Листок бюрократической защиты информации

2021-08-11 09:01:11 ​​ Аттестация по-новому

Официально опубликован Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утверждённый приказом ФСТЭК России от 29 апреля 2021 г.
№ 77.
Указанный Порядок будет применяться для аттестации объектов информатизации с 1 сентября 2021 г.

Из интересного:

1. Рассматриваемый Порядок применяется при аттестации:
- ГИС и МИС (приказ ФСТЭК № 17);
- информационных систем управления производством, используемых организациями ОПК (приказ ФСТЭК №31дсп), в том числе автоматизированных систем станков с ЧПУ;
- Защищаемых помещений.
2. В случае если было принято соответсвующее решение, то рассматриваемый Порядок применяется для аттестации:
- ЗОКИИ (приказ ФСТЭК № 239);
- ИСПДн (приказ ФСТЭК № 21);
- АСУ ТП на КВО, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среды (приказ ФСТЭК № 31).
3. Порядок оперирует следующими сущностями: владелец ОИ, орган по аттестации, аттестационная комиссия, ФСТЭК России.
4. Определен минимальный состав аттестационной комиссии органа по аттестации: руководитель комиссии и менее двух компетентных экспертов.
5. Появилось прямое требование о дистанцировании, изоляции членов комиссии от влияния владельца аттестуемого ОИ.
6. Установлен срок направления владельцу ОИ заключения по результатам аттестационных испытаний и протоколов аттестационных испытаний - 5 рабочих дней с момента утверждения.
7. Описан порядок обжалования выявленных недостатков в ходе аттестации.
8. Установлена обязанность направления органом по аттестации в ФСТЭК России следующих документов: аттестата соответствия, ТП, акта классификации/акта категорирования, ПМИ, заключений и протоколов.
9. Постулируется, что аттестат соответствия будет выдаваться на весь срок эксплуатации ОИ, но периодический контроль аттестованных ОИ должен проводиться не реже 1 раза в два года. Документы по результатам контроля направляются владельцем ОИ в ФСТЭК России.
10. Описан порядок приостановления и возобновления действия аттестата соответствия ФСТЭК России.
11. Установлена обязанность представления органами по аттестации информации об аттестованных ОИ.

ФСТЭК России придумала, как заполучить акт категорирования объекта КИИ, который предоставлять регулятору ранее не требовалось. Интересно, эта информация будет использоваться для выявления правонарушений по ч. 1 ст. 19.7 прим 15 КОАП (Непредставление или нарушение сроков представления в ФСТЭК России, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, либо об отсутствии необходимости присвоения ему одной из таких категорий).

P.S.: а куда делся пункт 32 Порядка? Открыть/Комментировать

2021-08-05 09:30:11 ​​О единых требованиях о защите информации

ФСТЭК России выступила с инициативой законодательного закрепления единых для государственных органов и коммерческих организаций требований о защите информации, обладателями которой являются государственные органы. Как утверждает ведомство, данная проблема обусловлена снижением уровня защищённости информации, обладателями которой являются государственные органы, при ее размещении в центрах обработки данных, принадлежащих подведомственным организациям таких государственных органов или иным коммерческим организациям. Открыть/Комментировать

2021-08-02 11:10:00 Роскомнадзор и Банк России разъяснили требования к обработке персональных данных граждан финансовыми организациями

Соответствующее информационное письмо о согласии
заемщиков на обработку их персональных данных опубликовано на сайте Роскомнадзора. Открыть/Комментировать

2021-07-29 17:40:00 ​​ Изменения в Порядок ведения реестра ЗОКИИ

ФСТЭК России, взяв курс на обеспечение актуальности и достоверности сведений, содержащихся в реестре ЗОКИИ, представила для общественного обсуждения проект ведомственного приказа «О внесении изменений в Порядок ведения реестра значимых объектов критической
информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227».
Указанным проектом предлагается:
все же развести сферы энергетики и топливно-энергетического комплекса по разным графам;
конкретизировать обязанность субъектов КИИ об уведомлении ФСТЭК России об изменениях ЗОКИИ;
дополнить случаи предоставления сведений из реестра ЗОКИИ отраслевым регуляторам. Открыть/Комментировать

2021-07-27 16:30:21 ​​СЗЗ на сертифицированных СЗИ больше не будет

ФСТЭК России информирует о порядке маркировки сертифицированных средств защиты информации в системе сертификации ФСТЭК России.

Источник: информационное сообщение ФСТЭК России от 22 июля 2021 г. № 240/24/3487 «О порядке маркировки сертифицированных средств защиты информации в системе сертификации ФСТЭК России». Открыть/Комментировать

2021-07-27 11:15:00 ​​Изменения в ПП-313

ФСБ России выступила с инициативой запрета осуществления иностранными юридическими лицами деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств.

Проект соответствующего постановления Правительства Российской Федерации «О внесении изменений в некоторые акты
Правительства Российской Федерации по вопросам
лицензирования отдельных видов деятельности» представлен для общественного обсуждения. Открыть/Комментировать

2021-07-27 10:01:14 Вопросы по реализации 187-ФЗ

И вновь появилась возможность задать вопросы по реализации 187-ФЗ, ответы на которые будут озвучены А. Кубаревым (ФСТЭК России) в рамках онлайн конференции «Выбирая интеграторов для построения систем защиты объектов КИИ».

Вопросы можно направить, воспользовавшись данной формой. Открыть/Комментировать

2021-07-26 13:30:06 ​​ 149-ФЗ и ГИС: наконец-то будет ясность?

Минцифры представило для общественного обсуждения проект изменений в Федеральный закон
«Об информации, информационных технологиях и о защите информации» и Федеральный закон «О техническом регулировании».
Указанными изменениями предполагается:

Ввести определение термина «Государственная информационная система».

Ввести определение термина «Жизненный цикл информационной системы».

Обновить разновидности информационных систем.

—————————————————————

ГИС - информационная система, созданная в соответствии с настоящим Федеральным законом, иными федеральными законами, законами субъектов Российской Федерации, в базах данных которой содержится документированная информация и (или) иные сведения, получаемые или формируемые федеральными органами государственной власти, иными федеральными государственными органами, органами государственной власти субъектов Российской Федерации, иными государственными органами субъектов Российской Федерации, государственными организациями в связи с осуществлением ими полномочий по предоставлению государственных или муниципальных услуг (исполнению государственных или муниципальных функций), предусмотренных нормативными правовыми актами, а также иными организациями, на которые возложено осуществление функций по получению или формированию соответствующей информации и (или) сведений законодательством Российской Федерации, законодательством субъектов Российской Федерации.

Разновидности ИС:
федеральные государственные информационные системы;
региональные государственные информационные системы;
муниципальные информационные системы;
иные информационные системы. Открыть/Комментировать

2021-07-23 10:00:56 ​​О качестве подготовки нормативных правовых актов. Около бюрократической ИБ

Полагаю, что многие уже успели ознакомиться с критикой Заместителя Председателя Правительства Российской Федерации - Руководителя Аппарата Правительства Российской Федерации Д. Григоренко в адрес федеральных органов исполнительной власти и организаций по качеству разрабатываемых ими нормативных правовых актов.
Стоит заметить, что в числе критикуемых не оказалось регуляторов из области информационной безопасности (за исключением Минцифры). Интересно, это обстоятельство связано с тем, что ФСТЭК России и ФСБ России готовят качественные нормативные правовые акты или количество разрабатываемых ими нормативных правовых актов столь мало, что не заслуживает включения в антирейтинг (но как же тогда иногда мелькающий постулат о чрезмерной зарегулированности области ИБ)?
—————————————————————
Судя по всему, ФСТЭК России не откажется от практики простановки ограничительных пометок на ряде своих НПА, ведь к ведомству не было претензий. Открыть/Комментировать

2021-07-22 19:15:00 ​​ Изменения в Правила категорирования ОКИИ

ФСТЭК России представила для общественного обсуждения проект изменений в Правила категорирования объектов критической информационной инфраструктуры
Российской Федерации, утвержденные постановлением Правительства Российской Федерации
от 8 февраля 2018 г. № 127.

Указанным проектом предполагается:

наделить государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию
в установленной сфере деятельности, полномочиями по осуществлению ведомственного и (или) отраслевого мониторинга состояния работ
по категорированию объектов критической информационной инфраструктуры;

предусмотреть норму о направлении в ФСТЭК России, уточненных сведений о значимом объекте критической информационной инфраструктуры в случае их изменения. Открыть/Комментировать