На вопросы отвечает
Константин Саматов
Эксперт по кибербезопасности
NEW! Категорирование: Нужно ли уведомлять ФСТЭК России о составе комиссии по категорированию объектов КИИ и об изменении состава комиссии?

Ответ: Не нужно.

Действующее законодательство не содержит требования об информировании ФСТЭК России о создании комиссии по категорированию, ее составе, изменениях.

Постановлением Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» предусмотрена обязанность субъекта критической информационной инфраструктуры перед началом категорирования создать постоянно действующую комиссию, определен составу включаемых в нее лиц (п. 11, 11.1, 11.2, 12), руководитель комиссии определяется в соответствии с п. 13; п. 11.3. определены случаи расформирования комиссии по категорированию:

  • прекращение субъектом критической информационной инфраструктуры выполнения функций (полномочий) или осуществления видов деятельности в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";
  • ликвидация, реорганизация субъекта критической информационной инфраструктуры и (или) изменение его организационно-правовой формы, в результате которых были утрачены признаки субъекта критической информационной инфраструктуры.

Кроме того, следует иметь в виду также и то, что во ФСТЭК России не требуется отправлять подписанный комиссией акт о категорировании.
NEW! Сроки и формы: В какой срок необходимо реализовать систему безопасности значимого объекта КИИ, соответствующую требованиям приказов ФСТЭК России?

Ответ: В разумный срок.

Конкретного, нормативно закрепленного срока создания системы безопасности значимого объекта КИИ нет. Но важно учитывать следующие моменты:

  1. Обязанность по созданию системы безопасности возникает с момента включения объекта в реестр значимых объектов ФСТЭК России (ст. 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации").
  2. Одним из оснований для включения в план проверок соблюдения субъектом КИИ требований по обеспечению безопасности, является истечение трех лет со дня внесения сведений об объекте КИИ в реестр значимых объектов ФСТЭК России.

NEW! Персонал: Чему конкретно необходимо обучать пользователей ЗОКИИ?

Ответ: В соответствии с п. 15 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. Приказом ФСТЭК России от 21.12.2017 № 235) до работников эксплуатирующих ЗОКИИ (пользователей) должны быть доведены положения организационно-распорядительных документов по безопасности значимых объектов в части, их касающейся.

Субъект критической информационной инфраструктуры должен проводить не реже одного раза в год организационные мероприятия, направленные на повышение уровня знаний работников по вопросам обеспечения безопасности критической информационной инфраструктуры и о возможных угрозах безопасности информации.

Таким образом, в рамках обучения пользователей ЗОКИИ субъекту КИИ необходимо провести следующие мероприятия:

  1. Ознакомить под подпись пользователей с организационно-распорядительными документами в части безопасности КИИ.
  2. Составить годовой план обучения пользователей в части безопасности КИИ, с учетом п. 13.6, 13.7 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утв. Приказом ФСТЭК России от 25.12.2017 № 239), в котором предусмотреть обучение по следующим тематикам:
    • общие вопросы обеспечения безопасности объектов КИИ;
    • угрозы безопасности актуальные принадлежащим субъекту значимым объектам КИИ;
    • обучение и отработка действий персонала по обеспечению безопасности ЗОКИИ в случае возникновения нештатных ситуаций (компьютерных инцидентов);
    • обучение персонала правилам эксплуатации отдельных средств защиты информации, включая проведение практических занятий;
    • контроль осведомленности персонала об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения безопасности критической информационной инфраструктуры.
NEW! Персонал: Требуется ли круглосуточное дежурство персонала ответственного за безопасность ЗОКИИ?

Ответ: Не требуется.

Требование об осуществлении круглосуточного дежурства работников ответственных за обеспечение безопасности значимых объектов КИИ в действующем законодательстве отсутствует.

Пункт 4 Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации (утв. приказом ФСБ России от 19 июня 2019 г. № 282) предписывает информировать о компьютерном инциденте на значимом объекте не позднее 3 часов с момента обнаружения, т.е. с момента когда сотруднику ответственному за обеспечение информационной безопасности стало о нем известно.

NEW! Проверки: Может ли ФСТЭК России проводить внеплановые проверки субъектов КИИ?

Ответ: Да, может.

В соответствии с п. 3 Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры российской федерации (утв. постановлением Правительства Российской Федерации от 17 февраля 2018 г. № 162) государственный контроль в области обеспечения безопасности КИИ осуществляется путем проведения плановых и внеплановых выездных проверок.

Основаниями для осуществления внеплановой проверки являются (п. 20 Правил):

  • истечение срока выполнения субъектом КИИ выданного органом государственного контроля предписания об устранении выявленного нарушения требований по обеспечению безопасности;
  • возникновение компьютерного инцидента на значимом объекте КИИ, повлекшего негативные последствия;
  • приказ органа государственного контроля, изданный в соответствии с поручением Президента Российской Федерации или Правительства Российской Федерации либо на основании требования прокурора об осуществлении внеплановой проверки в рамках проведения надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.
Субъекты КИИ: На кого распространяется 187-ФЗ?
Ответ: Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ) распространяется на:

1) Государственные органы, государственные учреждения, российских юридических лиц и (или) индивидуальных предпринимателей, которые:

• функционируют в одной или нескольких из указанных в п. 8 ст. 2 187-ФЗ сферах: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность
• владеют на законном основании информационными системами (ИС), информационнотелекоммуникационными сетями (ИТКС) и (или) автоматизированными системами управления (АСУ).

2) Российских юридических лиц и (или) индивидуальных предпринимателей, которые обеспечивают взаимодействие ИС, ИТКС и (или) АСУ, принадлежащих государственным органам, государственным учреждениям, российским юридическим лицам и (или) индивидуальным предпринимателям которые функционируют в одной или нескольких из перечисленных в п. 8 ст. 2 187-ФЗ сферах.

Субъекты КИИ: Как определить, что компания является субъектом КИИ?
Ответ: Для этого необходимо проанализировать уставные документы компании: Устав (Положение), ЕГРЮЛ и документы, дающие разрешение на осуществление определенных видов деятельности (лицензии).
Определить какие виды деятельности характерны для указанной компании, а затем при помощи ОКВЭД определить сферу ее функционирования, после чего определить имеет ли компания на праве собственности, аренды или ином законном основании ИС/ИТКС/АСУ.

Субъекты КИИ: При определении того, что компания является субъектом КИИ нужно смотреть только на основной вид деятельности или также на дополнительные виды деятельности?
Ответ: учитываются все виды деятельности: основной и дополнительные.
Субъекты КИИ: Является ли страховая компания субъектом КИИ?
Ответ: Согласно ст. 76 Федерального закона от 10.07.2002 №86-ФЗ «О Центральном банке Российской Федерации (Банке России)» некредитными финансовыми организациями признаются лица, осуществляющие, в частности, деятельность субъектов страхового дела (пп.9 абз.1 ст.76).

Таким образом, страховые организации признаются субъектами, функционирующими в сфере финансовых рынков.

В соответствии со ст. 2 №187-ФЗ к субъектам КИИ относятся организации, которым на праве собственности, аренды или на ином законном основании принадлежат ИС / ИТКС / АСУ, функционирующие, в частности, в сферах финансового рынка.

Таким образом, страховые организации, в большинстве случаев являются субъектами КИИ, поскольку функционируют в одной из указанных в №187-ФЗ сфер (в финансовой сфере).

Для более точного ответа на поставленный вопрос, является ли конкретная страховая организация субъектом КИИ, следует проанализировать виды деятельности, которые она осуществляет, и определить имеет ли организация на праве собственности, аренды или ином законном основании: ИС / ИТКС / АСУ.

Субъекты КИИ: Являются органы местного самоуправления (ОМСУ) субъектами КИИ?
Ответ: Органы местного самоуправления не являются субъектами КИИ:

• вид деятельности органов местного самоуправления (администраций) по ОКВЭД: 84.11.3 «Деятельность органов местного самоуправления по управлению вопросами общего характера».

• в соответствии с частью 4 статьи 34 Федерального закона от 06.10.2003 № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации» органы местного самоуправления не входят в систему органов государственной власти, т.е. не являются государственными органами. При этом, следует иметь в виду, что такой вид объектов КИИ, как муниципальные информационные системы не обязательно должны принадлежать органу местного самоуправления. В соответствии с ч. 1 ст. 13 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» муниципальные информационные системы – это информационные системы, созданные на основании решения органа местного самоуправления.

Таким образом, де-юре, безусловно, единственным определяющим признаком муниципальной информационной системы является ее создание на основании решения органа местного самоуправления, а значит, муниципальная информационная система может принадлежать по сути любому российскому юридическому лицу, например, подведомственной организации или муниципально-частному партнеру.

Субъекты КИИ: Что предпринять, если ни один из ОКВЭД организации не попал в сферы действия, указанные в п. 8 ст. 2 187-ФЗ?
Ответ: Если ни один из заявленных в ОКВЭД видов деятельности организации не попадает в перечисленные в п. 8 ст. 2 187-ФЗ сферы, то необходимо это документально зафиксировать. Для этого, в организации создается комиссия, которая проводит работу по определению принадлежности организации к субъектам КИИ и, по ее итогам, изготавливает мотивированное решение (см. ниже пример). Данный документ хранится у организации, направление его во ФСТЭК России не требуется.

Пример акта по ОМСУ

АКТ

по результатам определения принадлежности организации к субъектам критической информационной инфраструктуры

Комиссия в составе:

созданная приказом №_________ от ____._____. провела оценку принадлежности Администрации муниципального образования г. ____________ к субъектам критической информационной инфраструктуры.

По результатам проведенного анализа комиссия установила:

1. Основной вид деятельности Администрации по Общероссийскому классификатору видов деятельности (ОКВЭД) 84.11.3 «Деятельность органов местного самоуправления по управлению вопросами общего характера», следовательно, Администрация не функционирует ни в одной из сфер, представленных в пункте 8 статьи 2 187-ФЗ.

2. В соответствии с частью 4 статьи 34 Федерального закона от 06.10.2003 № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации» органы местного самоуправления не входят в систему органов государственной власти, таким образом, Администрация не является государственным органом.

3. Организации не принадлежат информационные системы, информационнотелекоммуникационные сети, автоматизированные системы управления, функционирующие в сферах, представленных в пункте 8 статьи 2 187-ФЗ.

4. Организация не осуществляет взаимодействие систем, перечисленных в пункте 8 стати 2 187-ФЗ:

Комиссия решила:

В соответствии с пунктом 8 статьи 2 ФЗ №187 Администрация г. __________ не является субъектом критической информационной инфраструктуры.

Председатель комиссии

Члены комиссии

Субъекты КИИ: Является ли торговая сеть субъектом КИИ?
Ответ: Для ответа на поставленный вопрос, следует проанализировать виды деятельности конкретной холдинговой компании, которые она осуществляет, и определить имеет ли организация на праве собственности, аренды или ином законном основании соответствующие объекты: ИС / ИТКС / АСУ.

Рекомендуется следующий подход для определения сферы деятельности компании:

• воспользоваться общероссийским классификатором видов экономической деятельности (ОКВЭД) и каталогом организаций России;

• определить виды деятельности из лицензий, сертификатов и иных разрешительных документов на виды деятельности;

• воспользоваться перечнями видов деятельности из учредительных документов, устава, положения организации.

Если хотя бы в одном из приведенных выше документов присутствует указание на упомянутые в №187-ФЗ сферы деятельности, то, скорее всего, компания является субъектом КИИ. В большинстве случаев, виды деятельности торговых сетей связаны с оптовой и розничной торговлей, и, соответственно, не входят в сферы перечисленные в 187-ФЗ.

Субъекты КИИ: Какие предприятия относятся к сфере ОПК. Имеющие лицензии Минпромторга (лицензия ВВТ) и включённые в перечень или достаточно только наличие лицензии?

Ответ: Организации, включенные в сводный реестр организаций оборонно-промышленного комплекса.

Порядок ведения указанного реестра определяется Положением о ведении сводного реестра организаций оборонно-промышленного комплекса (утв. постановлением Правительства РФ от 20 февраля 2004 г. № 96). Информация указанного реестра является сведениями ограниченного доступа (п. 2 постановления Правительства РФ от 20 февраля 2004 г. № 96).

Субъекты КИИ: Является ли теле / радио компания субъектом КИИ?

Ответ: Основными видами деятельности большинства теле/радо компаний являются: 60.10 Деятельность в области радиовещания и 60.20 Деятельность в области телевизионного вещания, входящие в укрупненную группу 60. Деятельность в области телевизионного и радиовещания, которая, в свою очередь, входит в раздел J. Деятельность в области информации и связи. Таким образом, теле/радиокомпания, в большинстве случаев, является субъектом КИИ функционирующим в сфере связи.

Для более точного ответа на поставленный вопрос, является ли конкретная организация субъектом КИИ, следует проанализировать виды деятельности, которые она осуществляет, и определить имеет ли организация на праве собственности, аренды или ином законном основании: ИС / ИТКС / АСУ.

Субъекты КИИ: Является ли лизинговая компания субъектом КИИ?

Ответ: несмотря на то, что среди видов деятельности, заявленных в уставных документах лизинговой компании, может встречаться «64.92 Предоставление займов и прочих видов кредита», в большинстве случаев, лизинговая компания не будет относиться к субъектам финансового рынка и, соответственно, субъектам КИИ.

Финансовый рынок представляет собой систему торговли деньгами и их эквивалентом, через которую происходит постоянное движение денежных ресурсов между инвесторами, государством, предприятиями и прочими участниками. В сферу финансовых рынков входят следующие организации (ст. 76.1 Федерального закона от 10.07.2002 № 86-ФЗ "О Центральном банке Российской Федерации (Банке России)"):

1) профессиональные участники рынка ценных бумаг;

2) управляющие компании инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;

3) специализированные депозитарии инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;

4) акционерные инвестиционные фонды;

5) клиринговые компании;

6) компании осуществляющие функции центрального контрагента;

7) организаторы торговли (на товарном и финансовом рынках);

8) депозитарии и репозитарии

9) субъекты страхового дела;

10) негосударственные пенсионные фонды;

11) микрофинансовые организации;

12) кредитные потребительские кооперативы;

13) жилищные накопительные кооперативы;

14) бюро кредитных историй;

15) организации, осуществляющие актуарную деятельность;

16) кредитные рейтинговые агентства;

17) сельскохозяйственные кредитные потребительские кооперативы;

18) операторы инвестиционной платформы;

18) ломбарды.

Лизинговая деятельность представляет собой деятельность по приобретению имущества, относящегося к непотребляемым вещам, с последующей передачей его за плату во временное владение и пользование.

Для более точного ответа на поставленный вопрос, является ли конкретная организация субъектом КИИ, следует проанализировать виды деятельности, которые она осуществляет, и определить имеет ли организация на праве собственности, аренды или ином законном основании: ИС / ИТКС / АСУ.

Субъекты КИИ: Является ли аптека (торговля лекарственными средствами/фармацевтической продукцией) субъектом КИИ?

Ответ: Аптечные организации бывают двух видов (п. 35 ст. 4 Федерального закона от 12.04.2010 № 61-ФЗ «Об обращении лекарственных средств»):

1)      самостоятельные юридические лица;

2)      структурные подразделения медицинских организаций.

В первом случае (самостоятельное юридическое лицо) основным (в т.ч. лицензируемым) видом деятельности такой организации является фармацевтическая деятельность (деятельность, включающая в себя оптовую торговлю лекарственными средствами, их хранение, перевозку и (или) розничную торговлю лекарственными препаратами, их отпуск, хранение, перевозку, изготовление лекарственных препаратов). Данная деятельность в соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» относится к сфере охраны здоровья (здравоохранения).

Во втором случае (структурное подразделение медицинской организации) аптека выступает как составной медицинской организации.

Таким образом, в обоих случаях аптечная организация будет являться субъектом, функционирующим в сфере здравоохранения, т.е. потенциальным субъектом КИИ.

Для более точного ответа на поставленный вопрос, является ли конкретная организация субъектом КИИ, следует проанализировать виды деятельности, которые она осуществляет, и определить имеет ли организация на праве собственности, аренды или ином законном основании: ИС / ИТКС / АСУ.

Объекты КИИ: Что является объектом КИИ?
Ответ: В соответствии с п. 7 ст. 2 187-ФЗ объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. Иными словами, объекты КИИ, это принадлежащие субъектам КИИ ИС, АСУ и (или) ИТКС.
Объекты КИИ: Что такое значимый объект КИИ?
Ответ: В соответствии с п. 3 ст. 2 187-ФЗ значимый объект критической информационной инфраструктуры - объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
Объекты КИИ: Есть ли в ЛПУ значимые объекты КИИ?
Ответ: Определить наличие или отсутствие значимых объектов КИИ можно по итогам проведения процедуры категорирования. В соответствии с ч. 1 ст. 7 187-ФЗ категорирование объекта КИИ представляет собой установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
Объекты КИИ: Относятся ли ИС управления персоналом к объектам КИИ?
Ответ: Если ИС управления персоналом принадлежат государственным органам, государственным учреждениям, российским юридическим лицам и (или) индивидуальным предпринимателям которые функционируют в одной или нескольких из перечисленных в п. 8 ст. 2 187-ФЗ сферах, то они относятся к объектам КИИ.
Объекты КИИ: Относятся ли системы пожарной сигнализации, пожаротушения, охранной сигнализации или СКУД к объектам КИИ?
Ответ: Если перечисленные системы принадлежат государственным органам, государственным учреждениям, российским юридическим лицам и (или) индивидуальным предпринимателям которые функционируют в одной или нескольких из перечисленных в п. 8 ст. 2 187-ФЗ сферах, то они относятся к объектам КИИ.
Объекты КИИ: Какие требования нужно выполнять для незначимых объектов КИИ?
Ответ: Требования, характерные для конкретного вида систем. Так, все объекты КИИ можно подразделить на следующие виды систем:

Пояснение к рисунку: ГИС - государственная информационная система, МИС - муниципальная информационная система, ИСПДн - информационная система персональных данных, ГИСПДн - государственная информационная система персональных данных, МИСПДн - муниципальная система персональных данных.

С практической точки зрения важность правильного определения вида системы позволяет понять, какой перечень мер необходимо применять для обеспечения безопасности объекта КИИ.

В таблице ниже приведен перечень основных нормативно-правовых актов, предусматривающих меры обеспечения безопасности объектов КИИ. Следует отметить, что перечисленные в таблице нормативноправовые акты, касающиеся иных ИС, не являются исчерпывающими - приведены лишь документы, регламентирующие требования к информационным системам, обрабатывающим наиболее распространенные виды тайн: коммерческая, налоговая, банковская. Таким образом, правильное определение типа объекта КИИ позволяет определить набор мер, необходимых для создания системы безопасности.

Пояснение к таблице:

1. НК РФ - Налоговый кодекс Российской Федерации.

2. 98-ФЗ - Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».

3. 149-ФЗ - Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

4. 152-ФЗ - Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

5. 395-1 - Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности».

6. 1119 - Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

7. 351 - Указ Президента Российской Федерации от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационнотелекоммуникационных сетей международного информационного обмена».

8. 17 - Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

9. 21 - Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

10. 31 - Приказ ФСТЭК России от 14.03.2014 № 31 (ред. от 09.08.2018) «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» и (или) Приказ ФСТЭК России от 28.02.2017 № 31 «Об утверждении Требований к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых организациями оборонно-промышленного комплекса».

11. 235 - Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры российской федерации и обеспечению их функционирования».

12. 239 - Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ».

13. 378 - Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

14. 382-П - Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Объекты КИИ: Относятся ли бухгалтерские ИС к объектам КИИ?
Ответ: Если бухгалтерские ИС принадлежат государственным органам, государственным учреждениям, российским юридическим лицам и (или) индивидуальным предпринимателям которые функционируют в одной или нескольких из перечисленных в п. 8 ст. 2 187-ФЗ сферах, то они относятся к объектам КИИ. В большинстве случаев такие системы не подлежат категорированию, т.к. не обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ в областях (сферах), установленных пунктом 8 статьи 2 187-ФЗ.
Объекты КИИ: Относятся ли ИС управления персоналом к объектам КИИ?
Ответ: Если ИС управления персоналом принадлежат государственным органам, государственным учреждениям, российским юридическим лицам и (или) индивидуальным предпринимателям которые функционируют в одной или нескольких из перечисленных в п. 8 ст. 2 187-ФЗ сферах, то они относятся к объектам КИИ. В большинстве случаев такие системы не подлежат категорированию, т.к. не обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ в областях (сферах), установленных пунктом 8 статьи 2 187-ФЗ.
Объекты КИИ: Относятся ли системы пожарной сигнализации, пожаротушения, охранной сигнализации или СКУД к объектам КИИ?
Ответ: Если перечисленные системы принадлежат государственным органам, государственным учреждениям, российским юридическим лицам и (или) индивидуальным предпринимателям которые функционируют в одной или нескольких из перечисленных в п. 8 ст. 2 187-ФЗ сферах, то они относятся к объектам КИИ. В большинстве случаев такие системы не подлежат категорированию, т.к. не обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ в областях (сферах), установленных пунктом 8 статьи 2 187-ФЗ.
Объекты КИИ: Являются ли объектами КИИ и подлежат ли категорированию системы обеспечения транспортной безопасности, развернутые в соответствии с 16-ФЗ?
Ответ: Информационные (автоматизированные) системы в области транспортной безопасности, созданные во исполнение ст. 11 Федерального закона от 09.02.2007 № 16-ФЗ «О транспортной безопасности» в большинстве случаев будут являться объектами КИИ, т.к. принадлежат субъектам транспортной инфраструктуры, т.е. организациям (государственным органам), функционирующим в сфере транспорта. В большинстве случаев, указанные информационные (автоматизированные) системы будут обрабатывать информацию, необходимую для обеспечения критических процессов, и (или) осуществлять управление, контроль или мониторинг критических процессов, а следовательно, они подлежат категорированию.
Объекты КИИ: В промышленной компании имеются станки с ЧПУ, будут ли они являться объектами КИИ (АСУ)?

Ответ: В соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" объекты КИИ – это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Автоматизированная система управления, согласно терминологии той же статьи - комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами. Таким образом, станок с ЧПУ, действительно, представляет собой АСУ, и если он принадлежит организации, функционирующей в одной из сфер отнесенных к КИИ, то будет являться объектом КИИ.

Объекты КИИ: Является ли АСУ (и объектом КИИ) гематологический анализатор? Делает анализ крови самостоятельно: оператор дает пробник, прибор отдает результат в РИАМС. С компьютера не управляется.

Ответ: Гематологический анализатор представляет собой прибор (комплекс оборудования), предназначенный для проведения количественных исследований клеток крови в клинико-диагностических лабораториях. Иными словами, это комплекс программных и программно-аппаратных средств, предназначенный для управления и контроля за технологическим оборудованием и технологическими процессами по исследованию клеток крови, т.е. автоматизированная система управления (АСУ).

Инциденты: Что должен сделать субъект КИИ при возникновении компьютерного инцидента?
В соответствии с ч. 2 ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», в случае возникновения компьютерного инцидента, субъект КИИ обязан:

1) незамедлительно информировать о компьютерных инцидентах ФСБ России, а также Центральный банк Российской Федерации (в случае, если субъект КИИ осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в установленном Приказом ФСБ России от 19 июня 2019 г. № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации».

2) оказывать содействие должностным лицам ФСБ России, в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

Инциденты: В чем разница между компьютерным инцидентом и компьютерной атакой?
Определения «компьютерная атака» и «компьютерный инцидент» содержатся в статье 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»:

«компьютерная атака» - целенаправленное воздействие программных и (или) программноаппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации.

«Компьютерный инцидент» - факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Таким образом, «компьютерный инцидент» - это более широкое понятие, связанное с нарушением нормального функционирования объекта КИИ, в том числе в результате компьютерной атаки.

Инциденты: Обязательно ли разрабатывать план реагирования на компьютерные инциденты и согласовывать его с ФСБ России?

Ответ: Субъекты КИИ, владельцы значимых объектов КИИ, обязаны в срок не позднее 90 календарных дней с момента включения данного объекта в реестр значимых объектов КИИ Российской Федерации, разработать План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (п. 6 Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСБ России от 19 июня 2019 г. № 282, далее по тексту – Порядок).

Если в план включаются условия по привлечению к реагированию на инцидент должностных лиц ФСБ России, то сам план и изменения в него необходимо будет согласовывать с ФСБ России (п. 7 и 8 Порядка). Необходимость включения, нормативно не определена. По мнению автора, на практике необходимость включения будет определяться для каждого конкретного объекта КИИ совместно субъектом КИИ и должностными лицами ФСБ России.

При этом, следует отметить, что субъекты КИИ, функционирующие в банковской сфере и в иных сферах финансовых рынков, должны включать в план условия привлечения подразделений и должностных лиц Банка России к проведению мероприятий по реагированию на компьютерные инциденты.

Инциденты: Является ли компьютерным инцидентом ряд многократных неудачных попыток ввода пароля, приведшие к блокированию учетной записи пользователя в информационной система (автоматизированной системе управления) субъекта КИИ?

Ответ: Да. Является. 

В соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» компьютерный инцидент - факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

В данном случае, многократные попытки ввода пароля являются причиной нарушения функционирования объекта КИИ, а следовательно, являются инцидентом.

СБ ЗОКИИ: Каковы требования к итоговому пакету документации по СБ ЗОКИИ?
Ответ: В соответствии с п. 8 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утв. Приказом ФСТЭК России от 25.12.2017 № 239) результаты реализации мероприятий, проводимых для обеспечения безопасности значимого объекта КИИ на стадиях (этапах) его жизненного цикла, подлежат документированию. Состав и формы документов определяются субъектом КИИ.
СБ ЗОКИИ: Допустимо ли меры из Приказа ФСТЭК №239 реализовывать общим мероприятием для нескольких объектов КИИ сразу или нужно их реализовывать для каждого объекта отдельно?
Ответ: В соответствии с п. 6 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239) безопасность ЗОКИИ обеспечивается в рамках функционирования системы безопасности ЗОКИИ.Система безопасности ЗОКИИ представляет собой совокупность правовых, организационных, технических и иных мер, направленных на обеспечение информационной безопасности (защиты информации) субъектов КИИ (п. 2 Требований к созданию систем безопасности значимых объектов КИИ Российской Федерации и обеспечению их функционирования, утв. приказом ФСТЭК России от 21 декабря 2017 г. № 235). Состав организационных и технических мер, которые необходимо реализовать субъекту КИИ в рамках создания и функционирования системы безопасности ЗОКИИ утвержден приказом ФСТЭК России от 25 декабря 2017 г. № 239.

В соответствии с п. 3 Требований к созданию систем безопасности значимых объектов КИИ Российской Федерации и обеспечению их функционирования, утв. приказом ФСТЭК России от 21 декабря 2017 г. № 235 системы безопасности создаются в отношении всех ЗОКИИ субъектов КИИ.

По решению субъекта КИИ для одного или группы ЗОКИИ могут создаваться отдельные системы безопасности.

Таким образом, субъект КИИ вправе решать будет ли он создавать отдельные системы обеспечения безопасности для каждого ЗОКИИ в рамках создания которых реализовывать организационные и технические меры, предусмотренные приказом ФСТЭК России от 25 декабря 2017 г. № 239, либо создавать такие системы для группы (нескольких) ЗОКИИ.

СБ ЗОКИИ: Подскажите рекомендованный порядок создания СБ ЗОКИИ?
Ответ: рекомендованный порядок создания СБ ЗОКИИ представлен на рисунке:

СБ ЗОКИИ: Какое решение позволяет получать инвентаризационную информацию, события ИБ и сведения об уязвимостях, проводить оценку защищенности с АСУ ТП являющихся ЗО КИИ?
Ответ: для этого может быть использовано решение DATAPK
СБ ЗОКИИ: Какое решение позволяет автоматизировать процессы управления безопасностью ЗОКИИ?
Ответ: для этого может быть использовано решение ePlat4m, которое позволяет автоматизировать процессы оценки соответствия, категорирования, управления инцидентами, управления документацией, анализа угроз и информирование персонала.
СБ ЗОКИИ: Нужно ли проводить аудит безопасности ЗО КИИ?
Ответ: Согласно п. 35 и п. 36 «Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» (утв. приказом ФСТЭК России от 21 декабря 2017 г. № 235) в рамках контроля состояния безопасности значимых объектов КИИ должен осуществляться внутренний контроль организации работ по обеспечению их безопасности, и эффективности принимаемых организационных и технических мер.

В ходе проведения контроля проверяется выполнение требований нормативных правовых актов в области обеспечения безопасности КИИ, а также организационно-распорядительных документов по безопасности «значимых» объектов КИИ, иными словами проводится т.н. «Комплаенс аудит».

Для оценки эффективности принятых организационных и технических мер по обеспечению безопасности значимых объектов КИИ могут применяться средства контроля (анализа) защищенности – это т.н. «Инструментальный аудит» (анализ защищенности).

Контроль проводится ежегодно комиссией, назначаемой субъектом КИИ. В случае проведения по решению руководителя субъекта КИИ внешней оценки (внешнего аудита) состояния безопасности значимых объектов КИИ внутренний контроль может не проводиться.

Замечания, выявленные по результатам внутреннего контроля или внешней оценки (внешнего аудита), подлежат устранению в порядке и сроки, установленные руководителем субъекта КИИ (уполномоченным лицом).

Таким образом, законодательно предусмотрена обязательность проведения аудита ИБ значимых объектов КИИ в форме внутреннего аудита, проводимого силами работников субъекта КИИ, либо внешнего аудита проводимого специализированной организацией.

СБ ЗОКИИ: Каков порядок действий при модернизации ЗОКИИ, для которого уже была создана СБ ЗОКИИ?
Ответ: Порядок действий в случае модернизации ЗОКИИ определяются разделом 2 (п. 7 – 9) Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации (утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239). Опираясь на указанные требования можно предложить следующую пошаговую последовательность действий при модернизации ЗОКИИ:

Шаг 1. Установление требований к обеспечению безопасности значимого объекта:

• Проведение аудита на соответствие требований, выявление несоответствий и формирование рекомендаций по обеспечению безопасности с учетом планируемых изменений.

• Проведение анализа влияния планируемых изменений на категорию значимости объекта КИИ, в соответствии с пунктом 2 части 12 статьи 7 Федерального закона № 187-ФЗ. К таким изменениям могут относиться любые изменения, оказывающие влияние на масштаб возможных последствий по показателям критериев значимости объектов КИИ, приведенных в Перечне показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. №127, в случае возникновения компьютерных инцидентов на значимом объекте КИИ.

• Фиксация выводов по проведенным работам в отчетном документе.

Шаг 2. Разработка организационных и технических мер по обеспечению безопасности значимого объекта:

• проведение анализа угроз безопасности информации и актуализация моделей угроз и нарушителей;

• проектирование модернизированной подсистемы безопасности ЗОКИИ;

• разработка рабочей (эксплуатационной) документации на ЗОКИИ (в части обеспечения его безопасности).

Шаг 3. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие.

• установка и настройка средств защиты информации, настройка программных и программно-аппаратных средств;

• разработка организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности ЗОКИИ;

• внедрение организационных мер по обеспечению безопасности ЗОКИИ;

• предварительные испытания ЗОКИИ и его подсистемы безопасности;

• опытную эксплуатацию ЗОКИИ и его подсистемы безопасности;

• анализ уязвимостей ЗОКИИ и принятие мер по их устранению;

• приемочные испытания ЗОКИИ и его подсистемы безопасности.

СБ ЗОКИИ: Имеется импортное оборудование, отнесенное к ЗОКИИ. К данному оборудованию подключаются для диагностических мероприятий представители разработчика. Как легитимно продолжать давать доступ иностранным разработчикам к данному объекту?

Ответ: В соответствии с п. 31 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утв. Приказом ФСТЭК России от 25 декабря 2017 г. № 239) в значимом объекте КИИ не допускается наличие удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе средствам зашиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры;”

Если не допускается удаленный доступ напрямую, необходимо организовать удаленный доступ через промежуточную точку доступа, в которой организационными и техническими мерами будут контролироваться действия иностранных разработчиков. Например, терминальный сервер с записью действий привилегированны пользователей, т.е. пользователей, имеющих возможность устанавливать обновления или управлять оборудованием.

СБ ЗОКИИ: Могут ли использоваться Windows 7 и Windows Server 2008 в составе значимых объектов КИИ после окончания поддержки от Microsoft? Можно ли самостоятельно оказывать техническую поддержку данного ПО?

Ответ: в соответствии с п. 31 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации (утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239 применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой. Запрета на осуществление технической поддержки собственными силами субъекта КИИ на текущий момент нет.


СБ ЗОКИИ: Можно ли при моделировании угроз АСУ ТП опираться на MITRE ATT&CK for ICS?

Ответ: В соответствии с п. 11.1 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239) в качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России, а также источники, содержащие иные сведения об уязвимостях и угрозах безопасности информации. Таким образом, MITRE ATT&CK for ICS можно использовать в качестве дополнительного источника при моделировании угроз АСУТП и других видов объектов КИИ.

Категорирование: Что такое категорирование объектов КИИ?
Ответ: В соответствии с ч. 1 ст. 7 187-ФЗ категорирование объекта КИИ представляет собой установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.

Порядок категорирования в соответствии с Постановлением Правительства от 08.02.2018 №127 (далее – ПП №127) выглядит следующим образом:

1. Создать комиссию по категорированию.

2. Определить процессы в рамках видов деятельности субъекта КИИ.

3. Выявить процессы, нарушение или прекращение которых может привести к негативным последствиям – критические процессы (в соответствии с показателями, установленными ПП №127).

4. Определить объекты (ИС / ИТКС / АСУ), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.

5. В случае наличия таких объектов, следует сформировать перечень объектов КИИ, подлежащих категорированию и отправить перечень во ФСТЭК России. В случае отсутствия объектов КИИ на этом этапе работа комиссии заканчивается.

6. Провести категорирование выявленных объектов КИИ: оценить в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ (показатели установлены ПП №127) и присвоить каждому из объектов КИИ соответствующую категорию значимости или принять решение об отсутствии необходимости присвоения категории. Решение комиссии оформляется соответствующим актом (актами) категорирования.

7. Оформить и направить сведения о результатах категорирования во ФСТЭК России по форме утвержденной Приказом ФСТЭК России от 22.12.2017 №236.

Категорирование: Сколько категорий значимости установлено?
Ответ: В практической деятельности получила распространение точка зрения о том, что категорий значимости четыре (0,1,2,3). Эта точка зрения ошибочна. Частью 3 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливается три категории значимости объектов критической информационной инфраструктуры - первая, вторая и третья.

Субъекты КИИ присваивают одну из категорий значимости объектам КИИ. Если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий. Иными словами, можно говорить о том, что существует два вида объектов КИИ: «значимые» и «не значимые», а значимые объекты КИИ имеют три категории.

Категорирование: Как правильно организовать категорирование в случае наличия филиалов — достаточно одной комиссии или же нужно создавать несколько?
Ответ: Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 дополнило Правила категорирования пунктом 11.2. следующего содержания: «По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии для категорирования объектов критической информационной инфраструктуры в этих филиалах, представительствах. В этом случае комиссия субъекта критической информационной инфраструктуры координирует и контролирует деятельность комиссий по категорированию».

На практике, ранее существовавшая проблема с необходимостью создания больших (по количеству участников) комиссий, теперь трансформировалась в проблему управления территориально распределенными комиссиями и их контроля. Во избежание конфликтов между комиссией по категорированию субъекта КИИ и комиссиями по категорированию в филиалах (представительствах), связанных со сферами ответственности, по мнению автора, целесообразно регламентировать функциональные обязанности, полномочия и ответственности в локальном нормативном акте, например, регламенте «по работе постоянно действующей комиссий по категорированию».

Категорирование: Как включить в состав Комиссии по Категорированию юристов, бухгалтеров и рискменеджеров?
Ответ: Постановлением Правительства Российской Федерации «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127», Правила категорирования были дополнены пунктом 11.1. следующего содержания: «По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены иные работники, в том числе работники финансово-экономического подразделения».

Указанное дополнение позволяет включать в комиссии всех имеющихся у субъекта КИИ специалистов, знания и навыки которых необходимы для корректного расчета и оценки показателей критериев значимости. Прежде всего это касается специалистов финансовоэкономического подразделения, необходимых для расчета показателей экономической значимости (раздел 3) и представления их для рассмотрения членами комиссии по категорированию, а также специалистов юридических подразделений для проверки корректности соблюдения процедуры и оформления документов.

Категорирование: Как корректно посчитать показатель 9 из перечня показателей критериев значимости (ущерб бюджетам РФ)?
Ответ:

Шаг 1. Берется Федеральный закон «О федеральном бюджете на 2019 и плановый период 2020 и 2021 годов» там есть прогнозируемый общий объем доходов федерального бюджета за 2019, 2020, 2021 годы - складываем три этих значения и получаем усредненный доход за планируемый трехлетний период.

Шаг 2. Считаем ущерб как сумму недополученных доходов в бюджеты всех уровней (по тем бюджетам, куда субъект платит налоги) в результате компьютерного инцидента.

Шаг 3. Делим сумму ущерба (Шаг 2) на усредненный доход (Шаг 1) и умножаем на 100% - получаем значение показателя критерия значимости по п. 9 ПП 127.

Категорирование: В каком виде нужно направлять результаты категорирования объектов КИИ?
Ответ: В соответствии с п. 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 08.02.2018 № 127) во ФСТЭК России направляются Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее по тексту – Сведения). Форма данных Сведений утверждена Приказом ФСТЭК России от 22.12.2017 № 236.

Порядок направления Сведений следующий:

1. Сведения направляются во ФСТЭК России в бумажном и электронном виде по адресу: 105066, г. Москва, ул. Старая Басманная, д. 17.

2. В бумажном виде Сведения направляются в одном экземпляре.

3. В электронном виде Сведения записываются на носитель (например, диск), который направляется вместе с бумажным экземпляром Сведений.

4. Отправление обязательно сопровождается письмом.

5. Если Сведения о результатах категорирования отнесены в организации к конфиденциальной информации, то гриф проставляется в соответствии с порядком конфиденциального делопроизводства, определенным в организации.

6. Реестр отправления составляется в случае, если организации необходимо подтверждение передачи Сведений во ФСТЭК России (при передаче через окно приема корреспонденции)

7. При отправлении Сведений почтой реестр отправления не составляется.

Категорирование: Нужно ли отправлять во ФСТЭК России акт категорирования?
Ответ: В соответствии с п. 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 08.02.2018 № 127) во ФСТЭК России направляются только Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Акт хранится у субъекта КИИ до вывода из эксплуатации объекта КИИ или до изменения категории значимости (п. 16 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации).
Категорирование: Как часто нужно пересматривать категорию ОКИИ?
Ответ: В соответствии с п. 21 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 08.02.2018 № 127) субъект КИИ не реже чем один раз в пять лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий.
Категорирование: Нужно проводить пересмотр категорий, ранее категорированных ОКИИ, после изменений в постановлении правительства №127 внесенных постановлением правительства №452?
Ответ: В соответствии с п. 21 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 08.02.2018 № 127) субъект КИИ в случае изменения показателей критериев значимости объектов КИИ или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий. Так как Постановлением Правительства РФ от 13 апреля 2019 года № 452 были внесены изменения в показатели критериев значимости объектов КИИ и их значений, исходя из буквального толкования п. 21 Правил категорирования следует, что необходимо провести пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения категорий значимости ранее категорированных объектов КИИ.
Категорирование: Категория значимости может быть изменена в случае изменения значимого объекта (№187-ФЗ, ст.12, п.12,2). О какого рода изменениях идет речь?
Ответ: В соответствии с пунктом 2 части 12 статьи 7 Федерального закона № 187-ФЗ в случае изменения значимого объекта критической информационной инфраструктуры, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости, категория значимости, к которой отнесен указанный объект критической информационной инфраструктуры, может быть изменена.

К таким изменениям могут относиться любые изменения, оказывающие влияние на масштаб возможных последствий по показателям критериев значимости объектов критической информационной инфраструктуры, приведенных в Перечне показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. №127, в случае возникновения компьютерных инцидентов на значимом объекте критической информационной инфраструктуры.

Категорирование: С кем нужно согласовывать Перечень объектов КИИ, подлежащих категорированию?
Ответ: В соответствии с п. 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 08.02.2018 № 127) перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в сфере, в которой функционирует субъект КИИ.

Государственные органы, выполняющие функции по разработке, проведению и реализации государственной политики и (или) нормативно-правовому регулированию:

− Министерство энергетики Российской Федерации – топливно-энергетический комплекс, нефтехимическая промышленность;

− Федеральная служба по экологическому, технологическому и атомному надзору – в области атомной энергии;

− Министерство здравоохранения Российской Федерации – здравоохранение;

− Министерство транспорта Российской Федерации – транспорт;

− Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации – связь;

− Министерство финансов Российской Федерации – банковская сфера и иные сферы финансового рынка;

− Министерство науки и высшего образования Российской Федерации – наука.

− Министерство промышленности и торговли Российской Федерации – оборонная промышленность.

Российские юридические лица, выполняющие функции по разработке, проведению и реализации государственной политики и (или) нормативно-правовому регулированию:

− Государственная корпорация «Росатом» - в области атомной энергии;

− Государственная корпорация по космической деятельности «Роскосмос» - ракетнокосмической промышленности.

Категорирование: Куда направлять Перечень объектов КИИ, подлежащих категорированию?
Ответ: Согласно Информационному сообщению ФСТЭК России от 24 августа 2018 г. № 240/25/3752 «По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» рекомендуется:

1. Направлять в ФСТЭК России утвержденный руководителем субъекта критической информационной инфраструктуры (или уполномоченным лицом) перечень объектов критической информационной инфраструктуры, подлежащих категорированию: 105066, г. Москва, ул. Старая Басманная, д. 17.

2. Прикладывать при направлении в ФСТЭК России электронную копию перечня объектов критической информационной инфраструктуры, подлежащих категорированию, для сокращения срока оценки перечня (формат docx, xlsx).

Категорирование: Как актуализировать Перечень объектов КИИ, подлежащих категорированию, если после его отправки произошли изменения?
Ответ: отправлять во ФСТЭК России новый перечень, в сопроводительном письме указывать наименования исключенных объектов и причины исключения.
Категорирование: В каком виде нужно направлять Перечень объектов КИИ, подлежащих категорированию?
Ответ. Законодательно форма представления перечня объектов КИИ, подлежащих категорированию не утверждена. Информационным сообщением ФСТЭК России от 24 августа 2018 г. № 240/25/3752 «По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» предложена следующая Рекомендованная форма перечня объектов КИИ, подлежащих категорированию:
 

Категорирование: Нужно ли отправлять перечень объектов КИИ во ФСТЭК России, если он пустой?
Ответ: В соответствии с информационным сообщением ФСТЭК России от 24 августа 2018 г. № 240/25/3752 предоставление информации об отсутствии в организации объектов КИИ или о том, что организация не является субъектом КИИ во ФСТЭК России, в соответствии с законодательством о безопасности КИИ Российской Федерации, не требуется. Таким образом, пустой перечень отправлять не нужно.
Категорирование: Нужно ли включать в перечень объекты КИИ, пользователем которых является наша Компания?
Ответ: нет, так как у пользователя может быть законное основание на использование системы, но не на владение. Пункт 8 стати 2 187-ФЗ "…которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления…".
Категорирование: Можно ли поручить какому-либо лицу утверждение документов по категорированию и ОБ КИИ или утверждать такие документы может только руководитель компании?
Ответ: В Правилах категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 08.02.2018 № 127) указано кто должен утверждать акт - руководитель субъекта (п. 16).
Категорирование: Вправе ли уполномоченное руководителем субъекта КИИ лицо утвердить акт по результатам категорирования?
Ответ: В соответствии с п.16 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 08.02.2018 № 127), акт по результатам категорирования подписывается членами комиссии по категорированию и утверждается руководителем субъекта критической информационной инфраструктуры.
Таким образом, уполномоченное руководителем субъекта КИИ лицо не вправе утвердить акт по результатам категорирования. Указанное лицо вправе:

  • входить в состав постоянно действующей комиссии по категорированию (пп. «а», п. 1 Правил категорирования);

  • возглавлять постоянно-действующую комиссию по категорированию (п. 13 Правил категорирования);

  • подписывать акт по результатам категорирования (п. 17 Правил категорирования);

  • подписывать Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (приказ ФСТЭК России от 22 декабря 2017 г. № 236).

Категорирование: Когда делать модель угроз безопасности ОКИИ: до или после категорирования?
Ответ: В рамках категорирования проводится только рассмотрение возможных действий нарушителей и анализ угроз безопасности по отношению к имеющимся у организации объектам КИИ, это следует из буквального толкования пп. «г» п. 14 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127). Данный анализ может проводиться как на основании уже имеющихся для данных объектов моделей угроз и нарушителей, например, подготовленных ранее в рамках мероприятий по обеспечения безопасности персональных данных или автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, так и на основании описания возможных действий нарушителей и угроз безопасности объектам информатизации организации, содержащегося, например в Политике информационной безопасности организации.
Разработка же моделей угроз и нарушителей необходима перед проектированием системы обеспечения безопасности объектов, имеющих категорию значимости.
Категорирование: Как повлияет ФЗ от 02.08.2019 N 264-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе» и Федеральный закон «О Центральном банке Российской Федерации (Банке России)» на категорирование объектов?

Ответ: Никак не повлияет.

Федеральный закон от 2 августа 2019 г. № 264-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе» и Федеральный закон «О Центральном банке Российской Федерации (Банке России)» дополнил статью 9.1 Федерального закона «О платежной системе» нормой следующего содержания: «Информационные системы операторов по переводу денежных средств, с использованием которых осуществляется прием электронных средств платежа и обмен информацией с иностранными поставщиками платежных услуг, информационные системы операторов услуг информационного обмена, с использованием которых осуществляется взаимодействие с иностранными поставщиками платежных услуг, должны соответствовать требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Согласно данной норме, все информационные системы, задействованные в процессе обмена информацией с иностранными поставщиками платежных услуг, должны соответствовать требованиям по обеспечению безопасности значимых объектов КИИ, независимо от того, прошли они процедуру категорирования или нет, и независимо от того, принадлежат они субъектам КИИ или нет. Требования по обеспечению безопасности значимых объектов КИИ утверждены приказом ФСТЭК России от 25 декабря 2017 г. № 239. В соответствии с п. 6 приказа ФСТЭК № 239 безопасность значимых объектов обеспечивается субъектами КИИ в рамках функционирования систем безопасности значимых объектов, создаваемых субъектами КИИ. Создание и функционирование систем безопасности значимых объектов КИИ определяется приказом ФСТЭК России от 21 декабря 2017 г. № 235.

Таким образом, данная норма возлагает на операторов по переводу денежных средств (операторов услуг информационного обмена), независимо от их принадлежности к субъектам КИИ, обязанности по обеспечению безопасности информационных систем задействованных в процессе обмена информацией с иностранными поставщиками платежных услуг по требованиям предъявляемым к значимым объектам КИИ.
Категорирование: На ТЭЦ имеется несколько котлов, управляемых независимыми АСУТП. Можно ли принимать во внимание тот факт, что при выходе из строя одного котла, нагрузка распределится между остальными и прекращениния теплоснабжения не произойдет?

Ответ: В соответствии с п. 14.1 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127) при анализе угроз и возможных действий нарушителей должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты КИИ, результатом которых являются прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба. Таким образом, в обязательном порядке должен быть рассмотрен сценарий, когда перераспределение нагрузки не произошло или невозможно.

Сроки и формы: Какие сроки установлены на подготовку перечня объектов КИИ?
Ответ: Постановлением Правительства Российской Федерации от 13 апреля 2019 г. № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» на субъектов КИИ, государственных органов и государственных учреждений, возложена обязанность утвердить перечень объектов КИИ, подлежащих категорированию до 1 сентября 2019 года.

Относительно субъектов КИИ – российских юридических лиц и (или) индивидуальных предпринимателей срок утверждения перечня объектов КИИ, подлежащих категорированию (до 1 сентября 2020 года) носит рекомендательный характер.

Сроки и формы: Какие сроки установлены на категорирование объектов КИИ?
Ответ: В соответствии с п. 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 08.02.2018 № 127) максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения дополнений, изменений).
Сроки и формы: Какие адреса указывать в части 1 формы сведений о результатах категорирования, если объект размещен в зданиях, не имеющих адреса?
Ответ: можно указать кадастровый номер участка либо указать географические координаты.
Сроки и формы: Нужно ли в части 3 формы сведений о результатах категорирования (сведения о взаимодействии с сетями электросвязи), указывать собственные / корпоративные сети передачи данных субъекта КИИ?
Ответ: нет, если у субъекта КИИ нет лицензии оператора связи. Да, в ином случае.
Сроки и формы: Нужно ли в части 5 формы сведений о результатах категорирования указывать активное сетевое оборудование?
Ответ: активное сетевое оборудование необходимо указывать при его наличии в составе объекта КИИ, т.к. оно относится к программным и программно-аппаратным средствам.
Сроки и формы: Какие угрозы нужно указывать в части 6 формы сведений о результатах категорирования? Нужно ли рассматривать все угрозы из БДУ ФСТЭК России?
Ответ: В части 6 формы сведений о результатах категорирования указываются актуальные угрозы безопасности информации согласно БДУ ФСТЭК России.
Сроки и формы: Какие меры нужно описывать в части 9 формы сведений о результатах категорирования? Нужно ли что-то писать в части 9, если объект не значимый?
Ответ: В соответствии с подпунктом «и» пункта 17 Правил в составе сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий приводятся организационные и технические меры, применяемые для обеспечения безопасности объекта КИИ, либо информация об отсутствии необходимости применения указанных мер.

Учитывая изложенное, вне зависимости от того, присвоена ли объекту КИИ категория значимости, в пункте 9.1 сведений о результатах присвоения ему одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий в соответствии с Формой направления сведений о результатах присвоения объекту КИИ Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденной приказом ФСТЭК России от 22 декабря 2017 г. № 236, указываются организационные меры (установление контролируемой зоны, контроль физического доступа к объекту, разработка документов (регламентов, инструкций, руководств) по обеспечению безопасности объекта), а в пункте 9.2 – технические меры по идентификации и аутентификации, управлению доступом, ограничению программной среды, антивирусной защите и иные в соответствии с Требованиями по обеспечению безопасности значимых объектов КИИ Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. № 239.

Сроки и формы: Установлена ли форма акта категорирования?
Ответ: установленной формы акта категорирования нет. При этом, п. 16 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 08.02.2018 № 127) устанавливает, что акт должен содержать сведения об объекте КИИ, сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
Сроки и формы: Нужно ли в части 5 формы сведений о результатах категорирования указывать активное сетевое оборудование?
Ответ: активное сетевое оборудование необходимо указывать при его наличии в составе объекта КИИ, т.к. оно относится к программно-аппаратным средствам.
Контакты: Куда и кому направлять во ФСТЭК Перечень объектов КИИ, подлежащих категорированию?
Ответ: ФСТЭК России, 105066, г. Москва, ул. Старая Басманная, д. 17
Контакты: Куда и кому направлять во ФСТЭК результаты категорирования?
Ответ: ФСТЭК России, 105066, г. Москва, ул. Старая Басманная, д. 17
Контакты: Кому во ФСТЭК можно задать вопрос?
Ответ: во ФСТЭК России есть горячая линия по вопросам организации обеспечения безопасности объектов КИИ (тел. 8 (499) 246-11-89).
Контакты: Как узнать статус отправленных во ФСТЭК России документов по категорированию объектов КИИ?

Ответ: Вопросы рассмотрения вошедших в ФСТЭК России документов по обеспечению безопасности объектов КИИ 8 (495) 605-33-84

Ответственность: За что можно понести уголовную ответственность по статье 274.1 Уголовного кодекса РФ?
Ответ: Статья 274.1 УК РФ предусматривает пять составов преступления:
Часть Содержание правовой нормы За что можно понести уголовную ответственность Особенности Ответственность
1 Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации Создание, Использование, Распространение компьютерных программ или иной информации могущих оказать негативное воздействие на критическую информационную инфраструктуру Состав формальный: достаточно лишь выполнения указанных действий, наличие вреда не обязательно. Возможно прекращение уголовного преследования по данному составу лица, впервые совершившего уголовное преступление, если после совершения оно добровольно явилось с повинной, способствовало раскрытию преступления, возместило причиненный ущерб или вред (при наличии). Например, Решение Петропавловсккамчатского городского суда Камчатского края по делу № 1-345/2019. - принудительные работы на срок до 5 лет с ограничением свободы на срок до 2 лет или без такового;
− лишение свободы на срок от 2 до 5 лет со штрафом в размере от 500 000 до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.
2 Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации Доступ к информации содержащейся в критической информационной инфраструктуре с нарушением установленных правил, результатом которого явилось причинение вреда. Материальный состав: должен быть факт наличия вреда. Подобным фактом может быть: 
− нарушение работоспособности; 
− хищение финансовых средств; 
− уничтожение информации и т.п.
− принудительные работы на срок до 5 лет со штрафом в размере от 500 000 до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 3 лет и с ограничением свободы на срок до 2 лет или без такового; − лишение свободы на срок от 2 до 6 лет со штрафом в размере от 500 000 до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.
3 Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационнотелекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационнотелекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации Нарушение правил доступа к информации в критической информационной инфраструктуре, либо правил эксплуатации средств обработки информации в критической информационной инфраструктуре, повлекшее причинение вреда. Состав нацелен прежде всего на работников субъектов КИИ или лиц, имеющих легальный доступ к информации, обрабатываемой объектами КИИ. Состав материальный: должен быть факт наличия вреда. Подобным фактом может быть: − нарушение работоспособности; − хищение финансовых средств; уничтожение информации и т.п. − принудительные работы на срок до 5 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового; 
− лишение свободы на срок до 6 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
4 Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения квалифицированный состав – группа лиц по предварительному сговору (например, хакерская группировка) или лицо с использованием служебного положения (например, администратор системы) лишение свободы на срок от 3 до 8 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового
5 Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия деяние повлекло тяжкие последствия тяжкие последствия – оценочный показатель. Возможные варианты: 
− причинение тяжкого вреда здоровью; 
− причинение смерти человека; − существенное ухудшение качества окружающей среды или состояния ее объектов, устранение которого требует длительного времени и больших финансовых и материальных затрат; 
− уничтожение отдельных объектов; 
− деградация земель и иные негативные изменения окружающей среды, препятствующие ее сохранению и правомерному использованию; 
− крупные аварии; 
− длительная остановка транспорта или производственного процесса; 
− нарушение деятельности организации; 
− причинение значительного материального ущерба
лишение свободы на срок от 5 до 10 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.
ГосСОПКА: Какие методические документы выпустила ФСБ?
Ответ: ФСБ выпустила следующие документы:

− Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы Российской Федерации*;

− Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации*;

− Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак;

− Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации*;

− Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации*;

− Регламент взаимодействия подразделений Федеральной службы безопасности Российской Федерации и организации при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак.

* – документы ограниченного доступа.

ГосСОПКА: Какие лицензии нужны центру ГосСОПКА?
Ответ: для собственных нужд (только в рамках своего юридического лица) – лицензия ФСБ на работу с гостайной, если нужен доступ к методическим документам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак.

В рамках работы в холдинговых структурах или для предоставления коммерческих услуг:

− лицензия ФСТЭК на мониторинг ИБ;

− лицензия ФСБ (или на шифрование, или на разработку средств защиты для гостайны);

− лицензия ФСБ на работу с гостайной – если нужен доступ к методическим документам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак.

ГосСОПКА: Какие лицензии нужны для подключения к ГосСОПКА?
Ответ: для подключения к ГосСОПКА лицензии не требуются. Подключение к ГосСОПКА осуществляется в рамках исполнения обязанностей, возложенных на субъект КИИ ст. 9 187-ФЗ, либо в рамках соглашения по взаимодействию между ФСБ России и корпоративным (ведомственным) центром ГосСОПКА.
ГосСОПКА: Как получить методические документы ФСБ?
Ответ: необходимо направить письменный запрос на имя Директора НКЦКИ по адресу: 107031, г. Москва, ул. Большая Лубянка, д. 1/3.

В запросе необходимо указать:

− цель получения документов;

− сведения о наличии лицензий ФСБ;

− предполагаемую зону ответственности.

ГосСОПКА: Нужно ли субъекту КИИ подключаться к ГосСОПКА?
Ответ: в явном виде в НПА не указана необходимость подключения к ГосСОПКА, однако обнаруживать и предотвращать компьютерные атаки, а также хранить, накапливать, защищать информацию об инцидентах и направлять ее в НКЦКИ целесообразнее с использованием технических средств.
ГосСОПКА: Нужно ли субъекту КИИ создавать свой центр ГосСОПКА?
Ответ: нет, такая необходимость законодательно не определена.
ГосСОПКА: Каким способом могут субъекты КИИ передавать информацию об инцидентах в НКЦКИ?
Ответ: приказом ФСБ от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…» установлено, что информирование осуществляется путем направления информации в НКЦКИ в соответствии с определенными НКЦКИ форматами с использованием технической инфраструктуры НКЦКИ.

Однако на данный момент эта процедура не описана в каких-либо документах, поэтому информацию можно передавать по сценарию, когда подключение к технической инфраструктуре НКЦКИ отсутствует. В таком случае информация передается посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера), указанные на сайте НКЦКИ http://cert.gov.ru:

− телефон – +7 (916) 901-07-42

− почта – gov-cert@gov-cert.ru

ГосСОПКА: Банки должны передавать информацию об инцидентах напрямую в НКЦКИ или через ФинЦЕРТ?
Ответ: согласно приказу ФСБ от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…», информация о компьютерном инциденте также направляется в Банк России с использованием технической инфраструктуры Банка России.
ГосСОПКА: В какой срок нужно сообщить об инциденте в НКЦКИ?
Ответ: согласно приказу ФСБ от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…», для значимых объектов КИИ срок составляет 3 часа с момента обнаружения инцидента, для иных объектов КИИ – 24 часа с момента обнаружения инцидента (аналогичные сроки и для информирования Банка России).
Персонал: Какие учебные курсы необходимо проходить ответственному за безопасность ЗО КИИ?
Приказом ФСТЭК России от 27 марта 2019 г. № 64 (о внесении изменений в Приказ ФСТЭК России от 21 декабря 2017 №235) введены следующие требования к квалификации и стажу работы для сотрудников структурного подразделения по обеспечению безопасности субъекта КИИ: 
• наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению «Информационная безопасность» (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет; 
• наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов); 
• прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению «Информационная безопасность».
Персонал: Имеется ли возможность (нет ли юридического запрета) удаленного обучения специалистов ответственных за безопасность значимых объектов КИИ?

Ответ: В соответствии с изменениями внесенными в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235 приказом ФСТЭК России от 27 марта 2019 г. № 64 для работников структурного подразделения по безопасности (специалистов по безопасности) установлены следующие требования:

  • наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;

  • наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению "Информационная безопасность" (со сроком обучения не менее 72 часов);

  • прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению "Информационная безопасность".

Требования о том, что часы обучения должны быть аудиторными (как, например в Положении о лицензировании деятельности по технической защите конфиденциальной информации (утв. постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79) не установлено, а, следовательно, прохождение удаленного обучения возможно.

Документация: Какой должен быть состав ОРД на ЗО КИИ?
Ответ: как таковой состав организационно-распорядительных документов (ОРД),регламентирующих меры по обеспечению безопасности ЗОКИИ ни где не утвержден. При подготовке комплекта ОРД следует руководствоваться Составом мер по обеспечению безопасности для значимого объекта соответствующей категории значимости (утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239), т.н. «нулевыми мерами». С учетом изложенного рекомендуемый состав ОРД можно представить следующим образом:

• Регламент идентификации и аутентификации.

• Регламент управления доступом.

• Регламент управления конфигурацией информационной (автоматизированной) системы, управления обновлениями программного обеспечения и ограничением программной среды.

• Регламент защиты машинных носителей информации.

• Регламент мониторинга и аудита информационной безопасности.

• Регламент антивирусной защиты.

• Регламент по организации обнаружения и предотвращения компьютерных атак.

• Регламент по обеспечению целостности и доступности информации.

• Регламент защиты технических средств и систем, информационной (автоматизированной) системы и ее компонентов.

• Регламент реагирования на компьютерные инциденты.

• Регламент по планированию мероприятий по обеспечению безопасности. Приложение. Годовой план мероприятий по обеспечению безопасности значимых объектов КИИ.

• Регламент по организации действий в нештатных ситуациях. Приложение. План (планы) действий в случае нештатных ситуации.

• Регламент информирования и обучения персонала. Приложение. Годовой план обучения и повышения осведомленности работников по вопросам информационной безопасности объектов КИИ.

Проверки: Выполнение требований каких документов проверяет ФСТЭК России в рамках государственного контроля (надзора) в области обеспечения безопасности ЗОКИИ?

Ответ: Перечень нормативных правовых актов или их отдельных частей, оценка соблюдения которых является предметом государственного контроля (надзора) в области обеспечения безопасности ЗОКИИ утвержден приказом ФСТЭК России от 16 июля 2019 г. № 135.

Прежде всего проверяются требования, утвержденные приказами ФСТЭК России от 21 декабря № 235 и 25 декабря № 239.

Помимо них, проверяются части 1, 2, 4, 5, 9, 12 статьи 7, статья 9, статья 10 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры» и порядок соблюдения процедуры категорирования (Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127).