Приказ ФСБ России от 19.06.2019 № 281

Приказ ФСБ России от 19.06.2019 № 281

   Приказ ФСБ России от 19.06.2019 № 281
"Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации"
(Зарегистрировано в Минюсте России 16.07.2019 № 55285)
name='more'>
   Какие интересные изменения произошли в документе  к моменту утверждения:
1.       Согласование с ФСБ, а не с НКЦКИ.
2.       Субъект КИИ, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, дублирует информацию в Банк России. Причем, только после согласования с ФСБ ( 5 календарных дней с даты получения письма ФСБ России о согласовании).
3.       Конкретизирован срок уведомления НКЦКИ о приемке средств в эксплуатацию – 5 календарных дней. ФСБ не уведомляется. Банк России то же не уведомляется.
4.       Субъект КИИ лишен права самостоятельного определения мест установки средств.
5.       Зачем то раздробили действия субъекта при изменениях в средствах. «Изменение структурно-функциональной схемы подключения средств к информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, состава установленных средств и (или) мест их установки» допускается только после согласования с ФСБ.  А о «о лицах, ответственных за эксплуатацию средств (фамилия, имя, отчество (при наличии), должность, телефонные номера); о контролируемых средствами объектах критической информационной инфраструктуры (наименования информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления).» просто уведомление ФСБ в течении 5 календарных дней.
    И НКЦКИ опять не в курсе. Хотя их это напрямую касается.
6.       ФСБ продолжает использовать устаревшее и загадочное определение "организация, осуществляющая лицензируемую деятельность в области защиты информации". По сути, нет никаких НПА, которые бы конкретизировали перечень действующих лицензий в области защиты информации. Необходимо понимать, что речь идет не только о лицензии ФСТЭК на ТЗКИ, но и о лицензиях ФСТЭК на защиту и разработку СЗИ, лицензии ФСБ созданием средств защиты информации, на лицензии ФСБ на услуги по защите гостайны, лицензии Минобороны и т.д.
    Интересно, что ФСТЭК в 235 приказе поступает по другому - "лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации (далее - лицензии в области защиты информации)". То есть, просто сокращение по тексту. Но в 239 приказе  - "В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.".
    Историческая справка: Лицензированием в области защиты информации называется деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации. Государственная политика в области лицензирования отдельных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности» (в ред. Постановлений Правительства РФ от 05.05.95 № 450, от 03.06.95 № 549, от 07.08.95 № 796, от 12.10.95 № 1001, от 22.04.97 № 462, от 01.12.97 № 1513, также см. постановление от 11.02.02 № 135).
    Постановление Правительства Российской Федерации от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности»; Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;
·        Постановление Правительства Российской Федерации от 31.08.2006 № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;
·        Постановление Правительства Российской Федерации от 23.09.2002 № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами
«Положение о государственном лицензировании деятельности в области защиты информации» Утверждено Решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации от «27» апреля 1994 г. № 10.
     лицензирование в области защиты информации — деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации;
     лицензия в области защиты информации — оформленное соответствующим образом разрешение на право проведения тех или иных работ в области защиты информации;
     лицензиат в области защиты информации — сторона, получившая право на проведение работ в области защиты информации;

   Перечень видов деятельности в области защиты информации, подлежащих лицензированию Гостехкомиссией России
1.   Сертификация, сертификационные испытания защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств по требованиям безопасности, программных средств защиты информации, программных средств контроля защищенности информации.
2.   Аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, технических средств приема, передачи и обработки подлежащей защите информации, технических средств и систем, не обрабатывающих эту информацию, но размещенных в помещениях, где она обрабатывается (циркулирует), а также помещений, предназначенных для ведения переговоров, содержащих охраняемые сведения, на соответствие требованиям руководящих и нормативных документов по безопасности информации и контроль защищенности информации в этих системах, технических средствах и помещениях.
3.   Разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации.
4.   Проведение специсследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ.
5.   Проектирование объектов в защищенном исполнении.
6.   Подготовка и переподготовка кадров в области защиты информации по видам деятельности, перечисленным в данном перечне.

    Перечень видов деятельности в области защиты информации, подлежащих лицензированию ФАПСИ
1.   Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка и ремонт шифровальных средств, предназначенных для криптографической защиты информации при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг по шифрованию информации.
2.   Эксплуатация негосударственными предприятиями шифровальных средств, предназначенных для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.
3.   Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка и ремонт систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации, а также закрытых (с помощью шифровальных средств) систем и комплексов телекоммуникаций органов государственной власти субъектов Российской Федерации, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности.
4.   Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание cпециализированных защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации, предназначенных для использования в высших органах государственной власти Российской Федерации.
5.   Проведение работ по выявлению электронных устройств перехвата информации в помещениях государственных структур на территории Российской Федерации.
6.   Проведение работ по выявлению электронных устройств перехвата информации в технических средствах государственных структур на территории Российской Федерации.
Проведение специсследований на ПЭМИН специализированных защищенных ТСОИ, предназначенных для использования в высших органах государственной власти Российской Федерации.
8.   Проектирование в защищенном исполнении объектов высших органов государственной власти Российской Федерации.
9.   Подготовка и переподготовка кадров в области защиты информации по видам деятельности, перечисленным в данном перечне.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности