Новые правила защиты КИИ: проект изменений №235 и №239 приказов ФСТЭК

 

07.04 для общественного обсуждения был опубликован проект изменений в 235 и 239 Приказах ФСТЭК.

В состав предлагаемых изменений в актуальных требованиях по защите критической информационной инфраструктуры вошли:
Обновление в рамках 235 Приказа:

• Определена необходимость расчета показателей защищенности и уровня зрелости (Кзи – не реже 1 раза в 6 месяцев и Пзи – не реже 1 раза в 2 года) с последующим уведомлением руководителя субъекта о результатах проведенной оценки в течении трех дней с даты завершения оценки (в случае недостижения требуемых значений) и обязательным уведомлением ФСТЭК в течении пяти дней с даты завершения оценки

Обновления в рамках 239 Приказа:

• Определена необходимость реализации дополнительных организационных или технических мер защиты информации, в случаях, если для используемых средств защиты информации предусмотрены какие-либо ограничения со стороны разработчика, которые не позволяют в полном объеме обеспечить нейтрализацию актуальных угроз безопасности информации
• Определена ссылка на 250 Указ Президента, в соответствии с которым ФСТЭК может разрабатывать дополнительные меры защиты информации, для нейтрализации постоянно меняющихся угроз в информационной сфере

Планируемые изменения в сфере защиты КИИ предусматривают необходимость направления отчетности по результатам проведения контрольных мероприятий как это предусмотрено для ГИС в соответствии с 117 Приказом ФСТЭК, а также необходимость разработки дополнительных мер защиты информации, в случае невозможности их реализации используемыми средствами, при наличии ограничений со стороны разработчиков средств защиты информации.

Также планируемые изменения могут свидетельствовать о том, что со стороны ФСТЭК к утверждению планируются дополнительные требования по обеспечению защиты ЗОКИИ.