Изменения в 239. Приказ ФСТЭК.
Валерий Комаров, 19.03.19
06.03.2019 На regulation.gov.ru для общественного обсуждения опубликован проект приказа ФСТЭК России "О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239".
Внесение изменений в подзаконные акты 187-ФЗ идет по План-графику подготовки нормативных правовых актов Российской Федерации, направленных на совершенствование обеспечения безопасности критической информационной инфраструктуры Российской Федерации, утвержденным Правительством Российской Федерации 25 октября 2018 г. №8705п-П10.
Из пояснительной записки следует:
Проектом приказа предусмотрено внесение изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239, направленных на повышение эффективности и оптимизацию мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, а также на установление требования по применению сертифицированных по требованиям безопасности информации маршрутизаторов.
При разработке проекта приказа учтены результаты мониторинга правоприменения приказа ФСТЭК России от 25 декабря 2017 г. № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".
Краткое содержание вносимых изменений:
- В ТЗ на создание значимого объекта должны включаться требования к составу и содержанию разрабатываемой документации.
- В процессе проектирования значимого объекта его категория значимости может быть уточнена.
- По результатам опытной эксплуатации принимается решение о возможности (или невозможности) проведения приемочных испытаний значимого объекта.
- Замена формулировок: "ввод в действие" на "ввод в эксплуатацию", "разработка политики" на "регламентация правил и процедур".
- Переход с НДВ на уровни доверия. С 1 января 2020 г. должны применяться сертифицированные средства защиты информации:
- в значимых объектах 1 категории - соответствующие 4 или более высокому уровню доверия.
- в значимых объектах 2 категории - соответствующие 5 или более высокому уровню доверия.
- в значимых объектах 3 категории - соответствующие 6 или более высокому уровню доверия.
- При проектировании значимых объектов 1 категории должны использоваться сертифицированные граничные маршрутизаторы, имеющие доступ к сети "Интернет". При этом: в случае отсутствия технической возможности применения сертифицированных граничных маршрутизаторов, должны производиться соответствующие испытания на предмет оценки соответствия функций безопасности граничных маршрутизаторов требованиям по безопасности; отсутствие таковой технической возможности должно быть обосновано в проектной документации на значимые объекты.
- Программные и программно-аппаратные средства хранения и обработки информации в составе значимых объектов 1 категории должны размещаться на территории РФ, за исключением: размещения указанных средств в зарубежных подразделениях субъекта КИИ, либо случаев, установленных законодательством.
- Исключены из базового набора мер обеспечения безопасности:
- УПД.8, АУД.11, ЗИС.31 - для 1 категории
- ЗИС.23, ЗИС.24, ЗИС.25, ЗИС.28, ЗИС.29 - для 1 и 2 категории
- Включены в базовый набор мер обеспечения безопасности:
- ЗИС.6 - для 1, 2 и 3 категории
- ИНЦ.6 - для 3 и 2 категории
- ЗИС.35 - для 3 категории
Итог:
- Ужесточение требований не касается уже установленного оборудования ЗОКИИ. Вопрос с судьбой нереализованными в железе, но уже с выполненными проектами при вступлении в силу изменений дискуссионный. Хуже всего придется тем субъектам, которые при проектировании повысят свою категорию.
- ФСТЭК начинает активно использовать свои приказы для введения ограничений не только на средства защиты информации, но и на средства обработки информации – сетевые маршрутизаторы и программные и программно-аппаратные средства, осуществляющие хранение и обработку информации. При этом, для сертификации маршрутизаторов необходим исходный код. Для 1 категории значимости ЗОКИИ предусмотрен в обязательном 4 УД.