Управлением Федеральной службы по техническому и экспортному контролю по Центральному федеральному округу в установленном порядке исполнены поручения, данные руководителем Управления Федеральной службы по техническому и экспортному контролю по Центральному федеральному округу Олегом Райковым 8 декабря 2023 года в ходе личного приёма граждан в Приёмной Президента Российской Федерации в Москве:
по обращению Диденко Николая Александровича по вопросу новой Методики оценки угроз безопасности информации, утвержденной Федеральной службой по техническому и экспортному контролю 5 февраля 2021 года доложено, что в соответствии с информационным сообщением ФСТЭК России от 15 февраля 2021 года № 240/22/690 методика оценки угроз безопасности информации, утвержденная ФСТЭК России 5 февраля 2021 года, применяется для оценки угроз безопасности информации в системах и сетях, решение о создании или модернизации (развитии) которых, принято после даты ее утверждения, а также в эксплуатируемых системах и сетях, Модели угроз безопасности информации систем и сетей, разработанные и утверждённые до утверждения Методики, продолжают действовать и подлежат изменению в соответствии с настоящей Методикой при развитии (модернизации) соответствующих систем и сетей. В связи с утверждением настоящего методического документа не применяются для оценки угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 год) и Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 год). Методический документ должен применяться совместно с банком данных угроз безопасности информации ФСТЭК России;
по обращению Евдокимова Олега Георгиевича по вопросу дополнительных мер по обеспечению информационной безопасности Российской Федерации, обязательных к выполнению субъектами критической информационной инфраструктуры доложено, что успешное выполнение требований Указа Президента Российской Федерации от 1 мая 2022 года № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» при получении субъектом критической информационной инфраструктуры рекомендаций по устранению уязвимостей, зависит от грамотного применения методического документа «Руководство по организации процесса управления уязвимостями в органе (организации)» (далее – Руководство), утвержденного ФСТЭК России 17 мая 2023 года. Который размещен на официальном сайте ФСТЭК России www.fstec.ru. В соответствии с руководством субъект организует и проводит следующие мероприятия: мониторинг уязвимостей и оценки их применимости; оценка уязвимости с учетом критичности влияния на происходящие процессы; определение методов и приоритетов устранения уязвимостей; устранение уязвимостей с распределением обязанностей по подразделениям; организация контроля устранения уязвимостей и эффективности применяемых мер. Для реализации задач по устранению уязвимостей должны быть разработаны детальные описания операций по их устранению. Устранение уязвимостей осуществляется путем применения технических или компенсирующих мер;
по обращению Иванова Андрея Леонидовича по вопросу перечня типовых отраслевых объектов критической информационной инфраструктуры доложено, что в соответствии с подпунктом ж пункта 10 постановления Правительства Российской Федерации «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 года № 127 перечни типовых отраслевых объектов критической информационной инфраструктуры, формируются государственными органами и российскими юридическими лицами выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с ФСТЭК России. На данный момент согласованы с ФСТЭК России и опубликованы перечни типовых отраслевых объектов критической информационной инфраструктуры в сферах транспорта, ракетно-космической промышленности, энергетики, в остальных сферах перечни типовых отраслевых объектов критической информационной инфраструктуры находятся на стадии согласования;
по обращению Кудряшова Андрея Леонидовича по вопросу требований к квалификации (уровню подготовки) сотрудников, выполняющих работы по созданию средств защиты информации доложено, что руководитель и (или) лицо, уполномоченное руководить работами по лицензируемому виду деятельности должен иметь высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и пройти профессиональную переподготовку по специальности в соответствии с заявленным видом деятельности (нормативный срок обучения – не менее 360 часов) и иметь стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет. Штатные специалисты, осуществляющие лицензируемую деятельность, должны иметь высшее образование по направлению подготовки (специальности) в области информационной безопасности либо высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и профессиональную переподготовку по специальности в соответствии с заявленным видом деятельности. Требуемый стаж работы в области проводимых работ по лицензируемому виду деятельности (от 0 до 2 лет) определяется в соответствии с профессиональным стандартом «Специалист по технической защите информации», утвержденным приказом Минтруда России от 9 августа 2022 года № 474 н;
по обращению Савельева Виталия Владиславовича по вопросу применения на рабочем месте средств антивирусной защиты доложено, что применять на автоматизированном рабочем месте средства антивирусной защиты типа Б (средства антивирусной защиты, предназначенные для применения на серверах информационных систем) не допускается. Согласно «Требованиям к средствам антивирусной защиты», утвержденных приказом ФСТЭК России от 20 марта 2012 года № 28, на автоматизированных рабочих местах информационных систем применяются средства антивирусной защиты типа В, а на автономных автоматизированных рабочих местах применяются средства антивирусной защиты типа Г;
по обращению Федотова Максима Федоровича по вопросу аттестации станков с числовым программным управлением доложено, что для аттестации станков с числовым программным управлением не обрабатывающих сведения, составляющие государственную тайну, можно руководствоваться положениями Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требования о защите информации ограниченного доступа, не составляющие государственную тайну, утвержденного приказом ФСТЭК России от 29 апреля 2021 года № 77. Необходимо учитывать требования Положения по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации, не содержащей сведения, составляющие государственную тайну, утвержденного приказом ФСТЭК России от 29 марта 2009 года № 191, в части требований по защите информации от несанкционированного доступа.
Ответы заявителям даны.
На этом основании поручения признаны исполненными.