Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

ФСТЭК России проекты обновленных приказов

В начале марта ФСТЭК России вынес на общественное обсуждение тексты проектов обновленных приказов:

- «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской

Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235»;

-  «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. № 236»;

- «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».

Работа по внесению изменений проводится с целью совершенствования обеспечения безопасности критической информационной инфраструктуры Российской Федерации и идёт согласно утвержденному Плану-графику разработки документов, утвержденному в 2018 году. При разработке проектов приказов учтены результаты мониторинга их правоприменения на практике субъектами КИИ.

С полным перечнем правок можно ознакомиться сайте  regulation.gov.ru, из наиболее значимых изменений можно отметить следующие.  

В проекте обновленного приказа №235:

- период внутреннего контроля состояния безопасности значимых объектов КИИ увеличен  с одного года до трех;

- устанавливаются дополнительные требования к стажу и профессиональному образованию руководителей и штатных работников структурных подразделений по безопасности (с 01.01.2021);

- субъект КИИ обязан не реже раза в пять лет организовывать повышение квалификации по ИБ для работников структурного подразделения по безопасности.

 

Изменения в проекте обновленного приказа №239, как следует из пояснительной записки, направлены в том числе на установление требования по применению сертифицированных по требованиям безопасности информации маршрутизаторов.  Также важным изменением является переход  с 1.01.2020 г. с уровней контроля отсутствия недекларированнных возможностей (НДВ) на  уровни доверия (различные, в зависимости от категории объекта).

 

В проекте обновленного приказа №236, регламентирующем форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости, внесены изменения, направленные на лучшее понимание субъектами КИИ сути требований по предоставлению сведений. Как отмечают официальные представители ФСТЭК, форма вызывает множество вопросов, а процент заполненных и  направленных во ФСТЭК форм крайне невысок. Для оптимизации состава сведений о результатах присвоения объектам критической информационной инфраструктуры категорий значимости либо об отсутствии необходимости присвоения им таких категорий специалистами ФСТЭК были внесены правки в текст формы.

 

Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендуют всем специалистам в области информационной безопасности на транспорте ознакомиться с полными официальными текстами проектов документов, оценить все внесенные изменения, вынести собственное мнение и поучаствовать в профессиональной дискуссии.