Перечень нормативных правовых актов или их отдельных частей, оценка соблюдения которых является предметом государственного контроля (надзора) в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации https://fstec.ru/normotvorcheskaya/perechen-obyazatelnykh-trebovanij/1957-perechen-aktov-utverzhden-prikazom-fstek-rossii-ot-16-iyulya-2019-g-n-135
Из примечательного: не упоминаются приказы ФСБ по КИИ.
Но не расслабляйтесь, для ЗОКИИ обязательно выполнение 239 приказа ФСТЭК и он проверяется ФСТЭК при госконтроле.
А в 239 приказе есть очень интересный пункт:
13.5. Реагирование на компьютерные инциденты осуществляется в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
Смотрим 187-ФЗ:
6) утверждает порядок информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры (в банковской сфере и в иных сферах финансового рынка утверждает указанный порядок по согласованию с Центральным банком Российской Федерации);
Это речь про Приказ ФСБ России от 19.06.2019 № 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации".
И выполнение требований данного приказа ФСБ будут проверятся ФСТЭК.
Почему не попал 367 приказ ФСБ не понятно. Собственно, неясно кто вообще будет проверять соблюдение других приказов ФСБ.
И еще очень важный момент для субъекта ЗОКИИ!
187-ФЗ.
12. Категория значимости, к которой отнесен значимый объект критической информационной инфраструктуры, может быть изменена в порядке, предусмотренном для категорирования, в следующих случаях:
1) по мотивированному решению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, принятому по результатам проверки, проведенной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;
В результате проверки вы можете получить указание о повышение категории значимости ОКИИ, несмотря на то, что ФСТЭК проверила правильность выполнения процедуры категорирования при внесении сведений в реестр ЗОКИИ.
P.S. На SOC-форуме-2019 будет Сессия 1 "Требования 187-ФЗ и опыт их выполнения" с участием Торбенко (ФСТЭК) и Корелова (НКЦКИ), 19 ноября с 16 до 18 часов. На ней я выступаю с докладом "Организация процесса выявления и реагирования на компьютерные инциденты и взаимодействия с НКЦКИ", будем обсуждать все спорные моменты из нормативки по КИИ, включая и госконтроль за ЗОКИИ. Приходите.
https://ib-bank.ru/soc-forum/programma_proekt
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
Комментариев нет:
Отправить комментарий