Изменения в 239. Приказ ФСТЭК.

 06.03.2019 На regulation.gov.ru для общественного обсуждения опубликован проект приказа ФСТЭК России "О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239".

Источник материала >

Внесение изменений в подзаконные акты 187-ФЗ идет по План-графику подготовки нормативных правовых актов Российской Федерации, направленных на совершенствование обеспечения безопасности критической информационной инфраструктуры Российской Федерации, утвержденным Правительством Российской Федерации 25 октября 2018 г. №8705п-П10.

• Изменения в ПП127
• Изменения в 236 приказ ФСТЭК
• Изменения в 235 приказ ФСТЭК  

Из пояснительной записки следует:

Проектом приказа предусмотрено внесение изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239, направленных на повышение эффективности и оптимизацию мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, а также на установление требования по применению сертифицированных по требованиям безопасности информации маршрутизаторов.

При разработке проекта приказа учтены результаты мониторинга правоприменения приказа ФСТЭК России от 25 декабря 2017 г. № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".

Краткое содержание вносимых изменений:

• В ТЗ на создание значимого объекта должны включаться требования к составу и содержанию разрабатываемой документации.
• В процессе проектирования значимого объекта его категория значимости может быть уточнена.
• По результатам опытной эксплуатации принимается решение о возможности (или невозможности) проведения приемочных испытаний значимого объекта.
• Замена формулировок: "ввод в действие" на "ввод в эксплуатацию", "разработка политики" на "регламентация правил и процедур".
• Переход с НДВ на уровни доверия. С 1 января 2020 г. должны применяться сертифицированные средства защиты информации: 

1. в значимых объектах 1 категории - соответствующие 4 или более высокому уровню доверия.
2. в значимых объектах 2 категории - соответствующие 5 или более высокому уровню доверия.
3. в значимых объектах 3 категории - соответствующие 6 или более высокому уровню доверия.

• При проектировании значимых объектов 1 категории должны использоваться сертифицированные граничные маршрутизаторы, имеющие доступ к сети "Интернет". При этом: в случае отсутствия технической возможности применения сертифицированных граничных маршрутизаторов, должны производиться соответствующие испытания на предмет оценки соответствия функций безопасности граничных маршрутизаторов требованиям по безопасности; отсутствие таковой технической возможности должно быть обосновано в проектной документации на значимые объекты.
• Программные и программно-аппаратные средства хранения и обработки информации в составе значимых объектов 1 категории должны размещаться на территории РФ, за исключением: размещения указанных средств в зарубежных подразделениях субъекта КИИ, либо случаев, установленных законодательством.
• Исключены из базового набора мер обеспечения безопасности:

1. УПД.8, АУД.11, ЗИС.31 - для 1 категории
2. ЗИС.23, ЗИС.24, ЗИС.25, ЗИС.28, ЗИС.29 - для 1 и 2 категории

• Включены в базовый набор мер обеспечения безопасности:

1. ЗИС.6 - для 1, 2 и 3 категории
2. ИНЦ.6 - для 3 и 2 категории
3. ЗИС.35 - для 3 категории

Итог:

1. Ужесточение требований не касается уже установленного оборудования ЗОКИИ. Вопрос с судьбой нереализованными в железе, но уже с выполненными проектами при вступлении в силу изменений дискуссионный. Хуже всего придется тем субъектам, которые при проектировании повысят свою категорию.
2. ФСТЭК начинает активно использовать свои приказы для введения ограничений не только на средства защиты информации, но и на средства обработки информации – сетевые маршрутизаторы и программные и программно-аппаратные средства, осуществляющие хранение и обработку информации. При этом, для сертификации маршрутизаторов необходим исходный код. Для 1 категории значимости ЗОКИИ предусмотрен в обязательном 4 УД.