Этап публичного обсуждения законодательных актов сейчас является обязательным, не минул он и изменения приказов ФСТЭК по КИИ. Три базовых приказа в конце февраля и начале марта были выставлены на общественное обсуждение. Сразу скажу, что основные изменения относятся к понятию обособленных подразделений – филиалов и представительств, а также интегрированных структур (холдингов), для которых правила более четко прописаны. Однако есть и неожиданные изменения.
Первым, 14 марта, заканчивается срок общественного обсуждения у изменений в приказ №236 [1], определяющий форму акта категорирования, которая должна направляться в Службу. Акты по-прежнему принимаются ФСТЭК в бумажном виде, но, неожиданно, «с приложением электронных копий в формате файлов электронных таблиц (.ods)». Если кто не знает – это расширение для таблиц в приложениях OpenOffice и LibreOffice, принятое в России в качестве стандарта. Конвертировать из формата Excel можно и с помощью сайта Google.docs, но для документов ДСП, к которым относятся акты категорирования, лучше пользоваться стационарными версиями указанных выше приложений. В остальном изменения касаются таблицы категорирования, где нужно указывать адреса обособленных подразделений, их провайдеров и другие атрибуты, которые позволили бы ФСТЭК контролировать не только головной офис, но и все распределенные объекты КИИ.
На следующий день, 15 марта, кончается срок общественного обсуждения у изменений к приказу №235 [2], который определяет требования к созданию систем безопасности на объектах КИИ. Здесь изменения также в основном связаны с обособленными подразделениями, где придется создавать службы безопасности. Кроме того, для компаний, входящих в интегрированные структуры и совместно эксплуатирующих объекты КИИ, появляются требования координировать работу по защите объектов КИИ со службами безопасности головной компании, что логично.
Неожиданностью здесь оказались требования по обучению руководителя и сотрудников службы ИБ, который должен иметь отраслевое образование и в области ИТ, а также пройти курсы профессиональной переподготовки по направлению «Информационная безопасность» в объеме не менее 360 учебных часов. Причем руководитель службы ИБ должен иметь стаж работы по специальности не менее трех лет. Кроме того, в самой компании необходимо организовывать повышение квалификации сотрудников не реже чем раз в пять лет. К счастью, этот пункт вступает в силу с 1 января 2021 г., и у субъектов КИИ есть время подготовиться к выполнению данных требований по обучению персонала служб ИБ.
Дольше всего, до 20 марта, можно обсуждать изменения в приказ №239 [3], который устанавливает требования к средствам защиты, используемым на объектах КИИ. Здесь изменения в основном технические – меняются отдельные слова, отменяется обязательность некоторых мер защиты, но есть и существенные дополнения, связанные с требованиями по уровням доверия. В частности, появляется требование использовать в качестве граничных маршрутизаторов на объектах первой категории только «маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности)». А если такие устройства использовать не получиться, то функции безопасности подобных маршрутизаторов подлежат оценке соответствия на требования безопасности.
Кроме того, появляется требование о хранении и обработке данных объектов КИИ на территории России, за исключением тех случаев, когда за рубежом данные хранятся на территории обособленных подразделений российских компаний, которые соблюдают указанные выше требования приказа №235 по созданию в них служб ИБ. Причем это и предыдущее требования вступает в силу вместе с приказом, что может создать серьезные проблемы при организации защиты значимых объектов.
В новой версии приказа появляется также требование по сертификации СЗИ, которых ранее не было. Теперь для объектов КИИ первой категории допускается использовать СЗИ с уровнем доверия не ниже 4, для второй категории – не ниже 5, для третьей категории – не ниже 6. Сертификация по требованиям доверия станет обязательной только с 1 мая текущего года, хотя подавать на новую систему сертификации можно было и ранее, однако чаще пользовались проверенной сертификацией на отсутствие недекларированных возможностей (НДВ). Вступление этой части приказа предполагается с 1 января 2020 г.
Таким образом, ФСТЭК постепенно закручивает гайки для субъектов КИИ, не давая им остановиться на достигнутом. Пока идет общественное обсуждение проектов приказов, повлиять на этот процесс можно, но времени осталось не очень много. Тем не менее, возможность смягчить требования есть, как это было с изменениями в постановление правительства №127-ПП, когда по результатам общественного обсуждения удалось отстоять срок категорирования в один год, хотя в проекте планировалось снизить его до полугода.
[1] https://regulation.gov.ru/projects#npa=88982
[2] https://regulation.gov.ru/projects#npa=89229
[3] https://regulation.gov.ru/projects#npa=89049