В начале марта ФСТЭК России вынес на общественное обсуждение тексты проектов обновленных приказов:
- «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской
Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235»;
- «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. № 236»;
- «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».
Работа по внесению изменений проводится с целью совершенствования обеспечения безопасности критической информационной инфраструктуры Российской Федерации и идёт согласно утвержденному Плану-графику разработки документов, утвержденному в 2018 году. При разработке проектов приказов учтены результаты мониторинга их правоприменения на практике субъектами КИИ.
С полным перечнем правок можно ознакомиться сайте regulation.gov.ru, из наиболее значимых изменений можно отметить следующие.
В проекте обновленного приказа №235:
- период внутреннего контроля состояния безопасности значимых объектов КИИ увеличен с одного года до трех;
- устанавливаются дополнительные требования к стажу и профессиональному образованию руководителей и штатных работников структурных подразделений по безопасности (с 01.01.2021);
- субъект КИИ обязан не реже раза в пять лет организовывать повышение квалификации по ИБ для работников структурного подразделения по безопасности.
Изменения в проекте обновленного приказа №239, как следует из пояснительной записки, направлены в том числе на установление требования по применению сертифицированных по требованиям безопасности информации маршрутизаторов. Также важным изменением является переход с 1.01.2020 г. с уровней контроля отсутствия недекларированнных возможностей (НДВ) на уровни доверия (различные, в зависимости от категории объекта).
В проекте обновленного приказа №236, регламентирующем форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости, внесены изменения, направленные на лучшее понимание субъектами КИИ сути требований по предоставлению сведений. Как отмечают официальные представители ФСТЭК, форма вызывает множество вопросов, а процент заполненных и направленных во ФСТЭК форм крайне невысок. Для оптимизации состава сведений о результатах присвоения объектам критической информационной инфраструктуры категорий значимости либо об отсутствии необходимости присвоения им таких категорий специалистами ФСТЭК были внесены правки в текст формы.
Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендуют всем специалистам в области информационной безопасности на транспорте ознакомиться с полными официальными текстами проектов документов, оценить все внесенные изменения, вынести собственное мнение и поучаствовать в профессиональной дискуссии.