Продолжаем нашу традиционную рубрику по анализу изменений законодательства в формате «было-стало» связанных с 187-ФЗ «О безопасности КИИ РФ». Сегодня рассматриваем изменения Приказа ФСТЭК № 235 от 21.12.2017 г. «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К СОЗДАНИЮ СИСТЕМ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ И ОБЕСПЕЧЕНИЮ ИХ ФУНКЦИОНИРОВАНИЯ». Как обычно, никакой воды, только суть. Цветом отмечены изменения.
| Пункт | Было | Стало | Комментарии |
|
П. 3 дополнить |
Системы безопасности создаются в отношении всех значимых объектов критической информационной инфраструктуры субъектов критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры для одного или группы значимых объектов критической информационной инфраструктуры могут создаваться отдельные системы безопасности. | Системы безопасности создаются в отношении всех значимых объектов критической информационной инфраструктуры субъекта критической информационной инфраструктуры с учетом значимых объектов критической информационной инфраструктуры, эксплуатируемых в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры для одного или группы значимых объектов критической информационной инфраструктуры могут создаваться отдельные системы безопасности. | Необходимо учитывать значимые объекты КИИ, эксплуатируемые в обособленных подразделениях |
|
П. 9 дополнить |
… а также особенностей деятельности субъекта критической информационной инфраструктуры. |
… а также особенностей деятельности субъекта критической информационной инфраструктуры. Создаваемая система безопасности должна включать силы обеспечения безопасности значимых объектов критической информационной инфраструктуры обособленных подразделений (филиалов, представительств) субъектов критической информационной инфраструктуры, в которых эксплуатируются значимые объекты критической информационной инфраструктуры. |
Необходимо задействовать силы обеспечения безопасности значимых объектов КИИ обособленных подразделений в которых эксплуатируются значимые объекты КИИ |
| П 10.1 добавить | – |
10.1. По решению руководителя субъекта критической информационной инфраструктуры (уполномоченного лица) в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры, в которых эксплуатируются значимые объекты критической информационной инфраструктуры, создаются (определяются) структурные подразделения по безопасности или назначаются специалисты по безопасности. Координацию и контроль выполнения функций структурными подразделениями по безопасности, специалистами по безопасности обособленных подразделений (филиалов, представительств) осуществляют структурные подразделения по безопасности, специалисты по безопасности субъекта критической информационной инфраструктуры. Порядок взаимодействия структурных подразделений по безопасности, специалистов по безопасности субъекта критической информационной инфраструктуры и структурных подразделений по безопасности, специалистов по безопасности обособленных подразделений (филиалов, представительств) определяется организационно-распорядительными документами субъекта критической информационной инфраструктуры. |
Руководитель субъекта создает структурные подразделения или назначает специалистов по безопасности в обособленных подразделениях со значимыми объектами КИИ, которые координируют и выполняют контроль безопасности КИИ. Взаимодействие определяется организационно-распорядительными документами. |
| П. 10.2 добавить | – | 10.2. В случае если субъект критической информационной инфраструктуры является интегрированной структурой, в состав которой входят другие субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или на ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, то структурные подразделения по безопасности, специалисты по безопасности указанных субъектов должны осуществлять свои функции во взаимодействии со структурными подразделениями по безопасности, специалистами по безопасности интегрированной структуры или определенного интегрированной структурой для этих целей российского юридического лица, входящего в состав этой интегрированной структуры. | Если субъект КИИ имеет интегрированные системы другого субъекта КИИ, то структурные подразделения по безопасности, специалисты по безопасности субъектов должны осуществлять взаимодействие между собой. |
| П. 12.1 добавить | – |
12.1. Руководитель структурного подразделения по безопасности должен иметь высшее профессиональное образование по направлению подготовки (специальности) в области информационной безопасности или иное высшее профессиональное образование и пройти обучение по программам профессиональной переподготовки по направлению «Информационная безопасность» (со сроком обучения не менее 360 часов). Руководитель структурного подразделения по безопасности должен иметь стаж работы в сфере информационной безопасности не менее 3 лет. Штатные работники структурного подразделения по безопасности, штатные специалисты по безопасности должны иметь высшее профессиональное образование по направлению подготовки (специальности) в области информационной безопасности или иное высшее профессиональное образование и пройти обучение по программам повышения квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов). |
Руководитель структурного подразделения по безопасности и штатные работники по безопасности должны иметь высшее профессиональное образование по направлению подготовки. Руководитель по безопасности также должен иметь стаж работы в сфере информационной безопасности не менее 3 лет. |
| П. 12.2 добавить | – | 12.2. Субъект критической информационной инфраструктуры должен организовывать в соответствии с законодательством Российской Федерации периодическое (не реже 1 раза в 5 лет) обучение по программам повышения квалификации по направлению «Информационная безопасность» работников структурного подразделения по безопасности, специалистов по безопасности. | Субъект КИИ должен проводит повышение квалификации по направлению «Информационная безопасность» не реже 1 раза в 5 лет. |
| П. 23 дополнить | Субъектом критической информационной инфраструктуры в рамках функционирования системы безопасности должны быть утверждены организационно-распорядительные документы по безопасности значимых объектов, определяющие порядок и правила функционирования системы безопасности значимых объектов, а также порядок и правила обеспечения безопасности значимых объектов критической информационной инфраструктуры. |
Субъектом критической информационной инфраструктуры в рамках функционирования системы безопасности должны быть утверждены организационно-распорядительные документы по безопасности значимых объектов, в том числе значимых объектов, которые эксплуатируются в подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры, определяющие порядок и правила функционирования системы безопасности значимых объектов, а также порядок и правила обеспечения безопасности значимых объектов критической информационной инфраструктуры. В случае, если субъект критической информационной инфраструктуры входит в состав интегрированной структуры, при подготовке его организационно-распорядительных документов должны учитываться положения организационно-распорядительных документов указанной интегрированной структуры. |
Необходимо также утверждать организационно-распорядительные документы по безопасности значимых объектов, которые эксплуатируются в подразделениях, а также учитывать организационно-распорядительные документы интегрированных структур. |
| П. 29 дополнить | В план мероприятий должны включаться мероприятия по обеспечению безопасности значимых объектов критической информационной инфраструктуры, функционирующих в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры. | Необходимо учитывать КИИ, функционирующие в обособленных подразделениях. | |
| П. 36 изменить и дополнить | Контроль проводится ежегодно комиссией, назначаемой субъектом критической информационной инфраструктуры. В состав комиссии включаются работники структурного подразделения по безопасности, специалисты по безопасности, работники подразделений, эксплуатирующих значимые объекты критической информационной инфраструктуры, и подразделений, обеспечивающих функционирование значимых объектов критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры в состав комиссии могут включаться работники иных подразделений субъекта критической информационной инфраструктуры. |
Контроль проводится комиссией, назначаемой субъектом критической информационной инфраструктуры. В состав комиссии включаются работники структурного подразделения по безопасности, специалисты по безопасности, работники подразделений, эксплуатирующих значимые объекты критической информационной инфраструктуры, и подразделений, обеспечивающих функционирование значимых объектов критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры в состав комиссии могут включаться работники иных подразделений субъекта критической информационной инфраструктуры. Контроль проводится не реже, чем раз в 3 года. Периодичность контроля определяется руководителем субъекта критической информационной инфраструктуры. |
Необходимо проводить контроль не реже, чем раз в 3 года, а не ежегодно. |