ФСТЭК внесла важные уточнения в порядок категорирования КИИ

10.08.2023
Нет комментариев

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «ФСТЭК внесла важные уточнения в порядок категорирования КИИ». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. КТО МЫ, КИИ ИЛИ НЕ КИИ?
2. Какие сферы могут относиться к КИИ
3. ПРАКТИЧЕСКИЕ ПРИМЕРЫ ПО КОНКРЕТНЫМ ОТРАСЛЯМ И ОРГАНИЗАЦИЯМ
4. Проверки объектов КИИ
5. Пример категорирования объекта КИИ
6. С середины 2021 года проверять бизнес будут по-новому
7. органов по сертификации и испытательных лабораторий на 2021 год
8. Обеспечение безопасности КИИ. Что год текущий нам готовит…
9. Информационная безопасность — это процесс
10. Что ФСТЭК нам приготовила нового?
11. Планы проверок – 2022 уже утверждены

В соответствии со статьей 7 Федерального закона от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127, субъекты критической информационной инфраструктуры осуществляют категорирование объектов критической информационной инфраструктуры Российской Федерации, в ходе которого формируют и направляют в ФСТЭК России перечни объектов критической информационной инфраструктуры, подлежащих категорированию.

КТО МЫ, КИИ ИЛИ НЕ КИИ?

Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство. Не нашли себя, выдохните, у вас немного меньше головной боли.

Какие критерии указывают что вы субъект КИИ?

Первый критерий – ОКВЭД организации. Общероссийский классификатор видов экономической деятельности (ОКВЭД), они, а их может быть много у одного предприятия, открываются в любой момент деятельности, поэтому актуальный список вы можете посмотреть в выписке ЕГРЮЛ предприятия или информационно-справочных сервисах «Контур Фокус», «Спарк» и пр. ОКВЭД явно укажет, к какой сфере деятельности относится ваше предприятие и подпадает ли под перечень следующих отраслей указанных в ФЗ №-187:

  • здравоохранение;
  • наука;
  • транспорт;
  • связь;
  • энергетика;
  • банковская сфера и иные финансовые сферы;
  • топливно-энергетический комплекс;
  • область атомной энергии;
  • оборонная промышленность;
  • ракетно-космическая промышленность;
  • горнодобывающая промышленность;
  • металлургическая промышленность;
  • химическая промышленность;
  • юридически лица и/или ИП, которые обеспечивают взаимодействие указанных систем или сетей.

Какие сферы могут относиться к КИИ

Многие связывают понятие критической информационной инфраструктуры только с оборонной и другими стратегически важными отраслями. На самом деле определяемая законодательством сфера КИИ существенно шире. ФЗ №187 относит к субъектам критической информационной инфраструктуре следующие учреждения:

  • больницы, поликлиники, диспансеры, учреждения скорой медицинской помощи;
  • НИИ, институты ядерной физики, медицинские университеты, ведущие научную деятельность учреждения;
  • вокзалы, аэропорты; метро, организации городского общественного транспорта;
  • банки и кредитные организации, страховые компании;
  • операторы связи и интернет-провайдеры;
  • предприятия химической, горнодобывающей и металлургической промышленности;
  • представители топливно-энергетического комплекса, работающие с нефтью, газом, углем, ураном;
  • атомные электростанции, разработка и производство атомной энергии;
  • космическое приборостроение, производство ракетных двигателей;
  • производство оборонной продукции.

  1. Мораторий на проверки малого и среднего бизнеса продлили на 2023 год. Но мера не распространяется на предприятия из групп высокого и чрезвычайно высокого риска.
  2. Бизнес освободили от плановых контрольных мероприятий. Внеплановые проверки будут проводить по жалобам клиентов или сотрудников.
  3. Мораторий не распространяется на меры постоянного государственного контроля.
  4. Налоговая служба продолжит камеральный и выездной контроль. До 03.03.2025 г. от проверок освободили только ИТ-компании.
  5. Ведомства продолжат проводить профилактические визиты, по результатам которых бизнес не штрафуют за нарушения. Однако, оставляют предписания и обязывают устранить недочёты.

ПРАКТИЧЕСКИЕ ПРИМЕРЫ ПО КОНКРЕТНЫМ ОТРАСЛЯМ И ОРГАНИЗАЦИЯМ

Изучив НПА и алгоритм категорирования объектов КИИ (см. выше) можно непосредственно приступить к практике. Здесь хотелось бы дать ряд советов и показать практические кейсы для организаций финансовой и банковской сферы.

  • Системно значимые кредитные организации (см. перечень ЦБ РФ, это 11 организаций);
  • Финансовые организации с участием государства;
  • Системно значимые инфраструктурные организации финансового рынка (например, депозитарии);
  • Операторы услуг платежной инфраструктуры системно и (или) социально значимых ПС.

Это говорит о том, что не каждый банк или финансовая структура вообще подпадает под законодательство о КИИ. Надо помнить, что категорируем мы не субъект, а объект КИИ, для каждого объекта КИИ будет присвоена своя категория, оценку последствий инцидента надо делать для каждого объекта.

Формирование комиссии:

На начальном этапе нужно сформировать комиссию. Подробнее об этом можно прочитать по ссылке: Этап 1. Создание комиссии по категорированию объектов КИИ (там же и образец «Приказа о создании комиссии по категорированию КИИ»).

Определение процессов:

Затем необходимо определиться с процессами, которые есть в организации, составить их полный перечень. На этом этапе нам не обойтись без помощи специалистов и руководителей различных подразделений. Рассмотрим, как действовать, на примере банка. Как правило, основные виды деятельности организации уже задокументированы, специалисту ИБ надо внимательно изучить учредительные и др. документы (лицензии, сертификаты), для банков опираемся на Федеральный закон от 02.12.1990 N 395-1 «О банках и банковской деятельности» и нормативные документы Центрального Банка РФ.

Виды деятельности банка по Код ОКВЭД 64: «Деятельность по предоставлению финансовых услуг, кроме услуг по страхованию и пенсионному обеспечению». Затем, исходя из видов деятельности, необходимо прописать бизнес-процессы в финансовой организации. Есть различные классификации бизнес-процессов в банковской сфере (в конкретном банке они, как правило, уже задокументированы).

Рассмотрим типовой пример (источник):

Основные бизнес-процессы банка:

  • Создание продукта (услуги), представляющего ценность для внешнего клиента.
  • Получение добавленной стоимости.
  • Получение прибыли, как цель коммерческой деятельности.

Обеспечивающие бизнес-процессы банка:

  • Процессы, клиентами которых являются основные процессы.
  • Процессы, которые создают и поддерживают инфраструктуру банка.

Управляющие бизнес-процессы банка:

  • Процессы, основной целью которых является управление деятельностью банка.
  • Процессы, которые обеспечивают развитие банка и регулируют его текущую деятельность.

Проверки объектов КИИ

Законом установлен государственный контроль объектов КИИ. Контроль осуществляется уполномоченным федеральным органом исполнительной власти путем плановых и внеплановых проверок субъектов критической информационной инфраструктуры. При контроле проверяется соблюдение установленных законом требований и принятыми в соответствии с ним подзаконными нормативно-правовыми актами.

Плановые проверки проводятся по истечении трех лет с момента:

  1. Внесения сведений об объекте критической информационной инфраструктуры в реестр значимых объектов критической информационной инфраструктуры;
  2. Окончания осуществления последней плановой проверки в отношении значимого объекта критической информационной инфраструктуры.

Внеплановые проверки проводятся в случае:

  1. Истечения срока выполнения субъектом критической информационной инфраструктуры выданного уполномоченным федеральным органом исполнительной власти предписания об устранении выявленного нарушения требований по обеспечению безопасности КИИ;
  2. Возникновения компьютерного инцидента, повлекшего негативные последствия, на КИИ;
  3. Выхода приказа (распоряжения) руководителя уполномоченного федерального органа исполнительной власти.

По результатам плановой или внеплановой проверки уполномоченный федеральный орган исполнительной власти утверждает акт о проверке и выдает предписание об устранении выявленных нарушений с указанием сроков их устранения.

Пример категорирования объекта КИИ

Рассмотрим пример категорирования в области здравоохранения эта сфера входит в перечень субъектов критической инфраструктуры.

Этапы выявления объекта:

  1. Необходимо выявить информационные системы и ресурсы в сфере здравоохранения;
  2. При выявлении инфраструктуры уточняем у Организации здравоохранения взаимодействия между сторонними ИСиР;
  3. В случае наличия инфраструктуры Организации, которая используется в здравоохранении для информационного обмена сторонними ИСиР, делается запрос владельцам данных систем об их отнесении к критическим;
  4. Организация далее рассматривает свою инфраструктуру (или ее часть, непосредственно задействованную в обеспечении взаимодействия систем) в качестве объекта критической информационной инфраструктуры;
  5. Выносится заключение Рабочей группы о наличии оснований для отнесения ИСиР здравоохранения к критической информационной инфраструктуры и рекомендаций по включению их в Перечень объектов с последующим установлением одной из категорий значимости.

С середины 2021 года проверять бизнес будут по-новому

Основные типы компьютерных инцидентов, которые могут привести к внеплановой проверке:

  • с вашей информационной инфраструктуры произошла компьютерная атака на орган власти или бюджетное учреждение;
  • в результате компьютерного инцидента компания обратилась в МВД или ФСБ, и они в ходе расследования выявили, что компьютерная атака шла с вашей информационной инфраструктуры;
  • от лица вашей компании произошла рассылка электронных писем, сообщений в мессенджерах, соцсетях с вредоносным ПО или ссылками на фишинговые сайты.

Во всех перечисленных случаях можно ожидать проверки со стороны ФСБ.

Последствия такой проверки будут следующие:

  1. выдача предписания. На исполнение обычно дается 30 дней;
  2. штраф по статье 13.12 КоАП;
  3. уголовное дело по статье 274 УК РФ в случае, если есть подозрение, что ваша организация могла знать об атаке или своими действиями или бездействием способствовала ее совершению.
Читайте также:  Новые правила начисления пеней по налоговым задолженностям в 2023 г.

Под данный тип компьютерных инцидентов может попасть как любая организация любой формы собственности, так и обычный гражданин.

В любом случае, каким бы не было основание для проведения внеплановой проверки, она не несет спокойствия и нарушает режим работы организации, не говоря уже о возможных штрафах, приостановлении деятельности организации или привлечения руководителя и других сотрудников к уголовной ответственности.

Выполнение требований законодательства по защите информации и следование лучшим практикам обеспечения информационной безопасности позволит организациям значительно снизить вероятность возникновения компьютерных инцидентов, а значит и негативных последствий для бизнеса.

Во время работ по лицензированию организации сталкиваются с тремя основными сложностями:

  1. Оборудование. Для выполнения работ и оказания услуг по аттестации защищаемых помещений и автоматизированных систем необходимо закупить (иметь в собственности или на любом ином законном основании) оборудование. Стоимость комплекта варьируется, но составляет около миллиона рублей. И если начать работы по лицензированию с покупки оборудования, то к моменту подачи заявления может оказаться так, что его придется заново поверять (сертификаты о поверке действительны один год). Можно попытаться сэкономить и взять оборудование в аренду, но она должна быть специальным образом оформлена. Требуется периодически подтверждать владение оборудованием, заключать дополнительные соглашения к договорам аренды о том, что оборудование находится именно у арендатора. Минус варианта с арендой в том, что он снижает шансы на получение лицензии — велика вероятность оформить отношения неверно и получить отказ.
  2. Аренда помещений. Если соискатель лицензии арендует помещение у субарендатора, то необходимо представлять всю цепочку документов вплоть до владельца помещения. Также необходимо следить за тем, чтобы фактические номера помещений совпадали с кадастровыми, чтобы помещения однозначно идентифицировались исходя из одних лишь документов.
  3. Кадровая документация. У сотрудников должны быть дипломы о высшем профессиональном образовании в области технической защиты информации и стаж более трех лет либо диплом о высшем образовании с курсов переподготовки / о высшем техническом образовании и стаж более пяти лет. Сотрудников должно быть не менее трех, и они должны быть трудоустроены у соискателя по основному месту работы.

Для того чтобы получить лицензию, а затем успешно проходить в случае необходимости плановые проверки ФСТЭК на соблюдение требований, предлагаем учесть ряд моментов:

  1. Оборудование (если оно необходимо для выбранного вами вида деятельности) лучше покупать, а не брать в аренду.
  2. Постоянно следить за изменениями в законодательной базе и поддерживать документацию в актуальном состоянии, в том числе периодически обновлять и докупать ГОСТы (информация об этом не является тайной, официальный сайт ФСТЭК России открыт для всех).
  3. Своевременно обновлять антивирусное ПО и лицензии на контрольно-измерительное программное обеспечение и оборудование.
  4. Вовремя проводить переаттестацию помещений и автоматизированных систем, поскольку аттестаты действительны максимум три года.

Все материалы сайта Министерства внутренних дел Российской Федерации могут быть воспроизведены в любых средствах массовой информации, на серверах сети Интернет или на любых иных носителях без каких-либо ограничений по объему и срокам публикации.

Это разрешение в равной степени распространяется на газеты, журналы, радиостанции, телеканалы, сайты и страницы сети Интернет. Единственным условием перепечатки и ретрансляции является ссылка на первоисточник.

Никакого предварительного согласия на перепечатку со стороны Министерства внутренних дел Российской Федерации не требуется.

ТО Киров план план проведения плановых проверок юридических лиц и индивидуальных предпринимателей на 2021 год

ТО Киров план проверок ОМС 2021 год

ТО РМЭ план план проведения плановых проверок юридических лиц и индивидуальных предпринимателей на 2021 год

В июле 2018 года Федеральная служба по техническому и экспортному контролю (далее — ФСТЭК России) представила приказ №131 об утверждении «Требований по безопасности информации, устанавливающих уровни доверия (далее — УД) к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий». В соответствии с новым перечнем требований для средств защиты информации (далее — СЗИ) устанавливаются УД, характеризующие безопасность их применения для обработки и защиты информации, содержащей государственную тайну, конфиденциальные сведения или данные ограниченного доступа. По новым правилам в отношении СЗИ всех уровней доверия должны проводиться исследования по выявлению уязвимостей и недекларированных возможностей (далее — НДВ) в соответствии с методикой, разработанной в дополнение к приказу №131 и утвержденной ФСТЭК России в феврале 2019 года.

Рекомендации по применению приказа №131 касаются только тех разработчиков, кто специализируется на программных решениях для защиты инфраструктур и систем, содержащих информацию, доступ к которой должен быть ограничен или защищен. Однако любое программное обеспечение (далее — ПО), разрабатываемое и используемое в системах, где хранятся и обрабатываются данные, имеет встроенные программные алгоритмы для защиты информации (например, проверки полномочий доступа к данным или к системе в целом), которые также могут нуждаться в проверке на безопасность.

Основной причиной инцидентов в области ИБ чаще всего становятся ошибки кодирования, приводящие к уязвимостям программ и систем. В связи с этим для предотвращения нарастающих угроз в информационной сфере всем разработчикам программных продуктов рекомендуется принимать меры по выпуску защищенного ПО и придерживаться требований ГОСТ и приказов ФСТЭК России, касающихся безопасной разработки кода.

Рассмотрим варианты реализации требований к проведению исследований, направленных на выявление уязвимостей и НДВ в программном обеспечении, и, в частности, требование об отсутствии в оцениваемом объекте уязвимостей кода.

В соответствии с ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного ПО. Общие требования» можно обеспечить реализацию и проведение мер по разработке безопасного программного обеспечения непосредственно в процессах его жизненного цикла. Целесообразно проводить исследования по выявлению уязвимостей и НДВ:

  • при выполнении проектирования и разработки ПО (этап разработки);
  • при выполнении квалификационного тестирования ПО (этап тестирования);
  • при выполнении инсталляции программы и поддержки приемки ПО (этап реализации и эксплуатации).

Одним из способов упростить и автоматизировать проведение таких исследований является применение СЗИ для анализа кода. Необходимо отметить важность проверки программного кода, содержащегося в транспортных запросах, при переносе данных по ландшафту системы от этапа к этапу. В таком варианте исследований применение СЗИ позволит снизить процент небезопасных конструкций в коде к моменту эксплуатации программного обеспечения, провести работы по выявлению уязвимостей и НДВ без выгрузки и передачи исходного кода на исследования третьей стороне. При этом средства защиты информации могут быть интегрированы в систему разработки.

Схема использования СЗИ для анализа кода в процессах жизненного цикла ПО представлена на рисунке 1.

органов по сертификации и испытательных лабораторий на 2021 год

  • Постановление Правительства РФ от 29.06.2021 N 1041

    «О внесении изменения в ставки вывозных таможенных пошлин на зерновые культуры, вывозимые из Российской Федерации за пределы государств — участников соглашений о Таможенном союзе»

  • Постановление Правительства РФ от 29.06.2021 N 1052

    «Об утверждении Правил осуществления государственного контроля (надзора) за осуществлением международных автомобильных перевозок в пунктах пропуска через государственную границу Российской Федерации»

  • Постановление Правительства РФ от 29.06.2021 N 1046

    «О федеральном государственном контроле (надзоре) за обработкой персональных данных» (вместе с «Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных»)

Согласно Требованиям, к силам обеспечения безопасности ЗО КИИ относятся:

  • подразделения (работники) субъекта КИИ, ответственные за обеспечение безопасности ЗО КИИ;
  • подразделения (работники), эксплуатирующие и обеспечивающие функционирование (сопровождение, обслуживание, ремонт) ЗО КИИ;
  • иные подразделения (работники), участвующие в обеспечении безопасности ЗО КИИ.

Ответственным за организацию и работу сил обеспечения безопасности ЗО КИИ является руководитель субъекта КИИ (или лицо, им уполномоченное). Он определяет состав, структуру и функциональные обязанности таких сил, в частности, создаёт или определяет структурное подразделение, ответственное за обеспечение безопасности ЗО КИИ или назначает отдельных работников для решения соответствующих задач.

Структурное подразделение по безопасности, специалисты по безопасности должны:

  • обеспечивать безопасность ЗО КИИ в соответствии с предъявленными к данному объекту требованиями[1]: реализовывать соответствующие организационные меры, применять средства защиты информации;
  • анализировать угрозы безопасности информации и выявлять уязвимости в ЗО КИИ;
  • осуществлять реагирование на компьютерные инциденты в ЗО КИИ;
  • организовывать проведение оценки соответствия ЗО КИИ требованиям по безопасности;
  • готовить предложения по повышению уровня безопасности ЗО КИИ, совершенствованию функционирования соответствующих систем безопасности и организационно-распорядительных документов.
Читайте также:  Военный билет - как получить и для чего он нужен

Для выполнения перечисленных функций субъектами КИИ могут привлекаться организации-лицензиаты ФСТЭК России.

Возложение на силы обеспечения безопасности ЗО КИИ функций и задач, не связанных с их непосредственной деятельностью, не допускается.

При необходимости по решению руководителя субъекта КИИ (уполномоченного лица) силы обеспечения безопасности ЗО КИИ могут быть созданы в обособленных подразделениях (филиалах, представительствах, дочерних организациях) субъекта КИИ, в которых эксплуатируются соответствующие объекты.

Работники сил обеспечения безопасности ЗО КИИ должны соответствовать следующим требованиям:

  • у руководителя: высшее профессиональное образование по специальности в области информационной безопасности или иное высшее профессиональное образование в совокупности с документом о профессиональной переподготовке по направлению «Информационная безопасность» (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;
  • у штатных работников: высшее профессиональное образование по специальности в области информационной безопасности или иное высшее профессиональное образование в совокупности с документом о повышении квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов);
  • прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению «Информационная безопасность».

Субъект КИИ не реже одного раза в год должен проводить организационные мероприятия по повышению уровня знаний работников по вопросам обеспечения безопасности КИИ и о возможных угрозах безопасности информации.

Обеспечение безопасности КИИ. Что год текущий нам готовит…

Роскомнадзор осуществляет следующие формы проверок:

  • Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
  • Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
  • Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
  • Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

  1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
  2. Проверка соответствия деятельности информации, прописанной в едином реестре.
  3. Назначение лица, ответственного за работу с ПД.
  4. Составление Политики фирмы в отношении обработки ПД.
  5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
  6. Проверка правильности хранения документов, ограниченности доступа к ним.
  7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.

Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.

Во время проверки:

  1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
  2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
  3. Не паникуйте;
  4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
  5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
  6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
  7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Главный элемент в системе безопаснос­ти — люди. Именно им предстоит органи­зовать защиту, оформить документы, вне­дрить СЗИ и т.д. Сотрудники делятся на 4 сущности (далее по статье — функциональные роли), у каждой свои задачи и ответ­ственность. При этом только совместные действия всех людей, отвечающих за объект КИИ, помогут максимально эффективно предотвратить угрозы.

Первая функциональная роль — руководитель или назначенное им уполномоченное лицо. Этот человек обязан создать систему безопасности, контроли­ровать ее функционирование и следить за тем, чтобы она постоянно функциони­ровала. Именно он несет ответственность за ее отсутствие или неработоспособность.

Его главные задачи — назначить ответ­ственных за 3 другие сущности и убедиться в выполнении требований закона. Если в значимом объекте КИИ или структурных подразделениях произойдут изменения, ру­ководитель также будет отвечать за внесе­ние корректировок в систему безопасности.

Вторая функциональная роль — служба безопасности (СБ). Ее формирует руководитель предприятия. ФСТЭК России отмечает, что это должно быть специально выделенное подразделение, занимающе­еся организацией безопасности объектов КИИ. Создать фиктивную СБ, состоящую из ИТ-­администратора и бухгалтера, вряд ли удастся. При этом руководитель может возложить эти обязанности на уже сущес­твующую службу безопасности.

Основные задачи СБ объектов КИИ — формирование и актуализация организа­ционно-распорядительной документации по реализации мер защиты для остальных категорий сотрудников. Это подразделение определяет, как защищаться от актуальных угроз и какие СЗИ применять.

Но самое важное — реагирование на компьютерные инциденты. При выяв­лении такого случая СБ должна сообщить о нем в НКЦКИ в течение суток с момента его обнаружения и принять меры по лока­лизации и нейтрализации угрозы, а также минимизации ущерба. Она же будет нести ответственность за попытки замалчивания инцидентов.

Третья роль — подразделения, эксплуатирующие значимые объекты КИИ. Это сотрудники, которые непосредственно взаимодействуют со значимым объектом. На них возлагается обязанность по обеспе­чению безопасности на основании органи­зационно-­распорядительных документов, разработанных СБ. То есть служба безо­пасности передает функции реализации непосредственно подразделениям и специ­алистам, которые работают со значимым объектом. При возникновении инцидента они должны первыми реагировать, руко­водствуясь ОРД, и сообщать о произошед­шем в СБ.

Четвертая роль — сотрудники, обеспечивающие функционирование значимых объектов КИИ. Они взаимо­действуют с объектом только для реали­зации определенных функций. Это могут быть ИТ-­специалисты, обслуживающие информационные системы. Для них, так же как и для подразделений, обеспечи­вающих эксплуатацию, служба безопас­ности разрабатывает ОРД, включающую информацию по работе с объектом КИИ.

Информационная безопасность — это процесс

Главная мысль регулятора, проходящая красной нитью по всему тексту Приказа № 239, заключается в том, что категориро­вание и создание системы безопасности — это не разовый проект, а процесс. Он не мо­жет прекратиться. Этот процесс цикличен, мероприятия повторяются из года в год. У каких­-то из них будет 3-­летний цикл (например, проверки, проводимые комиссией).

Если субъект считает, что, закупив сред­ства защиты и создав на бумаге систему безопасности, сможет продемонстриро­вать выполнение требований регулятора во время проверки ФСТЭК, то он глубоко заблуждается. Мало организовать и провес­ти комплекс мероприятий — все функции защиты нужно поддерживать в актуальном состоянии, проводить обучение персонала, обновлять СЗИ и т.д.

Если проиллюстрировать требования 2 основных Приказов, у нас получится 2 блока работ: 1) процесс построения сис­темы безопасности; 2) внедрение ОРД и средств защиты. Процесс всегда будет выглядеть одинаково и состоять из 4 эле­ментов: планирование, реализация, мо­ниторинг и контроль (аудит), развитие (совершенствование) (см. рис. 2).

Что ФСТЭК нам приготовила нового?

К наиболее часто встречающимся недочетам, которые обнаруживаются при проверке оператора, можно отнести:

Читайте также:  Дебиторская задолженность в налоговом учете: порядок признания и списания

— отсутствие любых средств защиты информации;

— недостаточный уровень знаний специалистов, отвечающих за информационную безопасность;

— отсутствие сертификатов на используемые средства защиты или завершение их срока действия сертификат;

— некорректное использование средств защиты информации, неправильную их настройку или не использование, несмотря на их наличие;

— отсутствие аттестации у государственной информационной системы;

— некорректно составленную модель угроз и нарушителей;

— отсутствие нормативной документации и формуляров;

— игнорирование факта проведения запланированных мероприятий по защите информации;

— низкий уровень физической защиты технических средств.

Непривычно, когда слово «визит» используется контролерами. Обычно визитом принято называть простое посещение какого-либо места или человека и совсем не с целью проверки. Тем не менее, в новом Федеральном законе «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» от 31.07.2020 № 248-ФЗ словосочетание «инспекционный визит» применяется как официальное название одной из новых форм проверок.

Замена плановой выездной проверки инспекционным визитом возможна во втором полугодии 2021 года. Контролеры вправе провести такую замену, если:

  • выездная проверка включена в ежегодный план проверок на 2021 год;
  • решение о замене принято контролирующим органом не позднее чем за 20 рабочих дней до даты начала плановой проверки.

Если решение о замене будет принято контролирующим органом, проверяемую компанию или ИП должны уведомить о замене в течение 10 рабочих дней после принятия такого решения (п. 2-3 Постановления № 1969).

Получается, что те компании и ИП, чьи плановые выездные проверки запланированы на вторую половину 2021 года, могут получить от контролеров бонус: срок проверки сократится с 10 до 1 рабочего дня, и у инспекторов не будет возможности проверить бизнесмена по полной программе в рамках выездной проверки (инспекторы не смогут провести весь комплекс контрольных действий, предусмотренных ст. 65 Закона № 248-ФЗ).

Современные технологии позволяют проводить проверки без непосредственного присутствия инспекторов в проверяемой компании. В ходе инспекционного визита закон позволяет контролерам использовать дистанционные технологии: взаимодействовать с проверяемым лицом посредством аудио- или видеосвязи.

Планы проверок – 2022 уже утверждены

Информационным сообщением от 18 июня 2021 г. N 240/82/1037 ФСТЭК России [11] рекомендует порядок представления субъектами КИИ, осуществляющими деятельность в сфере здравоохранения, перечней объектов КИИ, подлежащих категорированию (далее – перечни), сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий (далее – сведения).

Согласно информационному письму рассмотрение перечней и сведений осуществляется центральным аппаратом ФСТЭК России для субъектов КИИ, являющихся федеральными органами исполнительной власти, а также федеральными учреждениями здравоохранения. Управления ФСТЭК России по федеральному округу, на территории которых расположены соответствующие субъекты КИИ, осуществляют рассмотрение документов субъектов КИИ, являющихся органами власти субъектов РФ, учреждениями здравоохранения, подведомственными органам власти субъектов РФ, а также самостоятельными юридическими лицами.

Постановление Правительства Российской Федерации от 31.05.2021 г. No 837 «О внесении изменения в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» [12] (далее – ПП РФ No 837) официально опубликовано 1 июня 2021 г.

ПП РФ No 837 увеличивает срок рассмотрения Минцифры России, ФСБ России и ФСТЭК России технических заданий на создание государственных информационных систем, а также срок рассмотрения ФСБ России и ФСТЭК России моделей угроз безопасности информации с 10 до 20 рабочих дней.

Постановление Правительства Российской Федерации от 29.06.2021 г. No 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» [13] (далее – ПП РФ No 1046) официально опубликовано 30 июня 2021 г.

ПП РФ No 1046 вступает в силу с 1 июля 2021 г. и утверждает положение, устанавливающее порядок организации и осуществления государственного контроля (надзора) за обработкой ПДн. Как и ранее, реализация полномочий контрольно-надзорного органа осуществляется Роскомнадзором. Ранее действующее постановление Правительства Российской Федерации от 13 февраля 2019 г. No 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» признано утратившим силу.

Федеральный государственный контроль (надзор) осуществляется посредством проведения следующих контрольных (надзорных) мероприятий:

  • инспекционный визит;
  • документарная проверка;
  • выездная проверка.

При этом согласно ПП РФ No 1046 Роскомнадзор может осуществлять мероприятия по контролю без взаимодействия с контролируемым лицом в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований.

Для осуществления контроля (надзора) за обработкой вводится система оценки и управления рисками (см. табл. 2). При осуществлении контроля (надзора) поднадзорные объекты классифицируются по одной из следующих категорий риска причинения вреда (ущерба) (далее – категории риска):

  • высокий риск;
  • значительный риск;
  • средний риск;
  • умеренный риск;
  • низкий риск.

ФСБ России представила для общественного обсуждения проект постановления Правительства Российской Федерации «О порядке осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, контроля и надзора за выполнением органами, организациями, индивидуальными предпринимателями, нотариусами, указанными в части 18.2 статьи 14.1 Федерального закона от 27 июля 2006 г. No 149-ФЗ, организационных и технических мер по обеспечению безопасности персональных данных с использованием средств защиты информации, указанных в части 18.3 статьи 14.1 Федерального закона от 27 июля 2006 г. No 149-ФЗ» [14] (далее – проект ПП РФ). Общественные обсуждения пройдут до 15 июля 2021 г.

Проект ПП РФ направлен на определение порядка осуществления ФСБ России и ФСТЭК России мероприятий по контролю за выполнением организационных и технических мер по обеспечению безопасности ПДн и использованием СрЗИ в единой биометрической системе (ЕБС). Контроль проводится в целях проверки соблюдения государственными органами, органами местного самоуправления, организациями, индивидуальными предпринимателями и нотариусами требований по обеспечению безопасности ПДн.

Несмотря на изъятие из законодательства самой возможности проведения плановых проверок, инспектора ФНС всё-таки смогут раз в три года посещать предпринимателя. Без чуткого контроля со стороны налоговой бизнес не останется.

Главным отличием профилактических мероприятий от проверок является их безвредность для предпринимателя. Инспектор на сможет что-либо требовать или штрафовать, он вправе только наблюдать, фиксировать факты, рекомендовать и консультировать. Разберем профилактические мероприятия подробно.

Теперь инспектора ФНС смогут проводить целый ряд профилактических мероприятий по предупреждению совершения правонарушений предпринимателями. К таким действиям относят:

  • информирование ИП;
  • объявление предостережения предпринимателю;
  • обобщение правоприменительной практики;
  • консультирование субъектов хозяйствования;
  • профилактический визит.

Разберем их подробнее, потому что некоторые из них предполагают скрытую проверку бизнеса.

Законодатели не всегда могут сразу учесть все нюансы практического применения норм нормативно-правовых актов (НПА). Поэтому чтобы предприниматели могли правильно, а главное без нарушений, реализовывать на практике спорные нормы закона, налоговый орган будет ежегодно составлять и публиковать доклад по наиболее резонансным вопросам.

Ознакомившись с официальной трактовкой спорных норм законов, ИП смогут смело их применять на практике, не боясь штрафов.

Это необычная процедура, которая ранее не применялась к индивидуальным предпринимателям. Объявление предостережения проводится в соответствии со статьёй 49 закона 248-ФЗ. Основанием для вынесения подобного решения может являться информация о:

  • совершенных нарушениях закона в сфере применения онлайн-касс;
  • готовящихся нарушениях законодательства;
  • предполагаемых нарушениях законодательства.

Следует заметить, что проверки ККТ в 2022 году могут проводиться и незаметно от предпринимателей – путем анализа их кассовой активности. Именно эта информация будет браться для оценки вероятности и риска совершения правонарушения.

Например, налоговая инспекция может определить, что в дневное время, когда совершаются основные продажи, поток чеков минимален. Это с определенной вероятностью является признаком продаж «мимо кассы». В таком случае и возможно объявление предостережения.

В то ж время, после получения предостережения предприниматель может в течение 15 дней оспорить его с предоставлением доказательств своей позиции. Это можно сделать как при очном посещении органа ФНС, так и через личный кабинет контрольно-кассовой техники. Но заработает такой кабинет только с 01.03.2022 года. В течение 10 дней после обращения, ФНС обязана дать ответ о сохранении или аннулировании своего первоначального решения.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *