Назначаем специалиста безопасности ЗОКИИ

955 full reads
1,6k story viewsUnique page visitors
955 read the story to the endThat's 59% of the total page views
2,5 minutes — average reading time
Назначаем специалиста безопасности ЗОКИИ

С момента внесения ФСТЭК России сведений о результатах категорирования вашего объекта КИИ в Реестр значимых объектов КИИ, возникает обязанность выполнения 235/239 приказов ФСТЭК и 282 приказа ФСБ.

* Приказ ФСТЭК России от 21.12.2017 N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования"

Приказ ФСТЭК России от 25.12.2017 N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"

Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"

Никакой отсрочки в законодательстве не предусмотрено. И за выполнение организационных мер безопасности ЗОКИИ прокуратура начинает спрашивать сразу - пример

Сейчас Государственная Дума рассматривает законопроект по внесению изменений в КоАП РФ, в нем предусмотрена норма по наказанию субъектов КИИ за невыполнение приказов ФСТЭК с 1 сентября 2021 года.

Основной пункт в реализации организационных мер обеспечение безопасности ЗОКИИ - это назначение специалиста безопасности.

* Вариант создания отдельного структурного подразделения безопасности в данной заметке не рассматривается.

Согласно п.13 приказа ФСТЭК № 235

Не допускается возложение на специалистов по безопасности функций, не связанных с обеспечением безопасности ЗОКИИ или обеспечением информационной безопасности субъекта КИИ в целом.

Обязанности, возлагаемые на специалистов по безопасности, должны быть определены в их должностных регламентах (инструкциях).

Таким образом, если у вас ранее не было штатного специалиста по защите информации, то необходимо ввести в оргштатную структуру организации должность "специалист по защите информации" или "специалист безопасности ЗОКИИ" и утвердить должностную инструкцию, учитывающую требования 187-ФЗ.

Функциональные обязанности в должностную инструкцию можно просто перенести из п. 10 приказа ФСТЭК № 235

Или воспользоваться проектом профессионального стандарта для ТЭК

Назначаем специалиста безопасности ЗОКИИ
Назначаем специалиста безопасности ЗОКИИ

Кроме этого, через месяц вступают в силу два приказа:

Приказ ФСТЭК России от 27.03.2019 N 64 "О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. N 235"

наличие у штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению "Информационная безопасность" (со сроком обучения не менее 72 часов);

прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению "Информационная безопасность".

и

Приказ Минобрнауки России от 19.10.2020 N 1316 "Об утверждении Порядка разработки дополнительных профессиональных программ, содержащих сведения, составляющие государственную тайну, и дополнительных профессиональных программ в области информационной безопасности"

Перечень образовательных учреждений, работающих по согласованным с ФСТЭК программам повышения квалификации или профессиональной переподготовки приведен на сайте ФСТЭК

Отмечу, что примерная программа повышения квалификации ФСТЭК для специалистов безопасности ЗОКИИ предусматривает 216 часов (из них - 144 аудиторных часов). Примерную программу можно запросить в ФСТЭК.

Обязательность повышения квалификации специалистов исключительно по программам, согласованных с ФСТЭК, установлена для госучреждений и предприятий ОПК

Постановление Правительства РФ от 06.05.2016 N 399 "Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса"

Все остальные субъекты КИИ могут назначать своих специалистов безопасности с любыми удостоверениями повышения квалификации по ИБ, не обязательно в области безопасности КИИ. Главное, что бы продолжительность обучения была не менее 72 часов. И не истекли 5 лет, с момента получения удостоверения.

Итог:

1. В структуре организации есть отдельная штатная должность

2. На нее назначен работник, прошедший повышение квалификации по ИБ в объеме "72 часа +" за последние 4 года (минимум)

3. Утверждена должностная инструкция

P.S. Если организация возлагает на уже существующего специалиста по защите информации дополнительные обязанности по обеспечению безопасности ЗОКИИ, то это следует компенсировать увеличением оплаты труда. Подробнее - здесь

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале

** Подборка методических и вспомогательных материалов для субъектов КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae880191