Приказ Министерства промышленности и торговли РФ от 31 мая 2023 г. N 1981
"Об утверждении Порядка проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127, и установлении критериев определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127"
В соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", абзацами третьим и пятым пункта 19 3 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127, и пунктом 1 Положения о Министерстве промышленности и торговли Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 5 июня 2008 г. N 438, приказываю:
1. Утвердить прилагаемый Порядок проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127.
2. Установить, что критериями определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127, являются требования, установленные абзацами первым и вторым пункта 19 3 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127, а также критерии, указанные в подпунктах "в" - "з", "л", "м" пункта 9 Правил предоставления субсидии из федерального бюджета на создание и обеспечение деятельности отраслевого центра компетенций по информационной безопасности в промышленности, утвержденных постановлением Правительства Российской Федерации от 17 сентября 2022 г. N 1636.
3. Контроль за исполнением настоящего приказа возложить на заместителя Министра промышленности и торговли Российской Федерации В.В. Шпака.
Заместитель Председателя |
Д.В. Мантуров |
Зарегистрировано в Минюсте РФ 21 августа 2023 г.
Регистрационный N 74904
УТВЕРЖДЕН
приказом Минпромторга России
от 31 мая 2023 г. N 1981
Порядок
проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127
1. Оценка актуальности и достоверности проводится в отношении сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 (далее - оценка, Правила категорирования соответственно), представляемых субъектами критической информационной инфраструктуры Российской Федерации (далее - КИИ), осуществляющими деятельность в области оборонной, химической и металлургической промышленности (далее - сведения о категорировании) в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
2. В целях проведения оценки создается рабочая группа, включающая представителей Министерства промышленности и торговли Российской Федерации и (или) представителей отраслевого центра компетенций по информационной безопасности в промышленности, созданного в соответствии с постановлением Правительства Российской Федерации от 17 сентября 2022 г. N 1636 "Об утверждении Правил предоставления субсидии из федерального бюджета на создание и обеспечение деятельности отраслевого центра компетенций по информационной безопасности в промышленности" на базе подведомственной Министерству промышленности и торговли Российской Федерации организации, включенной в перечень организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования (далее - исполнитель, рабочая группа соответственно).
3. Департамент цифровых технологий Министерства промышленности и торговли Российской Федерации (далее - Департамент) ежегодно подготавливает проект приказа об утверждении графика проведения оценки с указанием наименования субъектов КИИ и дат проведения оценки (далее приказ) и представляет его на подписание курирующему заместителю Министра промышленности и торговли Российской Федерации.
Приказ направляется Департаментом исполнителю в срок не позднее 3 рабочих дней со дня его утверждения.
4. Рабочей группой за 10 рабочих дней до даты начала проведения оценки, указанной в приказе, формируется выездная группа с целью ознакомления с объектами КИИ и сведениями о них по месту их нахождения в соответствии с пунктом 19 2 Правил категорирования, в которую включаются представители исполнителя (далее - выездная оценка, выездная группа соответственно).
5. Рабочая группа уведомляет субъекты КИИ о проведении оценки не позднее чем за 5 рабочих дней до даты проведения оценки, указанной в приказе.
6. В случае необходимости получения доступа рабочей группой (выездной группой) к конфиденциальной информации субъекта КИИ для проведения оценки исполнителем заключаются соглашения о неразглашении конфиденциальной информации с субъектом КИИ.
7. В целях проведения оценки рабочей группой запрашиваются у субъекта КИИ сведения, указанные в пункте 17 Правил категорирования.
8. При проведении оценки рабочей группой используются технические средства (сбора, накопления, передачи, обработки, хранения и защиты аудиовизуальной и другой цифровой информации), соответствующие требованиям по защите государственной тайны, электронная почта, платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации, отвечающие при необходимости требованиям соблюдения информационной безопасности.
9. В целях проведения выездной оценки исполнителем согласовываются с субъектами КИИ дата и время ее проведения в пределах сроков проведения оценки, указанных в приказе.
Продолжительность выездной оценки не должна превышать 10 рабочих дней с даты начала ее проведения, определенной в соответствии с абзацем первым настоящего пункта.
Не позднее чем за 3 рабочих дня до дня начала проведения выездной оценки исполнителем согласовывается с субъектом КИИ порядок доступа на территорию субъекта КИИ:
а) перечень и порядок передачи предоставляемых субъекту КИИ сведений о выездной группе;
б) необходимость согласования со службой безопасности субъекта КИИ кандидатур выездной группы;
в) ограничения, связанные с требованиями по охране здоровья;
г) информация о порядке использования технических средств и программного обеспечения на площадках субъекта КИИ.
В целях обеспечения доступа на территорию субъекта КИИ субъектом КИИ предоставляется исполнителю информация о требованиях пропускного и внутриобъектового режима, а также о требованиях техники безопасности (промышленная безопасность, пожарная безопасность, охрана труда).
10. В целях оценки актуальности и достоверности сведений об установленном на объектах КИИ программном обеспечении выездная группа осуществляет анализ установленного программного обеспечения без использования сторонних инструментальных средств.
11. По результатам оценки исполнителем формируется экспертное заключение, содержащее в себе информацию о предмете оценки, объектах КИИ, актуальности и достоверности сведений о категорировании, сведения о выявленных нарушениях, а также выводы и рекомендации по результатам оценки. Экспертное заключение утверждается руководителем исполнителя (уполномоченным им лицом) в течение 10 рабочих дней со дня завершения оценки.
12. Утвержденное экспертное заключение направляется исполнителем в Департамент и субъекту КИИ, по результатам оценки сведений категорирования которого составлено экспертное заключение, не позднее 5 рабочих дней со дня его утверждения.
13. В случае несогласия с выводами и рекомендациями, содержащимися в экспертном заключении, субъект КИИ вправе направить возражения на экспертное заключение исполнителю и в Департамент не позднее 20 рабочих дней со дня получения экспертного заключения (далее - возражения).
Исполнитель рассматривает возражения и не позднее 10 рабочих дней со дня их получения направляет отзыв на возражения в Департамент (далее - отзыв).
14. Департамент обеспечивает рассмотрение возражений и отзыва с привлечением представителей исполнителя и субъекта КИИ (при необходимости) не позднее 15 рабочих дней со дня получения отзыва.
По итогам рассмотрения возражений и отзыва Департамент в соответствии с положениями постановления Правительства Российской Федерации от 8 февраля 2018 г. N 127 и приказа Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" (зарегистрирован Министерством юстиции Российской Федерации 26 марта 2018 г., регистрационный N 50524) с изменениями, внесенными приказами Федеральной службы по техническому и экспортному контролю от 9 августа 2018 г. N 138 (зарегистрирован Министерством юстиции Российской Федерации 5 сентября 2018 г., регистрационный N 52071), от 26 марта 2019 г. N 60 (зарегистрирован Министерством юстиции Российской Федерации 18 апреля 2019 г., регистрационный N 54443) и от 20 февраля 2020 г. N 35 (зарегистрирован Министерством юстиции Российской Федерации 11 сентября 2020 г., регистрационный N 59793), принимает решение о достоверности выводов и рекомендаций экспертного заключения и принятии его без изменений или о необходимости доработки экспертного заключения с учетом возражений субъекта КИИ.
15. Департамент информирует исполнителя и субъекта КИИ о принятом решении не позднее 5 рабочих дней со дня его принятия.
16. Доработка и утверждение экспертного заключения осуществляется исполнителем в срок не позднее 10 рабочих дней со дня получения от Департамента информации в соответствии с пунктом 15 настоящего Порядка.
17. Утвержденное доработанное экспертное заключение направляется исполнителем в Департамент и субъекту КИИ не позднее 5 рабочих дней со дня ею утверждения.
В отношении субъектов критической информационной инфраструктуры, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, проводится оценка актуальности и достоверности определенных сведений. Это, например, данные об объекте инфраструктуры, об угрозах безопасности информации, о присвоенной объекту категории значимости.
Минпромторг установил порядок проведения оценки и критерии определения организаций, привлекаемых к оценке.
Создается рабочая группа, включающая представителей Минпромторга и (или) представителей отраслевого центра компетенций по информационной безопасности в промышленности, образованного на базе подведомственной Министерству организации, включенной в перечень юрлиц, привлекаемых к оценке.
Приказ Министерства промышленности и торговли РФ от 31 мая 2023 г. N 1981 "Об утверждении Порядка проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127, и установлении критериев определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127"
Зарегистрировано в Минюсте РФ 21 августа 2023 г.
Регистрационный N 74904
Вступает в силу с 2 сентября 2023 г.
Опубликование:
официальный интернет-портал правовой информации (pravo.gov.ru) 22 августа 2023 г. N 0001202308220008