Верхнее

Каков порядок действий при модернизации ЗО КИИ, для которого уже была создана СБ ЗО КИИ?

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

п.8: «На стадиях (этапах) жизненного цикла в ходе создания (модернизации), эксплуатации и вывода из эксплуатации значимого объекта проводятся:
а) установление требований к обеспечению безопасности значимого объекта;
б) разработка организационных и технических мер по обеспечению безопасности значимого объекта;
в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие; …»

п.9: «…Модернизация или дооснащение подсистем безопасности значимых объектов осуществляется в порядке, установленном настоящими Требованиями для создания значимых объектов и их подсистем безопасности, с учетом имеющихся у субъектов критической информационной инфраструктуры программ (планов) по модернизации или дооснащению значимых объектов»

пп.в) п.13.4: «управление изменениями значимого объекта и его подсистемы безопасности: разработка параметров настройки, обеспечивающих безопасность значимого объекта, анализ потенциального воздействия планируемых изменений на обеспечение безопасности значимого объекта, санкционирование внесения изменений в значимый объект и его подсистему безопасности, документирование действий по внесению изменений в значимый объект и сохранение данных об изменениях конфигурации».

Согласно Приказа ФСТЭК России №227 от 06.12.2017:

п.3: «… Субъекты критической информационной инфраструктуры должны обеспечивать достоверность и актуальность представляемых сведений об объектах критической информационной инфраструктуры»

Таким образом, при модернизации ЗО КИИ ответственными лицами (назначаемыми субъектом КИИ) должен быть проведен задокументированный анализ воздействия изменений на обеспечение безопасности ЗО, а также (при необходимости) пересмотр требований к обеспечению безопасности ЗО КИИ с дальнейшей их реализацией.

Если планируемые изменения не приводят к пересмотру требований и внедрению дополнительных мер по обеспечению безопасности ЗО КИИ, то это также должно быть задокументировано.

Кроме того, если в результате изменений информационной инфраструктуры объект перестает соответствовать критериям значимости и показателям их значений, то категория значимости объекта КИИ должна быть пересмотрена комиссией (п.12 ст.7 187-ФЗ от 26.07.2017). При этом в соответствии с п.3 Приказа ФСТЭК России №227 от 06.12.2017 о факте изменения категории необходимо уведомить регулятора путем повторной отправки сведений по форме Приказа ФСТЭК России №236 от 22.12.2017.