Обзор-сравнение проект приказа ФСТЭК России «О внесении изменений в Требования к созданию систем безопасности»

На стадии общественного обсуждения находится проект приказа ФСТЭК России «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утверждённые приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235».

Изменения связаны с реализацией требований, установленных Указом Президента № 250. Так, например, предложено убрать требования о количестве часов профпереподготовки (360 и 72 соответственно в отношении руководителей и специалистов подразделений ИБ) и дать возможность субъектам КИИ часть функций возложить на «…специалистов со средним профессиональным образованием по специальности «Информационная безопасность».

Очень интересное (и полезное для субъектов КИИ) дополнение к пункту 21 приказа № 235. Об этом и других изменениях в нашем обзоре-сравнении:

Пункт 8

Было:

Руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо, на которое возложены функции обеспечения безопасности значимых объектов критической информационной инфраструктуры.

Станет:

Руководитель субъекта критической информационной инфраструктуры или заместитель руководителя субъекта критической информационной инфраструктуры, на которого возложены полномочия по информационной безопасности в соответствии с Указом Президента Российской Федерации от 1 мая 2022 г. № 250.

Пункт 10

Было:

Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры.

Станет:

Руководитель субъекта критической информационной инфраструктуры возлагает функции по обеспечению безопасности значимых объектов критической информационной инфраструктуры на структурное подразделение, обеспечивающее информационную безопасность субъекта критической информационной инфраструктуры в соответствии с Указом Президента Российской Федерации от 1 мая 2022 г. № 250.

Было:

Структурное подразделение по безопасности, специалисты по безопасности должны осуществлять следующие функции:

— разрабатывать предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представлять их руководителю субъекта критической информационной инфраструктуры (уполномоченному лицу);

Станет:

Слово «уполномоченному» заменить словом «ответственному»;

Пункт 10.1

Было:

По решению руководителя субъекта критической информационной инфраструктуры (уполномоченного лица).

Станет:

Слово «уполномоченному» заменить словом «ответственному»; далее везде «уполномоченный» заменяется на «ответственный».

Было:

Координацию и контроль выполнения функций структурными подразделениями по безопасности, специалистами по безопасности обособленных подразделений (филиалов, представительств) осуществляют структурные подразделения по безопасности, специалисты по безопасности субъекта критической информационной инфраструктуры.

Станет:

Координацию и контроль выполнения функций структурными подразделениями по безопасности, специалистами по безопасности обособленных подразделений (филиалов, представительств) осуществляют ответственное лицо или структурные подразделения по безопасности, специалисты по безопасности субъекта критической информационной инфраструктуры.

Пункт 12

Было:

Работники структурного подразделения по безопасности, специалисты по безопасности должны соответствовать следующим требованиям:

— наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;

— наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению "Информационная безопасность" (со сроком обучения не менее 72 часов);

Станет:

Работники структурного подразделения по безопасности, специалисты по безопасности должны соответствовать следующим требованиям:

— наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность", наличие стажа работы в сфере информационной безопасности не менее 3 лет;

— наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего или среднего (при наличии должности в штатом расписания у субъекта критической информационной инфраструктуры)профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению "Информационная безопасность";

Пункт 12.1

Было:

Станет:

На специалистов со средним профессиональным образованием по специальности «Информационная безопасность» по решению руководителя субъекта критической информационной инфраструктуры могут возлагаться следующие функции:

— установка и настройка средств защиты информации значимых объектов критической информационной инфраструктуры;

— информирование работников о нарушениях требований по безопасности информации и правил эксплуатации средств защиты информации;

— ведение протоколов и журналов учета при осуществлении мониторинга средств защиты информации значимых объектов критической информационной инфраструктуры»;

Пункт 21

Было:

Станет:

В случае невозможности обеспечения средств защиты информации гарантийной, технической поддержкой со стороны разработчиков (производителей), субъектом критической информационной инфраструктуры должны быть реализованы организационные и технические меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта,
в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г.
№ 239.»;

Пункт 27

Было:

Организационно-распорядительные документы по безопасности значимых объектов должны быть доведены до руководства субъекта критической информационной инфраструктуры, подразделения по безопасности, специалистов по безопасности, а также до иных подразделений (работников), участвующих в обеспечении безопасности значимых объектов критической информационной инфраструктуры, в части, их касающейся

Станет:

Организационно-распорядительные документы по безопасности значимых объектов должны быть доведены до руководства субъекта критической информационной инфраструктуры, ответственного лица, подразделения по безопасности, специалистов по безопасности, а также до иных подразделений (работников), участвующих в обеспечении безопасности значимых объектов критической информационной инфраструктуры, в части, их касающейся

Пункт 36

Было:

В случае проведения по решению руководителя субъекта критической информационной инфраструктуры внешней оценки (внешнего аудита) состояния безопасности значимых объектов критической информационной инфраструктуры внутренний контроль может не проводиться.

Станет:

В случае проведения по решению руководителя, ответственного лица субъекта критической информационной инфраструктуры внешней оценки (внешнего аудита) состояния безопасности значимых объектов критической информационной инфраструктуры внутренний контроль может не проводиться.

Автор статьи: Уляшина Виктория.

0
Комментарии
-3 комментариев
Раскрывать всегда