Предполагаемые изменения в 235 и 236 приказы ФСТЭК России Совсем недавно на прошедшем ТБ Форуме ФСТЭК России анонсировала разработку проекта изменений в свои приказы 235 и 236. В настоящее время ФСТЭК России проводятся встречи с субъектами КИИ по обсуждению пакета изменений. Так регулятор предлагает (некоторые из предложенных изменений):
1. В Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом ФСТЭК от 21 декабря 2017 г. № 235, внести изменения, касающиеся:
1.1. Установления требований к образованию руководителя и работников структурного подразделения по обеспечению безопасности ЗОКИИ.
1.2. Создания подразделений по обеспечению безопасности ЗОКИИ в филиалах и представительствах субъекта КИИ, а также их взаимодействия с материнской организацией.
1.3. Содержания плана мероприятий по обеспечению безопасности ЗОКИИ, который должен включать мероприятия по безопасности в филиалах и представительствах субъекта КИИ.
2. В форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом ФСТЭК России от 22 декабря 2017 г. № 236, внести изменения, касающиеся:
2.1. Конкретизации наименования объекта КИИ.
2.2. Исключения указания критического процесса.
2.3. Добавления пунктов, предусматривающего указание ИНН и КПП субъекта КИИ и его филиалов и представительств, а также ИНН и КПП лиц, эксплуатирующих объект КИИ и его филиалов и представительств.
2.4. Добавления к указанию наименования оператора связи еще наименования провайдера хостинга.
2.5. Добавления пункта, предусматривающего указание используемых объектом КИИ маршрутизируемых IP-адресов и доменных имен.
2.6. Исключения указания наименования технологического и производственного оборудования (исполнительных устройств).
2.7. Исключения п. 7.2 рассматриваемой формы.
2.8. Включения пункта, описывающего обоснование полученных значений критериев значимости или их неприменимости.
P.S.: Как видно, на данном раннем этапе, несмотря на то, что предполагаемые изменения в ПП-127 предусматривают исключение из акта категорирования сведений об угрозах безопасности информации, в форме из 236 приказа эта информация сохраняется.