Изменения в приказе ФСТЭК № 235
ФСТЭК России для общественного обсуждения представил проект приказа «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21.12.2017 № 235».
Проектом приказа вносятся изменения, согласно которым специалисты со средним профессиональным образованием по специальности «Информационная безопасность» могут быть привлечены к выполнению следующих функций:
- установка и настройка средств защиты информации (далее – СрЗИ) значимых объектов критической информационной инфраструктуры (далее – КИИ);
- информирование работников о нарушениях требований по безопасности информации и правил эксплуатации СрЗИ;
- ведение протоколов и журналов учета при осуществлении мониторинга СрЗИ значимых объектов КИИ.
В соответствии с требованиями, установленнымиУказом Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», в проекте приказа появилась возможность возложить полномочия по созданию системы безопасности, организации и контролю ее функционирования на заместителя руководителя субъекта КИИ, а также возложить функции по обеспечению безопасности значимых объектов КИИ на структурное подразделение или отдельных работников структурного подразделения, ответственных за обеспечение безопасности значимых объектов КИИ.
Также в проекте приказа закрепляется необходимость реализации субъектом КИИ организационных и технических мер, обеспечивающих нейтрализацию угроз безопасности информации, в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ, утвержденными приказом ФСТЭК России от 25.12.2017 № 239, если нет возможности обеспечить СрЗИ гарантийной или технической поддержкой со стороны разработчиков.
Общественное обсуждение завершится 8 марта 2023 года.
Оценка актуальности сведений о субъектах КИИ в области оборонной, металлургической и химической промышленности
Министерство промышленности и торговли Российской Федерации (далее – Минпромторг России) представило для общественного обсуждения проект приказа «Об утверждении Порядка проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, и определении состава организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации». Данный проект приказа разработан в соответствии пунктами 192 и 193 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Правила категорирования), в которых сказано, что государственные органы, выполняющие функции по реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, определяют порядок проведения и осуществляют мониторинг представления субъектами КИИ, осуществляющими виды деятельности в соответствующих сферах, актуальных и достоверных сведений, указанных в пункте 17 Правил категорирования.
Проект приказа устанавливает перечень информации, запрашиваемой об объектах КИИ:
- документы, определяющие форму собственности субъекта КИИ и разрешенные виды экономической деятельности;
- информация об организационной структуре субъекта КИИ;
- перечень и описание бизнес-процессов субъекта КИИ (процессная карта);
- документы, регламентирующие порядок обеспечения безопасности информации субъекта КИИ, сведения об организации охраны территории и объектов КИИ;
- сведения об опасных производственных объектах, потенциально опасных объектах;
- перечень информационных систем, автоматизированных систем управления, информационно-телекоммуникационных систем, принадлежащих субъекту КИИ и ряд сведений о них;
- финансовая отчетность за прошедший пятилетний период;
- перечень объектов КИИ, подлежащих категорированию, сведения о результатах категорирования и о методике расчета показателей критериев значимости для объектов КИИ;
- сведения о взаимодействии субъекта КИИ с Национальным координационным центром по компьютерным инцидентам в области обнаружения, предупреждения и ликвидации последствий компьютерных атак (при наличии).
- копии ряда сопроводительных писем (о направлении сведений о результатах категорирования и перечней объектов КИИ в ФСТЭК России и т.д.);
- иная информация.
Также утверждаемый порядок определяет методы и порядок проведения оценки (в том числе и выездной), цели, задачи и состав рабочей группы по проведению оценки, сроки и порядок формирования экспертного заключения по результатам оценки и иные аспекты.
Общественное обсуждение проекта приказа завершилось 20 февраля 2023 года.
Отраслевой план перехода на преимущественное использование отечественного ПО на значимых объектах КИИ
Минпромторг России представил для общественного обсуждения проект приказа «Об утверждении отраслевого плана мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на значимых объектах критической информационной инфраструктуры Российской Федерации, которые функционируют в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии».
Отраслевой план содержит наименования классов (типов) программного обеспечения (далее – ПО) и долю используемого отечественного ПО, которая должна быть достигнута по результатам 2023 и 2024 годов в горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности, а также в области использования атомной энергии. По итогам 2024 года доля отечественного ПО по всем видам должна составлять 100%.
Общественное обсуждение завершилось 22 февраля 2023 года.
Президента НИЦ «Курчатовский институт» включили в состав комиссии по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ
ОпубликованУказ Президента Российской Федерации (далее – РФ) от 11.02.2023 № 82 «О внесении изменения в состав Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации по должностям, утвержденный Указом Президента Российской Федерации от 14 апреля 2022 г. № 203».
В соответствии с данным Указом в Межведомственную комиссию Совета Безопасности РФ по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ, в состав которой входят заместитель Председателя Совета Безопасности РФ, заместители Председателя Правительства РФ, министры некоторых ведомств, директора Росгвардии, ФСБ России, ФСТЭК России, гендиректора Госкорпораций «Росатом», «Роскосмос», «Ростех» и другие участники, включен Президент федерального государственного бюджетного учреждения «Национальный исследовательский центр «Курчатовский институт».