Pull to refresh
12
0
Матирный Олег Евгеньевич @hedggehog

Специалист по защите информации

Ограниченного распространения. То есть общая расшифровка будет что-то вроде — Государственный стандарт России ограниченного распространения.
Алгоритм:
1. Определение, относится ли Ваша организация к субъектам КИИ (попадает ли под определение из 187 ФЗ);
2. В случае если попадает, то утверждается Приказ о создании комиссии по категорированию (состав и рекомендации по данному вопросу вынесены в п.11 и подпунктах к нему в ПП № 127);
3. Комиссия определяет перечень объектов КИИ, которые принадлежат Вашей организации и утверждает его (рекомендованная форма утверждения представлена в Информационном сообщении ФСТЭК № 240/25/3752 от 24 августа 2018 г);
После утверждения данный перечень в течении 10 рабочих дней должен быть направлен на согласование во ФСТЭК в печатном и электронном виде (п. 15 ПП № 127);
4. Далее комиссия формирует Акт категорирования (форма представлена в Приказе ФСТЭК России № 236 от 22 декабря 2017). Акт возможен как для каждого объекта отдельно, так и единый (с правками, которые были внесены ПП № 452).
Данный акт также необходимо отправить в течении 10 рабочих дней на согласование во ФСТЭК с момента его утверждения.
5. Дальнейшие работы по созданию системы защиты, приемочным испытаниям и прочим действиям, предусмотренным Приказом ФСТЭК России № 239 от 25 декабря 2017 года, необходимо будет проводить исходя из определенной комиссией категорией значимости.

Собственно, временной промежуток между утверждением перечня объектов и утверждением акта(ов) категорирования не указан, но из ПП № 452 можно сделать вывод, что данные работы должны быть проведены не позднее (как Вы писали выше) 01 сентября этого года, иначе могут последовать предписания и наказания за невыполнение.

Касательно наказаний по КИИ актуальны пока 2 варианта:
1. Статья 19.4 КоАП РФ — «Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль), должностного лица организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора, должностного лица органа, осуществляющего муниципальный контроль», в случае если Вам ФСТЭК выписал предписание, а Вы его не выполнили;
2. Статья 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», но данная статья больше подходит именно для нарушителей, которые пытаются как-то взломать или нанести вред значимому объекту КИИ.

На данный момент также рассматривается проект внесения изменений в КоАП касательно объектов КИИ, ознакомится можно по ссылке: regulation.gov.ru/projects?fbclid=IwAR14PGFrJOD8I4agi2sUC976AsII_VAqsE8yZxkHTJvmy5cJxppbq5kYEbw#npa=89944
В статье мы ссылаемся на ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний», а есть еще «Защита информации. Аттестация объектов информатизации. Общие положения». Там побольше и поинтереснее про ПМИ. Можно тоже сказать что это все рекомендации. Заказчик конечно может не согласовать ПМИ, но если аргументы будут так себе, то аттестующий орган может обратиться во ФСТЭК. Точно так же аттестующий орган может не выдать аттестат, если заказчик не выполнил все требования. Документ, в котором зафиксировано состояние системы может называться не «Технический паспорт», а как угодно по-другому, но сути это меняет. В любом случае для аттестуемой системы должен быть техпаспорт или его аналог просто потому, что аттестационные испытания проводятся в отношении чего-то конкретного, а не чего-то абстрактного.
В 4 мифе как раз и написано, что так делать не нужно, в модели угроз и проектных документах не указываются конкретные технические средства с серийными номерами. Описывается общая структура, используемые технологии и тд. Необходимость же техпаспорта в целом для системы, в которой планируются аттестационные испытания обусловлена перечнем работ в ходе этих самых испытаний, который приводится в ГОСТ. Одна из таких проверок — анализ полноты исходных данных, проверка их соответствия реальным условиям размещения, монтажа и эксплуатации автоматизированной системы, определение состава использованных для обработки, хранения и передачи информации основных технических средств и систем.

Information

Rating
Does not participate
Registered
Activity