Популярное
Свежее
Моя лента
Обзор
Курсы
Темы
Маркетинг
Крипто
Деньги
Личный опыт
Карьера
Сервисы
Торговля
Приёмная
Дизайн
Право
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Старая версия
iTPROTECT

iTPROTECT представилa свой подход к категорированию объектов КИИ в соответствии с ПП №2431

24 декабря 2021 года было опубликовано Постановление Правительства Российской Федерации № 2431 «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации». Дополнения содержат 2 пункта и затрагивают порядок и сроки уведомления субъектом КИИ ФСТЭК России об обновлении информации по объектам КИИ, принадлежащим организациям из таких государственно важных отраслей, как здравоохранение, транспорт, энергетика, оборонная промышленность и др.
В соответствии с пунктом 19.1 субъект КИИ теперь должен информировать ФСТЭК об изменениях в состоянии или статусе объекта КИИ в течение 20 дней. Полный перечень сведений, о которых должна быть проинформирована ФСТЭК России, остался неизменным и содержится в пункте 17 Постановления Правительства РФ от 8 февраля 2018 г. N 127. В частности, к ним относится информация о программно-аппаратных средствах, используемых на объекте, его категории значимости, интеграционном взаимодействии и пр.
Согласно пункту 19.2 нового Постановления с 4 января 2022 года отраслевые регуляторы обязаны вести постоянный мониторинг состояния объектов КИИ и проверять достоверность предоставленных организацией сведений. Если в результате мониторинга будут выявлены нарушения, неактуальные данные или несоблюдение сроков передачи информации это может повлечь за собой административную ответственность.
Ужесточение правил обязывает субъект КИИ производить ряд дополнительных действий: проводить регулярный мониторинг состояния объектов, вносить изменения в инструкции ответственных лиц, собирать утверждающую комиссию и прочее.
iTPROTECT предлагает несколько иной подход к трактовке принятых дополнений и необходимых действий со стороны субъекта КИИ. В частности, что касается периодичности уведомления ФСТЭК Росси, то документ, содержащий перечень измененных характеристик существующего объекта КИИ (документ «Сведения») должен быть отправлен во ФСТЭК России в течение 20 дней с момента обновления и утверждения его внутренней комиссией, а не с момента изменения самих характеристик. При этом периодичность обновления этого документа в Постановлении не определена, и организация самостоятельно может устанавливать частоту проведения аудита объектов и последующего обновления документа. Перечень характеристик объекта, которые могут измениться указан в Приказе ФСТЭК России № 236.
«На мой взгляд, такой подход позволит организациям с большим количеством объектов КИИ или часто меняющимися характеристиками объектов выполнить требования Постановления в разумные сроки и с наименьшими затратами, и в конечном счете избежать ошибок и проблем в ходе проверок отраслевых регуляторов. Исходя из нашей практики, рекомендуемая периодичность проведения аудита объектов КИИ – не реже одного раза в год, т. к. в среднем у 40% объектов КИИ на крупных предприятиях за год меняются характеристики, например состав или версионность средств защиты объекта, ответственные лица и т. п.» - говорит Роман Писарев, руководитель департамента аудита и консалтинга компании iTPROTECT.
За свою практику компания выполнила несколько десятков проектов по защите объектов КИИ. Услугой по аудиту и обновлению сведений об объектах КИИ в соответствии с новым Постановлением уже заинтересовались две крупные организации из оборонной и транспортной отраслей. Для получения подробной консультации и персональных рекомендаций по соблюдению требований Постановления, отправьте запрос на адрес [email protected].

2121 показ
3939 открытий
Начать дискуссию