12. Работники структурного подразделения по безопасности, специалисты по безопасности должны соответствовать следующим требованиям:
наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;
наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению "Информационная безопасность" (со сроком обучения не менее 72 часов);
прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению "Информационная безопасность".
(п. 12 в ред. Приказа ФСТЭК России от 27.03.2019 N 64)

Спасибо, коллеги.

Добрый день! Подскажите, пожалуйста, позиция регуляторов до сих пор такая, что к объектам КИИ удаленный доступ запрещен? Например, есть необходимость уд. доступа к рабочему компьюетру по rdp (внутри vpn например) (элемент АСУ) в нерабочее время.

В дистанционном режиме не допускается предоставлять удаленный доступ для управления (в том числе путём передачи управляющих команд и (или) сигналов, изменения параметров управляемых процессов и осуществления иных управляющих воздействий) режимами функционирования промышленного (технологического) оборудования (устройств) автоматизированных систем управления производственными (технологическими) процессами, являющихся значимыми объектами критической информационной инфраструктуры. https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2059-pismo-fstek-rossii-ot-20-marta-2020-g-n-240-84-389

Валерий, извините за тупой вопрос, а предоставление удаленного доступа к рабочему месту сотрудника, с которого он уже управляет КИИ, тоже под это подпадает?

А какая разница? Здесь ключевое цель  - для управления (в том числе путём передачи управляющих команд и (или) сигналов, изменения параметров управляемых процессов и осуществления иных управляющих воздействий) режимами функционирования промышленного (технологического) оборудования (устройств) автоматизированных систем управления. И для ЗОКИИ. Если цель другая и нет ЗОКИИ, то и запрета нет.

Т.е. Получается что только можно зайти на дашборды посмотреть.

Если смотреть на запрет в лоб, он равносилен запрету на функционирование территориально удаленных друг от обьектов. А это явный экономический ущерб государству, так как в условиях цифровизации, все управляется удаленно, физически на объектах людей нет.

это рекомендации,а не обязательные требования. И только на период пандемии. Здесь надо обращать внимание на трактовку "удаленного доступа". Локальный доступ ФСТЭК не запрещает.

А ГОСТ ВПН у нас локальный? :)

Удаленный доступ: процесс получения с использованием сетевых
протоколов доступа (через внешнюю сеть) к объектам доступа систем и сетей
из другой системы и сети или со средством вычислительной техники, не
являющимся постоянно (непосредственно) соединенным физически или
логически с системой, к которой он получает доступ. - трактовка ФСТЭК

Локальный доступ хмм.. то есть если я поставлю в локальной сети комп (который не входит в состав кии, но находится в той же локальной сети), и сначала подрублюсь к нему по vpn-rdp, а с него уже подключусь к элементу АСУ ЗОКИИ, то все норм?))

коллеги вопрос:
рассматривать ли показатель из 127-ПП "Причинение ущерба жизни и здоровью людей (человек)" для предприятия из сферы энергоснабжения (не АЭС и не ТЭЦ), при этом объекты этого предприятия не являются опасными объектами?
смущает в принципе это: при аварии на подстанции может привести к травмам от 1 до 10 человек.

Авария может произойти в случае компьютерной атаки?

да, в том числе, так как подстанция управляется ПО

рассматриваются все показатели. Если не применим, то надо писать обоснования неприменимости

вот и планирую написать, что объект не отнесен к опасным, деятельность в сфере здравоохранения не оказывается - т.о. не актуален для рассмотрения

Короткий Дайджест КИИ 187-ФЗ с подборкой (увы, пополняемой) уголовных дел о неправомерном воздействии на КИИ https://zlonov.ru/kii187fz-2020-28/

А причем тут объект ОПО или нет? Люди могут пострадать? Значит походит