2025 годОтвет: согласно пункту 11
Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации (далее – РФ) и обеспечению их функционирования, утвержденных приказом ФСТЭК России от 21.12.2017 № 235, допускается привлечение сторонних организаций для реализации функций по обеспечению безопасности значимых объектов КИИ – передача процессов обеспечения информационной безопасности (далее – ИБ) объектов КИИ на аутсорсинг. Привлекаемые аутсорсинговые компании должны иметь лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации (в зависимости от типа информации, обрабатываемой объектом КИИ).
Однако необходимо учитывать требования, установленные
Указом Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». В соответствии с требованиями данного указа, на стороне субъекта КИИ должны быть определены полномочия, обязанности и ответственность по обеспечению ИБ, а именно:
- возложение на заместителя руководителя субъекта КИИ полномочий по обеспечению ИБ организации;
- создание структурного подразделения, осуществляющего функции по обеспечению ИБ субъекта КИИ;
- возложение на руководителя субъекта КИИ персональной ответственности за обеспечение ИБ организации.
Соответственно, в организационной структуре субъекта КИИ необходимо выделение отдельной штатной единицы в виде заместителя руководителя по ИБ, а также выделение структурного подразделения по ИБ. Таким образом, несмотря на возможность передачи процессов обеспечения ИБ на аутсорсинг, в штатной численности субъекта КИИ необходимы специалисты по ИБ, как минимум в лице заместителя руководителя по ИБ.