Изменения в нормативной базе по КИИ

---

Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.

---

Сравнительно “молодые” нормативно-правовые акты, касающиеся вопросов обеспечения безопасности критической информационной инфраструктуры меняются и достаточно активно.

За неполные полтора года с вступления 187-ФЗ в силу с 01 января 2018 года были проведены следующие корректировки:

• унификация №239 и №31 приказов ФСТЭК России: 
  Приказ ФСТЭК России №138 от 09.08.2018 «О внесении изменений в Требования к обеспечению ЗИ в АСУ П и ТП на КВО, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК №31, и в Требования по обеспечению безопасности ЗО КИИ РФ, утвержденные приказом ФСТЭК №239»;
• изменения в Правилах Категорирования: 
  Постановление Правительства РФ №452 от 13.04.2019 «О внесении изменений в постановление ПП-127 от 08.02.2018»;
• изменения в Форме сведений, направляемых по результатам Категорирования: 
  Приказ ФСТЭК России №59 от 21.03.2019 «О внесении изменений в форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом ФСТЭК №236 от 22.12.2017»;
• изменения Требований по обеспечению безопасности безопасности ЗО КИИ: 
  Приказ ФСТЭК №60 от 26.03.2019 «О внесении изменений в Требования по обеспечению безопасности значимых объектов КИИ РФ, утвержденные приказом ФСТЭК №239 от 25.12.2017».

Помимо этого в ближайшее время планируются:

• изменения в Кодекс об административных правонарушениях: 
  [проект] 01/05/03-19/00089944 ФЗ О внесении изменений в КоАП РФ (в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ);
• изменения в Приказ ФСТЭК №235.

Ну, и мы всё ещё ждём приказы ФСБ России и Минкомсвязи:

• Проект приказа ФСБ России «Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты»;
• Проект приказа ФСБ России «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты»;
• Проект приказа ФСБ России «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ РФ»;
• Проект приказа Минкомсвязи России «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ».

В рамках конференции, организованной АНО ДПО “Техническая Академия Росатома”, 23 апреля выступала представитель ФСТЭК России Анна Александровна Иванова с докладом как раз на эту тему: “Реализация 187-ФЗ. Изменения, вносимые в нормативную базу”.

Доклад был в открытой части конференции, поэтому позволил себе сделать его аудиозапись, а также делюсь некоторыми фотографиями слайдов.

https://www.youtube.com/watch?v=aT9byA3EbYY

Реализация 187-ФЗ. Изменения, вносимые в нормативную базу

• 

• 

• 

• 

Что можно отметить в докладе (помимо обзора основных изменений ПП-127 и приказов 235, 236 и 239):

• ФСТЭК России обещает выложить у себя на сайте новую редакцию ПП-127 со всеми внесёнными правками единым текстом (пока это не сделано, текст можно взять здесь);
• В ранее направленный Перечень объектов КИИ, подлежащих Категорированию, допускается вносить изменения, направляя их вместе с обоснованием ("забыли включить", "решили исключить, так как..." и пр.) во ФСТЭК России в уведомительном порядке;
• На сайте ФСТЭК России будет выложена электронная форма для заполнения Сведений по результатам Категорирования, пропущенные поля в которой (например, выделенное в новой версии формы в отдельный пункт 8.3 обоснование полученных значений или неприменимости показателя к объекту) не будут позволять её сохранить;
• "Закон обратной силы не имеет", поэтому если Комиссия уже была создана и направлены Перечень и Сведения, то эти Перечень и Сведения будут приняты, но в дальнейшем Комиссия уже должна быть постоянно действующей.

Указанное выше выделил скорее для себя, рекомендую прослушать доклад целиком.

--- === @zlonov === ---

---

--- === @zlonov === ---