Автор: Татьяна Пермякова, старший аналитик
В обзоре за июль 2022 года рассмотрим изменения в нормативных правовых актах в области обеспечения безопасности критической информационной инфраструктуры РФ: публикация типовых положений во исполнение Указа Президента РФ №250, изменение порядка направления сведений о результатах категорирования для сфер энергетики и топливно-энергетического комплекса; расширение перечня сфер деятельности субъектов критической информационной инфраструктуры, а также дополнения к требованиям для кредитных финансовых организаций, являющихся субъектами критической информационной инфраструктуры.
Порядок представления сведений о результатах категорирования объектов КИИ для сфер энергетики и ТЭК
В начале июля стало известно об изменениях порядка предоставления сведений о результатах категорирования объектов КИИ. Изменения опубликованы в информационном сообщении ФСТЭК России от 28.06.2022 № 240/83/1698 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий»
Изменения касаются субъектов КИИ в сферах энергетики и топливно-энергетического комплекса. Согласно сообщению, сведения о результатах категорирования объектов КИИ, функционирующих в указанных сферах, следует направлять:
- в центральный аппарат ФСТЭК России – если субъект КИИ является федеральным органом исполнительной власти, государственной корпорацией или головной организацией интегрированных структур;
- в территориальное управления ФСТЭК России по федеральному округу – если субъект КИИ является самостоятельным юридическим лицом, дочерним, зависимым обществом, входящим в интегрированные структуры, или организацией, подведомственной органам власти субъектов Российской Федерации или органам местного самоуправления.
В остальном процедура категорирования и форма сведений остаются прежними. Напомним, что схожий порядок с 2021 года действует для субъектов КИИ, действующих в сферах здравоохранения, а также науки и оборонной промышленности (согласно информационным сообщениям ФСТЭК России от 18.06.2021 № 240/82/1037 и от 18.12.2021 № 240/81/2547 соответственно).
Для субъектов КИИ, осуществляющих деятельность в иных сферах (кроме указанных ранее), действует прежний порядок – все сведения о результатах категорирования направляются в центральный аппарат ФСТЭК России.
Расширение перечня сфер деятельности субъектов КИИ
В Государственную Думу внесен законопроект №154496-8 «О внесении изменения в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», который предлагает отнести к субъектам КИИ государственные органы и учреждения, юридические лица и индивидуальные предпринимателей, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в сфере государственной̆ регистрации недвижимости.
На данный момент статус законопроекта: рассмотрение в первом чтении. Законопроект планируется включить в примерную программу законопроектной работы Государственной Думы в период осенней сессии 2022 года (декабрь).
Указ 250 — типовые положения
Официально опубликовано постановление Правительства Российской Федерации от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)».
Утверждены требования к уровню компетенций, должностным обязанностям и положению в организационно-штатной структуре организации (органа) Заместителя руководителя, ответственного за обеспечение ИБ. Основные положения:
Ответственное лицо (далее – Лицо) назначается руководителем организации (органа), подчиняется непосредственно руководителю или лицу, его замещающему.
- Лицо входит в состав коллегиальных органов организации (органа).
- Указания Лица являются обязательными для сотрудников организации (органа).
- Лицо должно иметь высшее образование (специалитет, магистратура) по направлению обеспечения информационной безопасности (далее – ИБ). Если высшее образование получено по другому направлению – Лицо обязано пройти обучение по программе профессиональной переподготовки по направлению ИБ. Программа должна быть согласована с ФСТЭК и ФСБ России и должна включать не менее 360 академических часов (в соответствии с п.17 Приказа Министерства образования и науки Российской Федерации от 19.10.2020 №1316 «Об утверждении Порядка разработки дополнительных профессиональных программ, содержащих сведения, составляющие государственную тайну, и дополнительных профессиональных программ в области информационной безопасности»).
- Лицо должно обладать следующими знаниями, умениями и профессиональными компетенциями:
- знания процессов и специфики обеспечения ИБ организации (органа);
- влияние информационных технологий (далее – ИТ) на деятельность организации (органа), их роль в процессах;
- информационно-телекоммуникационные технологии;
- обеспечение ИБ (понимание основ, технологий и процессов ИБ, владение управленческими навыками в сфере ИБ и т.д.);
- знание нормативных правовых актов в области ИБ.
- организовывать и принимать непосредственное участие в формировании политик, стратегий по обеспечению ИБ организации (органа), а также организовывать процесс согласования и утверждения внутренних организационно-распорядительных, технических и иных документов в области ИБ с заинтересованными сторонами;
- организовывать реализацию мероприятий согласно утвержденным политикам, а также контроль выполнения требований внутренних и законодательных нормативных актов;
- организовывать работу по обеспечению ИБ (в том числе обнаружение, предотвращение и ликвидацию последствий компьютерных атак, управление инцидентами и т.д.);
- организовывать планирование, разработку, реализацию и контроль исполнения мероприятий по обеспечению ИБ, в т.ч. организационных и технических мер, развитие ИБ, повышение осведомленности сотрудников по вопросам ИБ, научно-технические исследования, посещение вебинаров, семинаров, выставок и т.д.;
- организовывать взаимодействие с ФСБ России и иными органами исполнительной власти;
- реализовывать и контролировать соблюдение организацией (органом) положений Указа Президента РФ №250 (и иных нормативных правовых актов в области ИБ);
- осуществлять руководство структурным подразделением организации (органа), обеспечивающим ИБ и т.д.
Постановление также утверждает требования к основным задачам, правам и обязанностям структурного подразделения, обеспечивающего ИБ организации (органа). Основные положения:
- Деятельность подразделения направления на исключение и (или) снижение негативных последствий инцидентов; обеспечение и повышение уровня ИБ организации (органа);
- Основные задачи подразделения:
- планирование, реализация и контроль мероприятий по обеспечению ИБ организации (органа);
- выявление уязвимостей и угроз безопасности информации;
- предотвращение утечек информации, несанкционированного доступа к защищаемым активам;
- обеспечение непрерывности процессов организации (органа) при наступлении компьютерных атак;
- взаимодействие с Национальным координационным центром по компьютерным инцидентам (далее – НКЦКИ);
- подготовка отчетов о состоянии работ по обеспечению ИБ.
3. Подразделение наделено правами (в рамках выполнения своих обязанностей):
- запрашивать и получать доступ к работам и документам иных структурных подразделений;
- предлагать привлечение к работам по обеспечению и повышению уровня ИБ организаций, имеющих лицензии на соответствующие виды работ;
- проводить работы по повышению осведомленности, участвовать в конференциях, семинарах и т.д.;
- участвовать в работе комиссий организации (органа) по вопросам обеспечения ИБ, вносить свои предложения;
- предоставлять руководству органа информацию о нарушении работниками установленных правил обеспечения ИБ организации (органа) и т.д.
4. По результатам выполнения подразделением своих обязанностей проводится оценка эффективности функционирования подразделения.
Контроль перехода финансовых организаций на российское программное обеспечение
В Государственную думу внесен законопроект №164428-8 «О внесении изменений в Федеральный закон «О Центральном банке Российской Федерации (Банке России)». Изменения предполагают предоставление Банку России права на согласование планов перехода кредитных и некредитных финансовых организаций на российское программное обеспечение на значимых объектах КИИ, а также на осуществление контроля реализации этих планов.
Законопроект находится на стадии рассмотрения профильным комитетом, планируемый срок подготовки к рассмотрению Государственной Думой в первом чтении – сентябрь 2022.