Обеспечение безопасности КИИ. Выполнение требований 187-ФЗ

Главная - Обзор изменений законодательства КИИ за февраль 2019

Обзор изменений законодательства КИИ за февраль 2019 

На официальном интернет-портале правовой информации 18 февраля 2019 года был опубликован Приказ Министерства энергетики Российской Федерации от 06.11.2018 № 1015 «Об утверждении требований в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования» (Зарегистрирован 15.02.2019 № 53815) (далее – Приказ Минэнерго). Приказ вступает в силу по истечении шести месяцев со дня его официального опубликования, т.е. с 19 августа 2019 года.

Системы удаленного мониторинга и диагностики (СУМиД) – это программно-аппаратный комплекс, обеспечивающий процесс удаленного наблюдения и контроля за состоянием основного технологического оборудования объекта, диагностирование и прогнозирование изменения технического состояния основного технологического оборудования на основе собранных данных, получаемых от систем сбора данных, установленных на технологическом оборудовании, и не влияющего на штатный режим оборудования/объекта.

Требования Приказа Минэнерго устанавливаются в отношении базовых функций СУМиД и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации СУМиД на территории Российской Федерации. Можно сделать вывод, что требования, установленные для субъектов электроэнергетики, которые эксплуатируют на объектах электроэнергетики СУМиД, также касаются и компаний, создающих эти системы.

Из основных требований к обеспечению информационной безопасности СУМиД можно выделить следующие:

  • субъект электроэнергетики должен проводить категорирование СУМиД;
  • должны выполняться требования главы III, IV, V Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказом ФСТЭК России от 21.12.2017 № 235);
  • для обеспечения безопасности функционирования аппаратной инфраструктуры СУМиД должны применяться сертифицированные средства защиты информации (СрЗИ) и средства контроля эффективности защиты информации;
  • если при реализации функции технологического мониторинга при передаче данных эксплуатируются сети общего пользования, то должны применяться СрЗИ, прошедшие оценку соответствия в соответствии с требованиями ФЗ №184;
  • при создании и последующей эксплуатации СУМиД функция технологического мониторинга состояния основного технологического оборудования в части сбора, хранения и передачи данных, должна осуществляться посредством инфраструктуры сбора, хранения и передачи данных (центров обработки данных), расположенной на территории Российской Федерации;
  • если в СУМиД предусмотрена функция удаленного управления, то для программного обеспечения, реализующего данную функцию, должна быть проведена проверка не ниже, чем по 4 уровню контроля отсутствия недекларированных возможностей;
  • для подтверждения соответствия требованиям Приказа Минэнерго должна быть проведена аттестация СУМиД по 17 приказу ФСТЭК России;
  • ввод в действие СУМиД и ее подсистемы безопасности должен осуществляться после получения аттестата соответствия СУМиД.

 

РЕАЛИЗАЦИЯ ФЕДЕРАЛЬНОГО ПРОЕКТА «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» НАЦИОНАЛЬНОЙ ПРОГРАММЫ «ЦИФРОВАЯ ЭКОНОМИКА РОССИЙСКОЙ ФЕДЕРАЦИИ»

 

Правительство Российской Федерации 13 февраля 2019 г. выпустило Постановление №136 «О Центре мониторинга и управления сетью связи общего пользования».

Целью создания Центра мониторинга и управления сетью связи общего пользования (далее – Центра мониторинга) озвучивается намерение обеспечения целостности, устойчивости функционирования и безопасности сети связи общего пользования. Центр мониторинга призван обрабатывать данные об общей работе сетей связи, а также об аварийных случаях.

Центр мониторинга – внутренняя структура Роскомнадзора, который отвечает за её создание и функционирование. Роскомнадзор должен создать Центр мониторинга до 1 июля 2019 г., а саму систему мониторинга и управления сетью связи ввести в эксплуатацию до 1 января 2020г. При этом Минкомсвязи до 1 мая 2019 г. должна разработать проект федерального закона, определяющего информацию, которая будет предоставляться в систему мониторинга и управления. А до 1 января 2020 г совместно с ФСБ России регламентировать взаимодействие системы с другими государственными информационными системами, в том числе с ГосСОПКА.

 

ПРОЕКТ ИЗМЕНЕНИЙ В ФОРМУ СВЕДЕНИЙ О РЕЗУЛЬТАТАХ КАТЕГОРИРОВАНИЯ

 

28 февраля 2019 г. на официальном портале проектов нормативных правовых актов был опубликован Проект приказа ФСТЭК России «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. № 236» (далее – Проект приказа).

Проект приказа предлагает изменения к форме сведений, направляемых во ФСТЭК России субъектом критической информационной инфраструктуры (КИИ) по результатам категорирования. Проект приказа четко оговаривает, что сведения должны быть предоставлены в бумажном виде с приложением электронной копией в формате .ods.

Краткая сводка основных предложений по изменению формы сведений о результатах категорирования:

  • исключить из сведений об объекте КИИ информацию о критических процессах, заменив её на данные о типе объекта;
  • дополнить сведения информацией об ИНН субъекта КИИ и КПП его обособленных подразделений;
  • исключить из возможных последствий в случае возникновения компьютерных инцидентов информацию об ущербе;
  • к информации о полученных значениям по показателям критериев значимости добавить обоснование этих полученных значений.
1