Группа компаний «АВИ-Центр»

О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования
Информационная безопасность

Новости

О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования

Novyj Fn 2 1024x375
Внедрение CRM
11 мая 2023
Выходные прошли плодотворно и с отличным результатом — мы получили компетенцию «Системное администрирование и эксплуатация» в 1С-Битрикс». Данная компетенция предоставляется партнерам, оказывающим клиентам услуги по системному администрированию проектов на базе платформы 1С-Битрикс.
Novyj Fn 1 1024x375
Внедрение CRM
03 мая 2023
Интереснейшее время! Спросили как-то у нейросети, в чем отличие двух crm-систем. И получили полноценный сравнительный анализ от искусственного интеллекта.
Smeta Sent2022 (1)
Сметное дело
28 апреля 2023
Письмо Минстроя России от 23 декабря 2022 года № 70119-ИФ/09 «По вопросу учета дополнительных транспортных затрат при формировании сметных расчетов»:
сдс70322bdf 3619 4bf3 814a 7fc259c41542 1
Сметное дело
26 апреля 2023
Novyj Fn 1 (2)
Сметное дело
25 апреля 2023
Ответ МинФина по вопросу о применении положений Федерального закона № 44-ФЗ в части заключения и порядка оплаты по контракту исполнителю, применяющему упрощенную систему налогообложения:
Banner Release 2023 1 Vk 1920x1080
Внедрение CRM
25 апреля 2023
Битрикс24 выпустил несколько крутых инструментов, которые помогут вам сделать совместную работу ещё эффективнее, а бизнес — прибыльнее. Сейчас расскажем подробнее.
S Nastupayushhim Novym Godom 4
Новость компании
24 апреля 2023
Учебный центр ГК «АВИ ЦЕНТР» приглашает:
Novyj Fn 5
Внедрение CRM
03 апреля 2023
Покупка crm-системы для компании это серьезный вопрос. Выбор той или иной «срмки» можно растянуть на несколько недель и даже месяцев. Чтобы сэкономить ваше время и деньги мы хотим проработать риски, с которыми чаще всего сталкиваются клиенты при покупке.
Novyj Fn 1 (1)
Сметное дело
14 марта 2023
С связи со вступлением в силу новой Федеральной сметно-нормативной базы ФСНБ-2022 и связанного с этим ввода в действие ресурсно-индексного метода (РИМ) расчета смет, выпущена новая версия программы ГРАНД-Смета, в которую добавлен ряд нововведений, в том числе:
Telegram Ib 11
21 февраля 2023
Изменения утверждены приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235 (проект).

На стадии общественного обсуждения находится проект приказа ФСТЭК России «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утверждённые приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235».

Изменения связаны с реализацией требований, установленных Указом Президента № 250. Так, например, предложено убрать требования о количестве часов профпереподготовки (360 и 72 соответственно в отношении руководителей и специалистов подразделений ИБ) и дать возможность субъектам КИИ часть функций возложить на «…специалистов со средним профессиональным образованием по специальности «Информационная безопасность».

Очень интересное (и полезное для субъектов КИИ) дополнение к пункту 21 приказа № 235. Об этом и других изменениях в нашем обзоре-сравнении: 

Пункт

было

станет

8

Руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо, на которое возложены функции обеспечения безопасности значимых объектов критической информационной инфраструктуры

Руководитель субъекта критической информационной инфраструктуры или заместитель руководителя субъекта критической информационной инфраструктуры, на которого возложены полномочия по информационной безопасности в соответствии с Указом Президента Российской Федерации от 1 мая 2022 г. № 250

10

Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры

Руководитель субъекта критической информационной инфраструктуры возлагает функции по обеспечению безопасности значимых объектов критической информационной инфраструктуры на структурное подразделение, обеспечивающее информационную безопасность субъекта критической информационной инфраструктуры в соответствии с Указом Президента Российской Федерации от 1 мая 2022 г. № 250

 

Структурное подразделение по безопасности, специалисты по безопасности должны осуществлять следующие функции:

разрабатывать предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представлять их руководителю субъекта критической информационной инфраструктуры (уполномоченному лицу);

Слово «уполномоченному» заменить словом «ответственному»;

 

10.1

По решению руководителя субъекта критической информационной инфраструктуры (уполномоченного лица)

Слово «уполномоченному» заменить словом «ответственному»; 
 далее везде «уполномоченный» заменяется на «ответственный»

 

Координацию и контроль выполнения функций структурными подразделениями по безопасности, специалистами по безопасности обособленных подразделений (филиалов, представительств) осуществляют структурные подразделения по безопасности, специалисты по безопасности субъекта критической информационной инфраструктуры

Координацию и контроль выполнения функций структурными подразделениями по безопасности, специалистами по безопасности обособленных подразделений (филиалов, представительств) осуществляют ответственное лицо или структурные подразделения по безопасности, специалисты по безопасности субъекта критической информационной инфраструктуры

12

Работники структурного подразделения по безопасности, специалисты по безопасности должны соответствовать следующим требованиям:

наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению “Информационная безопасность” (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;

наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению “Информационная безопасность” (со сроком обучения не менее 72 часов);

Работники структурного подразделения по безопасности, специалисты по безопасности должны соответствовать следующим требованиям:

наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению “Информационная безопасность”, наличие стажа работы в сфере информационной безопасности не менее 3 лет;

наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего или среднего (при наличии должности в штатом расписания у субъекта критической информационной инфраструктуры)профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению “Информационная безопасность”;

12.1

 

На специалистов со средним профессиональным образованием
 по специальности «Информационная безопасность» по решению руководителя субъекта критической информационной инфраструктуры могут возлагаться следующие функции:

установка и настройка средств защиты информации значимых объектов критической информационной инфраструктуры;

информирование работников о нарушениях требований
 по безопасности информации и правил эксплуатации средств защиты информации;

ведение протоколов и журналов учета при осуществлении мониторинга средств защиты информации значимых объектов критической информационной инфраструктуры»;

21

 

В случае невозможности обеспечения средств защиты информации  гарантийной, технической поддержкой со стороны разработчиков (производителей), субъектом критической информационной инфраструктуры должны быть реализованы организационные и технические меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта, в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. № 239.»;

27

Организационно-распорядительные документы по безопасности значимых объектов должны быть доведены до руководства субъекта критической информационной инфраструктуры, подразделения по безопасности, специалистов по безопасности, а также до иных подразделений (работников), участвующих в обеспечении безопасности значимых объектов критической информационной инфраструктуры, в части, их касающейся

Организационно-распорядительные документы по безопасности значимых объектов должны быть доведены до руководства субъекта критической информационной инфраструктуры, ответственного лица, подразделения по безопасности, специалистов по безопасности, а также до иных подразделений (работников), участвующих в обеспечении безопасности значимых объектов критической информационной инфраструктуры, в части, их касающейся

36

В случае проведения по решению руководителя субъекта критической информационной инфраструктуры внешней оценки (внешнего аудита) состояния безопасности значимых объектов критической информационной инфраструктуры внутренний контроль может не проводиться.

В случае проведения по решению руководителя, ответственного лица субъекта критической информационной инфраструктуры внешней оценки (внешнего аудита) состояния безопасности значимых объектов критической информационной инфраструктуры внутренний контроль может не проводиться.