II. Требования к силам обеспечения безопасности значимых объектов критической информационной инфраструктуры
II. Требования к силам обеспечения безопасности значимых
объектов критической информационной инфраструктуры
8. Руководитель субъекта критической информационной инфраструктуры или заместитель руководителя субъекта критической информационной инфраструктуры, на которого возложены полномочия по обеспечению информационной безопасности в соответствии с Указом Президента Российской Федерации от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" (далее - ответственное лицо), создает систему безопасности, организует и контролирует ее функционирование.
(п. 8 в ред. Приказа ФСТЭК России от 20.04.2023 N 69)
(см. текст в предыдущей редакции)
9. Руководитель субъекта критической информационной инфраструктуры определяет состав и структуру системы безопасности, а также функции ее участников при обеспечении безопасности значимых объектов критической информационной инфраструктуры в зависимости от количества значимых объектов критической информационной инфраструктуры, а также особенностей деятельности субъекта критической информационной инфраструктуры.
Создаваемая система безопасности должна включать силы обеспечения безопасности значимых объектов критической информационной инфраструктуры обособленных подразделений (филиалов, представительств) субъектов критической информационной инфраструктуры, в которых эксплуатируются значимые объекты критической информационной инфраструктуры.
(абзац введен Приказом ФСТЭК России от 27.03.2019 N 64)
10. Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - специалисты по безопасности).
Структурное подразделение по безопасности, специалисты по безопасности должны осуществлять следующие функции:
разрабатывать предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представлять их руководителю субъекта критической информационной инфраструктуры (ответственному лицу);
(в ред. Приказа ФСТЭК России от 20.04.2023 N 69)
(см. текст в предыдущей редакции)
проводить анализ угроз безопасности информации в отношении значимых объектов критической информационной инфраструктуры и выявлять уязвимости в них;
обеспечивать реализацию требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии со статьей 11 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - требования по безопасности);
обеспечивать в соответствии с требованиями по безопасности реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;
осуществлять реагирование на компьютерные инциденты в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";
организовывать проведение оценки соответствия значимых объектов критической информационной инфраструктуры требованиям по безопасности;
готовить предложения по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности значимых объектов критической информационной инфраструктуры.
Структурное подразделение по безопасности, специалисты по безопасности реализуют указанные функции во взаимодействии с подразделениями (работниками), эксплуатирующими значимые объекты критической информационной инфраструктуры, и подразделениями (работниками), обеспечивающими функционирование значимых объектов критической информационной инфраструктуры.
10.1. По решению руководителя субъекта критической информационной инфраструктуры (ответственного лица) в обособленных подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры, в которых эксплуатируются значимые объекты критической информационной инфраструктуры, создаются (определяются) структурные подразделения по безопасности или назначаются специалисты по безопасности.
(в ред. Приказа ФСТЭК России от 20.04.2023 N 69)
(см. текст в предыдущей редакции)
Координацию и контроль выполнения функций структурными подразделениями по безопасности, специалистами по безопасности обособленных подразделений (филиалов, представительств) осуществляют ответственное лицо и (или) структурные подразделения по безопасности, специалисты по безопасности субъекта критической информационной инфраструктуры.
(в ред. Приказа ФСТЭК России от 20.04.2023 N 69)
(см. текст в предыдущей редакции)
Порядок взаимодействия структурных подразделений по безопасности, специалистов по безопасности субъекта критической информационной инфраструктуры и структурных подразделений по безопасности, специалистов по безопасности обособленных подразделений (филиалов, представительств) определяется организационно-распорядительными документами субъекта критической информационной инфраструктуры.
(п. 10.1 введен Приказом ФСТЭК России от 27.03.2019 N 64)
10.2. В случае если субъект критической информационной инфраструктуры является хозяйственным обществом (товариществом), имеющим дочерние общества, также являющиеся субъектами критической информационной инфраструктуры, или некоммерческой организацией, участвующей в организациях, являющихся субъектами критической информационной инфраструктуры, в которых некоммерческая организация имеет возможность определять принимаемые этими организациями решения, то структурные подразделения по безопасности, специалисты по безопасности основного хозяйственного общества (товарищества), некоммерческой организации должны осуществлять координацию структурных подразделений по безопасности, специалистов по безопасности дочерних обществ, организаций, в которых участвует некоммерческая организация.
(п. 10.2 введен Приказом ФСТЭК России от 27.03.2019 N 64)
11. Для выполнения функций, предусмотренных пунктом 10 настоящих Требований, субъектами критической информационной инфраструктуры могут привлекаться организации, имеющие в зависимости от информации, обрабатываемой значимым объектом критической информационной инфраструктуры, лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации (далее - лицензии в области защиты информации).
12. Работники структурного подразделения по безопасности, специалисты по безопасности должны соответствовать следующим требованиям:
наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность", наличие стажа работы в сфере информационной безопасности не менее 3 лет;
(в ред. Приказа ФСТЭК России от 20.04.2023 N 69)
(см. текст в предыдущей редакции)
наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования с прохождением обучения по программе повышения квалификации по направлению "Информационная безопасность";
(в ред. Приказа ФСТЭК России от 20.04.2023 N 69)
(см. текст в предыдущей редакции)
прохождение не реже одного раза в 3 года обучения по программам повышения квалификации по направлению "Информационная безопасность".
(в ред. Приказа ФСТЭК России от 20.04.2023 N 69)
(см. текст в предыдущей редакции)
(п. 12 в ред. Приказа ФСТЭК России от 27.03.2019 N 64)
(см. текст в предыдущей редакции)
12.1. На работников со средним профессиональным образованием по специальности в области информационной безопасности (при наличии должности в штатном расписании у субъекта критической информационной инфраструктуры) возлагаются отдельные функции по обеспечению безопасности значимых объектов критической информационной инфраструктуры в соответствии с полученной такими работниками специальностью.
(п. 12.1 введен Приказом ФСТЭК России от 20.04.2023 N 69)
13. Не допускается возложение на структурное подразделение по безопасности, специалистов по безопасности функций, не связанных с обеспечением безопасности значимых объектов критической информационной инфраструктуры или обеспечением информационной безопасности субъекта критической информационной инфраструктуры в целом.
Обязанности, возлагаемые на работников структурного подразделения по безопасности, специалистов по безопасности, должны быть определены в их должностных регламентах (инструкциях).
14. Подразделения, эксплуатирующие значимые объекты критической информационной инфраструктуры, должны обеспечивать безопасность эксплуатируемых ими значимых объектов критической информационной инфраструктуры. Объем возлагаемых на подразделения задач определяется субъектом критической информационной инфраструктуры в организационно-распорядительных документах по безопасности значимых объектов.
По решению субъекта критической информационной инфраструктуры в подразделениях, эксплуатирующих значимые объекты критической информационной инфраструктуры, могут также назначаться работники, на которых возлагаются отдельные функции по обеспечению безопасности значимых объектов критической информационной инфраструктуры. Обязанности, возлагаемые на работников, должны быть определены в их должностных регламентах (инструкциях).
Координацию и контроль деятельности указанных работников по вопросам обеспечения безопасности значимых объектов критической информационной инфраструктуры должны осуществлять структурное подразделение по безопасности, специалисты по безопасности.
15. Работники, эксплуатирующие значимые объекты критической информационной инфраструктуры (пользователи), а также работники, обеспечивающие функционирование значимых объектов критической информационной инфраструктуры, должны выполнять свои обязанности на значимых объектах критической информационной инфраструктуры в соответствии с правилами безопасности, установленными организационно-распорядительными документами по безопасности значимых объектов (инструкциями, руководствами).
До работников должны быть доведены положения организационно-распорядительных документов по безопасности значимых объектов в части, их касающейся.
Субъект критической информационной инфраструктуры должен проводить не реже одного раза в год организационные мероприятия, направленные на повышение уровня знаний работников по вопросам обеспечения безопасности критической информационной инфраструктуры и о возможных угрозах безопасности информации.
16. Представители организаций, привлекаемых субъектом критической информационной инфраструктуры для эксплуатации, обеспечения функционирования значимых объектов критической информационной инфраструктуры и (или) для обеспечения их безопасности, должны быть ознакомлены с организационно-распорядительными документами по безопасности значимых объектов.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей