1. Главная
  2. Публикации
  3. Обзор изменений в законодательстве КИИ за июль 2022

Обзор изменений в законодательстве КИИ за июль 2022

9 августа 2022
1275

Автор: Татьяна Пермякова, старший аналитик

В обзоре за июль 2022 года рассмотрим изменения в нормативных правовых актах в области обеспечения безопасности критической информационной инфраструктуры РФ: публикация типовых положений во исполнение Указа Президента РФ №250, изменение порядка направления сведений о результатах категорирования для сфер энергетики и топливно-энергетического комплекса; расширение перечня сфер деятельности субъектов критической информационной инфраструктуры, а также дополнения к требованиям для кредитных финансовых организаций, являющихся субъектами критической информационной инфраструктуры.
Порядок представления сведений о результатах категорирования объектов КИИ для сфер энергетики и ТЭК

В начале июля стало известно об изменениях порядка предоставления сведений о результатах категорирования объектов КИИ. Изменения опубликованы в информационном сообщении ФСТЭК России от 28.06.2022 № 240/83/1698 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий»

Изменения касаются субъектов КИИ в сферах энергетики и топливно-энергетического комплекса. Согласно сообщению, сведения о результатах категорирования объектов КИИ, функционирующих в указанных сферах, следует направлять:

  • в центральный аппарат ФСТЭК России – если субъект КИИ является федеральным органом исполнительной власти, государственной корпорацией или головной организацией интегрированных структур;
  • в территориальное управления ФСТЭК России по федеральному округу – если субъект КИИ является самостоятельным юридическим лицом, дочерним, зависимым обществом, входящим в интегрированные структуры, или организацией, подведомственной органам власти субъектов Российской Федерации или органам местного самоуправления.

В остальном процедура категорирования и форма сведений остаются прежними. Напомним, что схожий порядок с 2021 года действует для субъектов КИИ, действующих в сферах здравоохранения, а также науки и оборонной промышленности (согласно информационным сообщениям ФСТЭК России от 18.06.2021 № 240/82/1037 и от 18.12.2021 № 240/81/2547 соответственно).
Для субъектов КИИ, осуществляющих деятельность в иных сферах (кроме указанных ранее), действует прежний порядок – все сведения о результатах категорирования направляются в центральный аппарат ФСТЭК России.

Расширение перечня сфер деятельности субъектов КИИ

В Государственную Думу внесен законопроект №154496-8 «О внесении изменения в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», который предлагает отнести к субъектам КИИ государственные органы и учреждения, юридические лица и индивидуальные предпринимателей, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в сфере государственной̆ регистрации недвижимости.

На данный момент статус законопроекта: рассмотрение в первом чтении. Законопроект планируется включить в примерную программу законопроектной работы Государственной Думы в период осенней сессии 2022 года (декабрь).

Указ 250 — типовые положения

Официально опубликовано постановление Правительства Российской Федерации от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)».

Утверждены требования к уровню компетенций, должностным обязанностям и положению в организационно-штатной структуре организации (органа) Заместителя руководителя, ответственного за обеспечение ИБ. Основные положения:

  1. Ответственное лицо (далее – Лицо) назначается руководителем организации (органа), подчиняется непосредственно руководителю или лицу, его замещающему.

  2. Лицо входит в состав коллегиальных органов организации (органа).
  3. Указания Лица являются обязательными для сотрудников организации (органа).
  4. Лицо должно иметь высшее образование (специалитет, магистратура) по направлению обеспечения информационной безопасности (далее – ИБ). Если высшее образование получено по другому направлению – Лицо обязано пройти обучение по программе профессиональной переподготовки по направлению ИБ. Программа должна быть согласована с ФСТЭК и ФСБ России и должна включать не менее 360 академических часов (в соответствии с п.17 Приказа Министерства образования и науки Российской Федерации от 19.10.2020 №1316 «Об утверждении Порядка разработки дополнительных профессиональных программ, содержащих сведения, составляющие государственную тайну, и дополнительных профессиональных программ в области информационной безопасности»).
  5. Лицо должно обладать следующими знаниями, умениями и профессиональными компетенциями:

  • знания процессов и специфики обеспечения ИБ организации (органа);
  •  влияние информационных технологий (далее – ИТ) на деятельность организации (органа), их роль в процессах;
  • информационно-телекоммуникационные технологии;
  • обеспечение ИБ (понимание основ, технологий и процессов ИБ, владение управленческими навыками в сфере ИБ и т.д.);
  • знание нормативных правовых актов в области ИБ.
6. Лицо уполномочено и обязано:

  • организовывать и принимать непосредственное участие в формировании политик, стратегий по обеспечению ИБ организации (органа), а также организовывать процесс согласования и утверждения внутренних организационно-распорядительных, технических и иных документов в области ИБ с заинтересованными сторонами;
  • организовывать реализацию мероприятий согласно утвержденным политикам, а также контроль выполнения требований внутренних и законодательных нормативных актов;
  • организовывать работу по обеспечению ИБ (в том числе обнаружение, предотвращение и ликвидацию последствий компьютерных атак, управление инцидентами и т.д.);
  • организовывать планирование, разработку, реализацию и контроль исполнения мероприятий по обеспечению ИБ, в т.ч. организационных и технических мер, развитие ИБ, повышение осведомленности сотрудников по вопросам ИБ, научно-технические исследования, посещение вебинаров, семинаров, выставок и т.д.;
  • организовывать взаимодействие с ФСБ России и иными органами исполнительной власти;
  • реализовывать и контролировать соблюдение организацией (органом) положений Указа Президента РФ №250 (и иных нормативных правовых актов в области ИБ);
  • осуществлять руководство структурным подразделением организации (органа), обеспечивающим ИБ и т.д. 

Постановление также утверждает требования к основным задачам, правам и обязанностям структурного подразделения, обеспечивающего ИБ организации (органа). Основные положения:

  1. Деятельность подразделения направления на исключение и (или) снижение негативных последствий инцидентов; обеспечение и повышение уровня ИБ организации (органа); 
  2. Основные задачи подразделения:

  • планирование, реализация и контроль мероприятий по обеспечению ИБ организации (органа);
  • выявление уязвимостей и угроз безопасности информации;
  • предотвращение утечек информации, несанкционированного доступа к защищаемым активам;
  • обеспечение непрерывности процессов организации (органа) при наступлении компьютерных атак;
  • взаимодействие с Национальным координационным центром по компьютерным инцидентам (далее – НКЦКИ);
  • подготовка отчетов о состоянии работ по обеспечению ИБ.

3. Подразделение наделено правами (в рамках выполнения своих обязанностей):

  • запрашивать и получать доступ к работам и документам иных структурных подразделений;
  • предлагать привлечение к работам по обеспечению и повышению уровня ИБ организаций, имеющих лицензии на соответствующие виды работ;
  • проводить работы по повышению осведомленности, участвовать в конференциях, семинарах и т.д.;
  • участвовать в работе комиссий организации (органа) по вопросам обеспечения ИБ, вносить свои предложения;
  • предоставлять руководству органа информацию о нарушении работниками установленных правил обеспечения ИБ организации (органа) и т.д.

4. По результатам выполнения подразделением своих обязанностей проводится оценка эффективности функционирования подразделения.

Контроль перехода финансовых организаций на российское программное обеспечение

В Государственную думу внесен законопроект №164428-8 «О внесении изменений в Федеральный закон «О Центральном банке Российской Федерации (Банке России)». Изменения предполагают предоставление Банку России права на согласование планов перехода кредитных и некредитных финансовых организаций на российское программное обеспечение на значимых объектах КИИ, а также на осуществление контроля реализации этих планов.

Законопроект находится на стадии рассмотрения профильным комитетом, планируемый срок подготовки к рассмотрению Государственной Думой в первом чтении – сентябрь 2022.


+7 343 379-98-34
Заказать звонок
Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.