Приложение

к приказу ФСТЭК России

от 20 апреля 2023 г. N 69

ИЗМЕНЕНИЯ,

ВНОСИМЫЕ В ТРЕБОВАНИЯ К СОЗДАНИЮ СИСТЕМ БЕЗОПАСНОСТИ

ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ

РОССИЙСКОЙ ФЕДЕРАЦИИ И ОБЕСПЕЧЕНИЮ ИХ ФУНКЦИОНИРОВАНИЯ,

УТВЕРЖДЕННЫЕ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ

И ЭКСПОРТНОМУ КОНТРОЛЮ ОТ 21 ДЕКАБРЯ 2017 Г. N 235

1. Пункт 8 изложить в следующей редакции:

"8. Руководитель субъекта критической информационной инфраструктуры или заместитель руководителя субъекта критической информационной инфраструктуры, на которого возложены полномочия по обеспечению информационной безопасности в соответствии с Указом Президента Российской Федерации от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" (далее - ответственное лицо), создает систему безопасности, организует и контролирует ее функционирование.".

2. В абзаце третьем пункта 10 слово "уполномоченному" заменить словом "ответственному".

3. В пункте 10.1:

а) в абзаце первом слово "уполномоченного" заменить словом "ответственного";

б) в абзаце втором после слова "осуществляют" дополнить словами "ответственное лицо и (или)".

4. В пункте 12:

а) в абзаце втором слова "(со сроком обучения не менее 360 часов)" исключить;

б) абзац третий изложить в следующей редакции:

"наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования с прохождением обучения по программе повышения квалификации по направлению "Информационная безопасность";";

в) в абзаце четвертом слова "5 лет" заменить словами "3 года".

5. Дополнить пунктом 12.1 следующего содержания:

"12.1. На работников со средним профессиональным образованием по специальности в области информационной безопасности (при наличии должности в штатном расписании у субъекта критической информационной инфраструктуры) возлагаются отдельные функции по обеспечению безопасности значимых объектов критической информационной инфраструктуры в соответствии с полученной такими работниками специальностью.".

6. В пункте 21:

а) в абзаце первом слово "гарантийной," исключить;

б) дополнить абзацем третьим следующего содержания:

"В случае невозможности обеспечения средств защиты информации технической поддержкой со стороны разработчиков (производителей), субъектом критической информационной инфраструктуры должны быть реализованы организационные и технические меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта, в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. N 239 <1>.".

7. Дополнить сноской к абзацу третьему пункта 21 следующего содержания:

"<1> Зарегистрирован Минюстом России 26 марта 2018 г., регистрационный N 50524, с изменениями, внесенными приказами ФСТЭК России от 9 августа 2018 г. N 138 (зарегистрирован Минюстом России 5 сентября 2018 г., регистрационный N 52071), от 26 марта 2019 г. N 60 (зарегистрирован Минюстом России 18 апреля 2019 г., регистрационный N 54443) и от 20 февраля 2020 г. N 35 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный N 59793).".

8. В пункте 26 слово "уполномоченным" заменить словом "ответственным".

9. В пункте 27 после слов "субъекта критической информационной инфраструктуры," дополнить словами "ответственного лица,".

10. В пункте 36:

а) в абзаце четвертом слово "уполномоченным" заменить словом "ответственным";

б) в абзаце пятом после слов "руководителя субъекта" дополнить словами "(ответственного лица)";

в) в абзаце седьмом слово "уполномоченным" заменить словом "ответственным".

11. В пункте 37:

а) в абзаце третьем слово "уполномоченному" заменить словом "ответственному";

б) в абзаце четвертом слово "уполномоченного" заменить словом "ответственного".