, эксплуатирующих значимые объекты критической информационной инфраструктуры, и подразделений, обеспечивающих функционирование значимых объектов критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры в состав комиссии могут включаться работники иных подразделений субъекта критической информационной инфраструктуры.

новый абзац
36. Контроль проводится комиссией, назначаемой субъектом критической информационной инфраструктуры. В состав комиссии включаются работники структурного подразделения по безопасности, специалисты по безопасности, работники подразделений, эксплуатирующих значимые объекты критической информационной инфраструктуры, и подразделений, обеспечивающих функционирование значимых объектов критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры в состав комиссии могут включаться работники иных подразделений субъекта критической информационной инфраструктуры.

Контроль проводится не реже, чем раз в 3 года. Периодичность контроля определяется руководителем субъекта критической информационной инфраструктуры.
36. Контроль проводится комиссией, назначаемой субъектом критической информационной инфраструктуры. В состав комиссии включаются работники структурного подразделения по безопасности, специалисты по безопасности, работники подразделений, эксплуатирующих значимые объекты критической информационной инфраструктуры, и подразделений, обеспечивающих функционирование значимых объектов критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры в состав комиссии могут включаться работники иных подразделений субъекта критической информационной инфраструктуры.

Контроль проводится не реже, чем раз в 3 года. Периодичность контроля определяется руководителем субъекта критической информационной инфраструктуры.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности