Инструкция по выполнению требований по защите КИИ в промышленности от 12.01.2024 «Инструкция по выполнению требований законодательства РФ о защите КИИ организациями, осуществляющими деятельность в сфере оборонной, металлургической и химической промышленности»

  • Наименование: Инструкция по выполнению требований законодательства Российской Федерации о защите критической информационной инфраструктуры организациями, осуществляющими деятельность в сфере оборонной, металлургической и химической промышленности
  • Tекст: [PDF с возможностью поиска] 

Обзор

На сайте Минпромторга России опубликована Инструкция по выполнению требований законодательства РФ о защите КИИ организациями, осуществляющими деятельность в сфере оборонной, металлургической и химической промышленности.

Инструкция не содержит отличий от стандартной процедуры категорирования, установленной Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ), и включает дополнительное требование о направлении в ФГУП «НПП «Гамма» – головную организацию по защите информации Минпромторга России, следующих данных:

  • перечня объектов КИИ;
  • паспорта системы обеспечения безопасности значимых объектов КИИ организации;
  • плана мероприятий, реализуемых при установлении в отношении объектов КИИ уровней опасности целевых компьютерных атак; и результатов выполнения иных требований 187-ФЗ.

Источник: Аналитический центр УЦСБ

Содержание

  • 1. Организациям, подведомственным или находящимся в сфере ведения Минпромторга России, не завершившим работу по определению наличия объектов КИИ и их категорированию:
    • 1.1. Создать постоянно действующую комиссию по категорированию…
    • 1.2. Провести инвентаризацию всех информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления…
    • 1.3. Провести работу по определению наличия объектов КИИ…
    • 1.4. При наличии в организации указанных систем сформировать перечень объектов КИИ, подлежащих категорированию, и согласовать…
    • 1.5. Направить в ФСТЭК России согласованный и утвержденный перечень объектов КИИ, подлежащих категорированию…
    • 1.6. Направить в ФСТЭК России сведения о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий…
    • 1.7. Направить результаты выполнения решений, изложенных в пунктах № 1.1 – 1.5 в печатном и электронном виде на оптическом диске…
    • 1.8. Для вновь создаваемых и проектируемых информационных систем информационно-телекоммуникационных сетей, автоматизированных систем управления выполнять требования пунктов 8, 18 Правил категорирования объектов КИИ…
  • 2. Организациям, подведомственным или находящимся в сфере ведения Минпромторга России, выполнившим работу по категорированию объектов КИИ и имеющим значимые объекты КИИ:
    • 2.1. Создать систему значимых объектов безопасности КИИ, при этом:
      • возложить на руководителя субъекта КИИ или уполномоченное им лицо функции по созданию системы безопасности, организации и контролю ее функционирования
      • создать или определить структурное подразделение, ответственное за обеспечение безопасности значимых объектов КИИ (далее – структурное подразделение по безопасности), или назначить отдельных работников, ответственных за обеспечение безопасности значимых объектов КИИ (далее – специалисты по безопасности)
      • структурному подразделению по безопасности, специалистам по безопасности реализацию функций проводить во взаимодействии с подразделениями (работниками), эксплуатирующими значимые объекты КИИ, и подразделениями (работниками), обеспечивающими функционирование значимых объектов КИИ, иными подразделениями (работниками), участвующими в обеспечении безопасности значимых объектов КИИ
      • применять для обеспечения безопасности значимых объектов КИИ сертифицированные на соответствие требованиям безопасности средства защиты информации или средства, прошедшие оценку соответствия в форме испытаний или приемки…
      • разработать план мероприятий по обеспечению безопасности значимых объектов КИИ на год
      • организовать и проводить ежегодный внутренний контроль организации работ по обеспечению безопасности значимых объектов КИИ и эффективности принимаемых организационных и технических мер
    • 2.2. Организовать в 2022 году и последующие годы профессиональную переподготовку, повышение квалификации работников структурных подразделений по безопасности или специалистов по безопасности по профессиональным программам в области обеспечения безопасности объектов КИИ, согласованным ФСТЭК России
    • 2.3. Для обеспечения устойчивого функционирования значимых объектов КИИ при проведении в отношении них компьютерных атак руководствоваться «Требованиями по обеспечению безопасности значимых объектов КИИ Российской Федерации», утвержденными приказом ФСТЭК России от 25 декабря 2017 г. № 239…
    • 2.4. В случае изменения сведений, указанных в подпунктах «а» – «е» пункта 17 Правил категорирования объектов КИИ, направлять в ФСТЭК России новые сведения в печатном и электронном виде…
    • 2.5. Направить сведения о результатах реализации положений Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности КИИ Российской Федерации» и изданных в его исполнение нормативных правовых актов в печатном и электронном виде на оптическом диске…
    • 2.6. Подготовить и направить «Паспорт системы обеспечения безопасности значимых объектов КИИ в организации» в печатном и электронном виде…
    • 2.7. Разработать и согласовать «План мероприятий, реализуемых организацией при установлении в отношении принадлежащих ей объектов КИИ уровней опасности проведения целевых компьютерных атак» с ФСТЭК России
    • 2.8. Направить в ФСТЭК России и управления ФСТЭК России по федеральным округам копию утвержденного «Плана мероприятий, реализуемых организацией при установлении в отношении принадлежащих ей объектов КИИ уровней опасности проведения целевых компьютерных атак»
    • 2.9. Направлять информацию о выполнении пунктов 2.7 и 2.8…

Просмотр текста