Позиция ФСТЭК: Приказ 239 выполняется отдельно от 17 и 21. Если что-то уже выполнено по 17 и 21, то меры можно зачесть при оценке выполнения 239. Но наличие аттестатов на ИСПДн и/или ГИС не освобождает от отдельной процедуры по вынесению положительного заключения (выводе) в акте приемки (или в аттестате соответствия) о соответствии значимого объекта установленным требованиям по обеспечению безопасности. Для ГИС, которой присвоена категория значимости КИИ, это положительное заключение только в форме аттестации, на соответствие требованиям 239 приказа.
Задал уточняющий вопрос: у меня ГИС, аттестованы по 17 приказу в декабре 2017. В 2019 их категорирую как значимые объекты, согласно ПП127. Мне необходимо проводить отдельную аттестацию ГИС по 239 приказу? При действующем аттестате по 17.
Ответ ФСТЭК: нет, необходимо провести самостоятельную оценку полноты реализованных мер по 17 приказу, если недостаточно – внедрить недостающие меры к требуемой категории КИИ. Оформить заключение о соответствии значимого объекта установленным требованиям по обеспечению безопасности.
Уточняю: В 2020 году аттестат по 17 приказу истек, провожу повторную аттестацию. Аттестация на 17 и 239 приказ?
Ответ ФСТЭК: Да. Для ГИС обязательна аттестация по 239 приказу.
Отдельный момент, который надо учитывать субъекту:
25. В случае если значимый объект является государственной информационной системой или информационной системой персональных данных, меры по обеспечению безопасности значимого объекта и меры защиты информации (по обеспечению персональных данных) принимаются в соответствии с более высокой категорией значимости, классом защищенности или уровнем защищенности персональных данных.
Задал уточняющий вопрос: у меня ГИС, аттестованы по 17 приказу в декабре 2017. В 2019 их категорирую как значимые объекты, согласно ПП127. Мне необходимо проводить отдельную аттестацию ГИС по 239 приказу? При действующем аттестате по 17.
Ответ ФСТЭК: нет, необходимо провести самостоятельную оценку полноты реализованных мер по 17 приказу, если недостаточно – внедрить недостающие меры к требуемой категории КИИ. Оформить заключение о соответствии значимого объекта установленным требованиям по обеспечению безопасности.
Уточняю: В 2020 году аттестат по 17 приказу истек, провожу повторную аттестацию. Аттестация на 17 и 239 приказ?
Ответ ФСТЭК: Да. Для ГИС обязательна аттестация по 239 приказу.
Отдельный момент, который надо учитывать субъекту:
25. В случае если значимый объект является государственной информационной системой или информационной системой персональных данных, меры по обеспечению безопасности значимого объекта и меры защиты информации (по обеспечению персональных данных) принимаются в соответствии с более высокой категорией значимости, классом защищенности или уровнем защищенности персональных данных.
Заключение: я не вижу в существующих проектах приказов ФСТЭК требований по обязательной аттестации значимых объектов КИИ, в том числе ГИС.
Наоборот, однозначно указано: «В случае если значимый объект является государственной информационной системой, в иных случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры, оценка значимого объекта и его подсистемы безопасности проводится в форме аттестации значимого объекта в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17.». Аттестация только по 17 приказу. Нет никакой аттестации по 239 приказу, даже когда «в случае принятия решения субъектом критической информационной инфраструктуры, оценка значимого объекта и его подсистемы безопасности проводится в форме аттестации».
Есть отдельный абзац «Ввод в действие значимого объекта и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии значимого объекта установленным требованиям по обеспечению безопасности.», который вносит неоднозначность – какой же аттестат требуется то в итоге. Но в нем нет требований об обязательности аттестации. Ни для ГИС, ни для других типов ИС.
Более того, для проведения внешней оценки не требуется лицензия на аттестацию – «Контроль проводится на соответствие настоящим Требованиям, требованиям по безопасности, иным нормативным правовым актам в области обеспечения безопасности критической информационной инфраструктуры…
В случае проведения по решению руководителя субъекта критической информационной инфраструктуры внешней оценки (внешнего аудита) состояния безопасности значимых объектов критической информационной инфраструктуры внутренний контроль может не проводиться.
Для проведения внешней оценки привлекаются организации, имеющее лицензии на деятельность в области защиты информации (в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации).».
Наоборот, однозначно указано: «В случае если значимый объект является государственной информационной системой, в иных случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры, оценка значимого объекта и его подсистемы безопасности проводится в форме аттестации значимого объекта в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17.». Аттестация только по 17 приказу. Нет никакой аттестации по 239 приказу, даже когда «в случае принятия решения субъектом критической информационной инфраструктуры, оценка значимого объекта и его подсистемы безопасности проводится в форме аттестации».
Есть отдельный абзац «Ввод в действие значимого объекта и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии значимого объекта установленным требованиям по обеспечению безопасности.», который вносит неоднозначность – какой же аттестат требуется то в итоге. Но в нем нет требований об обязательности аттестации. Ни для ГИС, ни для других типов ИС.
Более того, для проведения внешней оценки не требуется лицензия на аттестацию – «Контроль проводится на соответствие настоящим Требованиям, требованиям по безопасности, иным нормативным правовым актам в области обеспечения безопасности критической информационной инфраструктуры…
В случае проведения по решению руководителя субъекта критической информационной инфраструктуры внешней оценки (внешнего аудита) состояния безопасности значимых объектов критической информационной инфраструктуры внутренний контроль может не проводиться.
Для проведения внешней оценки привлекаются организации, имеющее лицензии на деятельность в области защиты информации (в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации).».
ФСТЭК анонсировал внесение изменений в 17 и 21 приказ, подробности пока не известны. Возможно, что в них будет отражена позиция регулятора по аттестации 239 приказом, озвученная Шевцовым на ТБ-форуме.
Ждем окончательно версии приказа 239, мы же обожаем неожиданности.
Ждем окончательно версии приказа 239, мы же обожаем неожиданности.
Комментариев нет:
Отправить комментарий