Приказ Федеральной службы по техническому и экспортному контролю от 20 апреля 2023 г. N 69 “О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21 декабря 2017 г. N 235” (документ не вступил в силу)

В соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", пунктом 2 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, Указом Президента Российской Федерации от 11 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" приказываю:

Внести изменения в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. N 235 (зарегистрирован Минюстом России 22 февраля 2018 г., регистрационный № 50118), с изменениями, внесенными приказом ФСТЭК России от 27 марта 2019 г. N 64 "О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235" (зарегистрирован Минюстом России 13 июня 2019 г., регистрационный N 54920), согласно приложению к настоящему приказу.

Зарегистрировано в Минюсте РФ 23 июня 2023 г.

Регистрационный № 73969

Приложение
к приказу ФСТЭК России
от 20 апреля 2023 г. N 69

Изменения,
вносимые в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. N 235

1. Пункт 8 изложить в следующей редакции:

"8. Руководитель субъекта критической информационной инфраструктуры или заместитель руководителя субъекта критической информационной инфраструктуры, на которого возложены полномочия по обеспечению информационной безопасности в соответствии с Указом Президента Российской Федерации от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" (далее - ответственное лицо), создает систему безопасности, организует и контролирует ее функционирование.".

2. В абзаце третьем пункта 10 слово "уполномоченному" заменить словом "ответственному".

3. В пункте 10.1:

а) в абзаце первом слово "уполномоченного" заменить словом "ответственного";

б) в абзаце втором после слова "осуществляют" дополнить словами "ответственное лицо и (или)".

4. В пункте 12:

а) в абзаце втором слова "(со сроком обучения не менее 360 часов)" исключить;

б) абзац третий изложить в следующей редакции:

"наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования с прохождением обучения по программе повышения квалификации по направлению "Информационная безопасность;";

в) в абзаце четвертом слова "5 лет" заменить словами "3 года".

5. Дополнить пунктом 12.1 следующего содержания:

"12.1 На работников со средним профессиональным образованием по специальности в области информационной безопасности (при наличии должности в штатном расписании у субъекта критической информационной инфраструктуры) возлагаются отдельные функции по обеспечению безопасности значимых объектов критической информационной инфраструктуры в соответствии с полученной такими работниками специальностью.".

6. В пункте 21:

а) в абзаце первом слово "гарантийной," исключить;

б) дополнить абзацем третьим следующего содержания:

"В случае невозможности обеспечения средств защиты информации технической поддержкой со стороны разработчиков (производителей), субъектом критической информационной инфраструктуры должны быть реализованы организационные и технические меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта, в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. N 2391.".

7. Дополнить сноской к абзацу третьему пункта 21 следующего содержания:

"1 Зарегистрирован Минюстом России 26 марта 2018 г., регистрационный N 50524, с изменениями, внесенными приказами ФСТЭК России от 9 августа 2018 г. N 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный № 52071), от 26 марта 2019 г. N 60 (зарегистрирован Минюстом России 18 апреля 2019 г., регистрационный N 54443) и от 20 февраля 2020 г. N 35 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный N 59793).".

8. В пункте 26 слово "уполномоченным" заменить словом "ответственным".

9. В пункте 27 после слов "субъекта критической информационной инфраструктуры," дополнить словами "ответственного лица,".

10. В пункте 36:

а) в абзаце четвертом слово "уполномоченным" заменить словом "ответственным";

б) в абзаце пятом после слов "руководителя субъекта" дополнить словами "(ответственного лица)";

в) в абзаце седьмом слово "уполномоченным" заменить словом "ответственным".

11. В пункте 37:

а) в абзаце третьем слово "уполномоченному" заменить словом "ответственному";

б) в абзаце четвертом слово "уполномоченного" заменить словом "ответственного".