Скрытые последствия госконтроля ФСТЭК по ЗОКИИ

Скрытые последствия госконтроля ФСТЭК по ЗОКИИ


      Перечень нормативных правовых актов или их отдельных частей, оценка соблюдения которых является предметом государственного контроля (надзора) в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации  https://fstec.ru/normotvorcheskaya/perechen-obyazatelnykh-trebovanij/1957-perechen-aktov-utverzhden-prikazom-fstek-rossii-ot-16-iyulya-2019-g-n-135
name='more'>

    Из примечательного: не упоминаются приказы ФСБ по КИИ.
    Но не расслабляйтесь, для ЗОКИИ обязательно выполнение 239 приказа ФСТЭК и он проверяется ФСТЭК при госконтроле.
     А в  239 приказе есть очень интересный пункт:
13.5. Реагирование на компьютерные инциденты осуществляется в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

    Смотрим 187-ФЗ:
6) утверждает порядок информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры (в банковской сфере и в иных сферах финансового рынка утверждает указанный порядок по согласованию с Центральным банком Российской Федерации);

    Это речь про Приказ ФСБ России от 19.06.2019 № 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации".
И выполнение требований данного приказа ФСБ будут проверятся ФСТЭК.

    Почему не попал 367 приказ ФСБ не понятно. Собственно, неясно кто вообще будет проверять соблюдение других приказов ФСБ.

    И еще очень важный момент для субъекта ЗОКИИ!

187-ФЗ.
12. Категория значимости, к которой отнесен значимый объект критической информационной инфраструктуры, может быть изменена в порядке, предусмотренном для категорирования, в следующих случаях:
1)       по мотивированному решению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, принятому по результатам проверки, проведенной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;

   В результате проверки вы можете получить указание о повышение категории значимости ОКИИ, несмотря на то, что ФСТЭК проверила правильность выполнения процедуры категорирования при внесении сведений в реестр ЗОКИИ.

P.S. На SOC-форуме-2019 будет Сессия 1 "Требования 187-ФЗ и опыт их выполнения" с участием Торбенко (ФСТЭК) и  Корелова (НКЦКИ), 19 ноября с 16 до 18 часов. На ней я выступаю с докладом "Организация процесса выявления и реагирования на компьютерные инциденты и взаимодействия с НКЦКИ", будем обсуждать все спорные моменты из нормативки по КИИ, включая  и госконтроль за ЗОКИИ. Приходите.
https://ib-bank.ru/soc-forum/programma_proekt

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности