23 июня был официально опубликован приказ ФСТЭК от 20.04.2023 № 69 «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры РФ и обеспечению их функционирования, утверждённые приказом ФСТЭК России от 21 декабря 2017 г. № 235». Ведущий консультант по ИБ AKTIV.CONSULTING Александр Моисеев рассказал об основных важных изменениях, которые были внесены в документ.
Во-первых, теперь совместно с руководителем субъекта КИИ ответственным за создание системы безопасности, организацию и контроль её функционирования становится заместитель руководителя субъекта КИИ, а не уполномоченное руководителем лицо, как было ранее.
Во-вторых, из документа удален минимальный срок обучения для программы профессиональной переподготовки по направлению «Информационная безопасность»: для руководителей он был не менее 360 часов, а для штатных специалистов — не менее 72 часов. Теперь минимальных сроков программ переподготовки не указано.
Также специалистам теперь необходимо не реже одного раза в 3 года (а не 5 лет, как было ранее) проходить обучение по программам повышения квалификации по направлению «Информационная безопасность».
В-третьих, добавлен пункт 12.1, в котором говорится, что на работников со средним профессиональным образованием по специальности в области ИБ возлагаются отдельные функции по обеспечению безопасности ЗО КИИ в соответствии с полученной такими работниками специальностью.
Наконец, в пункте 21 теперь указано, что в случае невозможности обеспечения СЗИ технической поддержкой со стороны разработчиков (производителей), субъектом КИИ должны быть реализованы организационные и технические меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищённости значимого объекта в соответствии с предъявляемыми ФСТЭК требованиями.