Ответ: меры по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) установлены в Требованиях по обеспечению безопасности значимых объектов КИИ, утвержденных, приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ). В соответствии с пунктом 23 Требований к СБ проводится определение базового набора мер по обеспечению безопасности значимого объекта КИИ и его адаптация с учетом угроз безопасности информации, применяемых информационных технологий и особенностей функционирования значимого объекта КИИ. При этом из базового набора исключаются меры, связанные с информационными технологиями, не используемыми в значимом объекте КИИ, или несвойственные его характеристикам. При адаптации базового набора мер для всех угроз, включенных в модель угроз, сопоставляются меры, обеспечивающие блокирование угроз безопасности или снижающие возможность их реализации, исходя из условий функционирования значимого объекта КИИ.

При этом, в случае невозможности реализации отдельных мер, должны быть разработаны и внедрены компенсирующие меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта КИИ.

В случае невозможности применения наложенных средств защиты информации, в качестве компенсирующих мер могут быть рассмотрены организационные и режимные меры по обеспечению промышленной, функциональной и физической безопасности значимого объекта КИИ, поддерживающие необходимый уровень его защищенности. Применение компенсирующих мер должно быть обосновано в ходе разработки мероприятий по обеспечению безопасности значимого объекта КИИ, а при проведении приемочных испытаниях (аттестации) должна быть оценена достаточность и адекватность компенсирующих мер для блокирования актуальных угроз безопасности информации.

Таким образом, для выполнения Требований к СБ в отношении автоматизированной системы управления котельной, состоящей из программируемых логических контроллеров и автоматизированных рабочих мест, необходимо:

1.                 Определить базовый набор мер по обеспечению значимого объекта КИИ на основе его категории значимости.

2.                 Исключить из базового набора меры, которые не могут быть применены к объекту КИИ в соответствии с его техническими характеристиками.

3.                 Провести моделирование угроз безопасности информации.

4.                 Провести сопоставление угроз безопасности информации и мер, обеспечивающих блокирование данных угроз безопасности.

5.                 Разработать компенсирующие меры, обеспечивающие блокирование угроз безопасности информации или снижающие возможность их реализации, исходя из условий функционирования значимого объекта КИИ.

6.                 Провести приемочные испытания (аттестацию) значимого объекта КИИ и его подсистемы безопасности.

Ответ: да, следует оценивать потенциальный ущерб от компьютерного инцидента с момента его возникновения до закрытия.
Оценка экономических последствий в результате возникновения компьютерного инцидента проводится в рамках оценки показателей критериев экономической значимости объектов критической информационной инфраструктуры (далее – КИИ). Критерии значимости объектов КИИ определены в Перечне показателей критериев значимости объектов КИИ и их значений, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127.
На сайте ФСТЭК России опубликован проект методического документа «Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры Российской Федерации». В соответствии с данным проектом, оценка показателей экономической значимости осуществляется по результатам оценки масштабов возможных экономических последствий в случае возникновения компьютерных инцидентов, при этом должны быть рассмотрены наихудшие сценарии компьютерных атак на объекты КИИ и нанесение максимально возможного экономического ущерба.
Для расчета оценки потенциального ущерба вследствие возникновения компьютерного инцидента необходимо учитывать затраты, которые могут возникнуть у субъекта КИИ при ликвидации последствий инцидента, например:
1. Затраты на оплату сверхурочной работы персонала, которая потребовалась при локализации аварии и компьютерного инцидента и устранения последствий.
2. Затраты на замену и установку технических средств для восстановления функционирования объекта КИИ до штатного режима.
Также необходимо учитывать упущенную выгоду, то есть неполученные доходы, которые были бы получены в обычных условиях за время простоя, вызванного компьютерным инцидентом. Например, в результате простоя систем, участвующих в производстве товаров, произойдет снижение количества производимых товаров, что приведет к снижению объемов продаж и уменьшению выручки организации. А также следует учитывать возможные штрафные санкции, например, невыполнение в срок обязательств перед заказчиками вследствие компьютерного инцидента, что приведет к финансовым потерям организации.

Ответ: требования к сотрудникам, ответственным за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), установлены в Требованиях к созданию систем безопасности значимых объектов КИИ, утвержденных приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ).

Согласно пункту 12 Требований к СОИБ, руководитель структурного подразделения по безопасности значимых объектов КИИ должен иметь высшее профессиональное образование в области информационной безопасности (далее –  ИБ) либо иное высшее образование и прохождение профессиональной переподготовки по направлению «Информационная безопасность», а также иметь опыт работы в сфере ИБ не менее 3 лет.

Сотрудники структурного подразделения по безопасности значимых объектов КИИ должны иметь высшее или среднее профессиональное образование по направлению «Информационная безопасность», либо высшее образование и повышение квалификации по аналогичному направлению. Требования к стажу данных сотрудников не предъявляются.

И руководитель и сотрудники структурного подразделения по безопасности должны проходить повышение квалификации по профильному направлению не реже 1 раза в 3 года.

Выполняемые данными сотрудниками обязанности по обеспечению безопасности значимых объектов КИИ должны быть определены в их должностных регламентах (инструкциях). Также Требования к СОИБ запрещают возложение на данных специалистов функций, не связанных с обеспечением безопасности значимых объектов КИИ или обеспечением ИБ субъекта КИИ в целом. Соответственно, такой специалист может выполнять только трудовые функции, направленные на обеспечение ИБ.

Требования, предъявляемые к образованию специалистов, более подробно описаны в нашем FAQ в вопросе «Персонал: какое образование в области «Информационная безопасность» должны иметь специалисты по безопасности, ответственные за обеспечение безопасности ЗОКИИ?».

Требования к образованию, стажу и должности сотрудников, ответственных за обеспечение безопасности объектов без категории значимости, законодательно не установлены.

Ответ: требования по фиксации сведений о событиях и инцидентах информационной безопасности (далее – ИБ) для значимых объектов критической информационной инфраструктуры (далее – КИИ) установлены в Требованиях по обеспечению безопасности значимых объектов КИИ, утвержденных, приказом ФСТЭК России от 25.12.2017 № 239 и Требованиях к созданию систем безопасности значимых объектов КИИ, утвержденных приказом ФСТЭК России от 21.12.2017 № 235.

В соответствии со статьей 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», субъекты КИИ обязаны незамедлительно информировать ФСБ России о компьютерных инцидентах.Перечень информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА) на информационные ресурсы Российской Федерации, установлен приказом ФСБ России от 24.07.2018 № 367 (далее – Перечень информации, представляемой в ГосСОПКА). Согласно пункту 5 Перечня информации, представляемой в ГосСОПКА, субъект КИИ обязан предоставить информацию о компьютерных инцидентах, связанных с функционированием объектов КИИ, в том числе о составе технических параметров компьютерного инцидента. Данная информация может быть получена из сведений о событиях ИБ. Процесс выявления и анализа компьютерных инцидентов может занимать довольно значительный период времени. Необходимо обеспечить хранение зарегистрированных событий ИБ за данный период.

В случае, если субъект КИИ в рамках установленного ФСБ России порядка осуществляет эксплуатацию средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее – средства ГосСОПКА), в соответствии с Требованиями к средствам ГосСОПКА, утвержденными приказом ФСБ России от 06.05.2019 № 196, для таких средств установлен срок хранения агрегированных событий ИБ не менее шести месяцев для анализа ранее зарегистрированных событий ИБ.

Таким образом, исходя из необходимости анализа ранее зарегистрированных событий ИБ, рекомендуемый срок хранения информации о зарегистрированных событиях ИБ составляет не менее шести месяцев.

Для организаций банковской сферы рекомендуемые сроки хранения информации о событиях ИБ, обнаруженных в рамках банковских платежных технологических процессов, составляют не менее пяти лет, а об иных событиях ИБ – не менее трех лет, в соответствии с пунктом 6.4.8 Рекомендаций в области стандартизации Банка России РС БР ИББС-2.5-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» (приняты и введены в действие распоряжением Банка России от 17 мая 2014 г. № Р-400).

Ответ: для выполнения мероприятий по обеспечению информационной безопасности (далее – ИБ) субъектов критической информационной инфраструктуры (далее – КИИ) по решению субъекта КИИ допустимо привлекать только организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации. Требования Указа Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» распространяются на всех субъектов КИИ.

Для значимых объектов КИИ требования по привлечению организаций, имеющих лицензии на осуществление деятельности по технической защите конфиденциальной информации дополнительно установлены в Требованиях к созданию систем безопасности значимых объектов КИИ, утвержденных приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ) и Требованиях по обеспечению безопасности значимых объектов КИИ, утвержденных, приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ). В соответствии с пунктом 11 Требований к СОИБ и пунктами 20 и 28 Требований к СБ, по решению субъекта КИИ привлекаются организации, имеющие лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации, в зависимости от того, обрабатывается ли субъектом КИИ информация, составляющая государственную тайну.

Ответ на вопрос: «Какие лицензии должны быть у юридического лица, привлекаемого к работам по обеспечению безопасности КИИ?» был дан ранее.

Ответ: в соответствии с пунктом 14 Правил категорирования объектов критической информационной инфраструктуры (далее – КИИ), утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127, комиссия по категорированию в ходе своей работы оценивает необходимость категорирования вновь создаваемых объектов КИИ.

В отношении таких объектов КИИ категория значимости определяется заказчиком или застройщиком (в случае, если создаваемый объект КИИ является компонентом объекта капитального строительства) при формировании требований к объекту КИИ с учетом имеющихся исходных данных о критических процессах субъекта КИИ. Установленная категория значимости может быть уточнена в ходе проектирования создаваемого объекта.

В случае принятия решения о категорировании объекта КИИ, формируется техническое задание на создание объекта КИИ с учетом требований к безопасности объекта КИИ. В течение 10 рабочих дней после утверждения требований к создаваемому объекту КИИ, в ФСТЭК России направляются:

·     сведения об объекте КИИ;

·     сведения о субъекте КИИ;

·     сведения о взаимодействии объекта КИИ и сетей электросвязи;

·     категория значимости, которая присвоена объекту КИИ, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости, содержащие полученные значения по каждому из рассчитываемых показателей критериев значимости с обоснованием этих значений или информация о неприменимости показателей к объекту с соответствующим обоснованием.

В течение 10 рабочих дней после ввода объекта КИИ в эксплуатацию, направленные сведения дополняются:

• сведениями о лице, эксплуатирующем объект КИИ;

• сведениями о программных и программно-аппаратных средствах, используемых на объекте КИИ, в том числе средствах, используемых для обеспечения безопасности объекта КИИ и их сертификатах соответствия требованиям по безопасности информации (при наличии);

• сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта КИИ либо об отсутствии таких угроз;

• возможные последствия в случае возникновения компьютерных инцидентов на объекте КИИ либо сведения об отсутствии таких последствий;

• организационные и технические меры, применяемые для обеспечения безопасности объекта КИИ, либо сведения об отсутствии необходимости применения указанных мер.

К вновь создаваемым объектам КИИ предъявляются требования в зависимости от установленной категории значимости.

Вновь создаваемые объекты КИИ подлежат включению в перечень объектов КИИ, подлежащих категорированию, как в рамках первичного категорирования объектов КИИ, так и в рамках актуализации перечня. При актуализации перечня объектов КИИ рекомендуется включать данные о таком объекте до или в процессе направления итоговых Сведений о результатах категорирования, то есть после ввода объекта КИИ в эксплуатацию для минимизации процедур исправлений и дополнений.

Ответ: был дан на сайте.

Ответ: был дан на сайте.

Ответ: да, необходимо.

В соответствии с положениями методического документа ФСТЭК России от 05.02.2021 «Методика оценки угроз безопасности информации» (далее – Методика), в ходе оценки угроз безопасности информации определяются виды актуальных нарушителей. В пункте 5.1.3 Методики приведен перечень основных видов нарушителей, подлежащих оценке, к которым в том числе относятся специальные службы иностранных государств.

Ответ: требования по безопасной разработке программного обеспечения (далее – ПО) установлены в Требованиях по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), утвержденных приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ). В соответствии с пунктом 29.3 Требований к СБ данные требования относятся ко всему прикладному ПО, которое обеспечивает выполнение функций значимого объекта КИИ в соответствии с его назначением. В том числе таким ПО являются SCADA-системы.

Ответ: нет.

ООО «УЦСБ» оказывает услуги в сфере защиты информации, в том числе услуги по обеспечению безопасности критической информационной инфраструктуры, а также консалтинговые услуги по вопросам информационной безопасности. Компания имеет лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Ответ: да, следует.

В соответствии со статьей 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», категорирование осуществляется субъектом критической информационной инфраструктуры (далее – КИИ) – лицом, которому на законных основаниях принадлежит, объект КИИ. Сведения о результатах категорирования объектов КИИ направляются в ФСТЭК России по форме, утвержденной приказом ФСТЭК России от 22.12.2017 № 236 (далее – Сведения). В соответствии с разделом 4 Сведений предусмотрено указание сведений о лице, эксплуатирующем объект КИИ. Таким образом, субъект КИИ включает в перечень объектов КИИ все системы, владельцем которых он является в независимости от того, кто осуществляет эксплуатацию системы. В рамках предоставления в ФСТЭК России Сведений субъект КИИ указывает сведения обо всех организациях, эксплуатирующих системы, которые на законных основаниях принадлежит субъекту КИИ.

Стоит отметить, что ответственность за соблюдение требований по обеспечению безопасности объекта КИИ возложена на субъекта КИИ – то есть на владельца объектов КИИ. В случае эксплуатации объекта КИИ сторонней организацией, в ходе построения подсистемы безопасности объекта КИИ разрабатываются правовые меры обеспечения информационной безопасности в рамках договорных отношений между субъектом КИИ и эксплуатирующей организацией.

Ответ: да, такие ситуации возможны, в зависимости от того, какие процессы автоматизирует объект критической информационной инфраструктуры (далее – КИИ).

В соответствии с пунктом 5 Правил категорирования объектов КИИ, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Правила категорирования), необходимо определить управленческие, технологические, производственные, финансово-экономические и иные процессы в рамках осуществления видов деятельности субъекта КИИ. Из данных процессов требуется выявить критические процессы, нарушение или прекращение которых может привести к негативным последствиям. Включению в Перечень объектов КИИ подлежат те объекты, которые обрабатывают информацию, необходимую для обеспечения критических процессов или осуществляют управление, контроль или мониторинг критических процессов.

Также при разработке перечня объектов КИИ следует учитывать отраслевые перечни типовых объектов КИИ, в которые включены практически все системы, имеющиеся у субъекта КИИ. Согласно пункту 10 Правил категорирования, отраслевые перечни типовых объектов КИИ необходимо рассматривать как исходные данные в рамках общей процедуры категорирования. Рекомендуется провести анализ перечня типовых объектов КИИ с целью выявления объектов КИИ, в отношении которых процедура категорирования не проводилась. Необходимо рассмотреть возможные негативные последствия в отношении данных систем, в том числе их влияние на другие системы, и при необходимости провести их категорирование.

Ответ: сроки проведения работ по категорированию объектов критической информационной инфраструктуры (далее – КИИ) установлены в статье 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ) и Правилах категорирования объектов КИИ, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Правила категорирования).

При этом в рамках 187-ФЗ отсутствует пояснение, какие дни следует рассматривать при предоставлении информации: календарные или рабочие. В соответствии с Правилами категорирования сроки приведены в рабочих днях. Таким образом, при проведении работ по категорированию объектов КИИ следует рассматривать рабочие дни.

Ответ: в случае выявления нарушений порядка категорирования объектов критической информационной инфраструктуры (далее – КИИ), неправильного присвоения категорий значимости объектам КИИ или предоставления субъектом КИИ неполных или недостоверных сведений, ФСТЭК России направляет в адрес субъекта КИИ письмо с замечаниями к предоставленным сведениям о результатах категорирования объектов КИИ. В соответствии с частью 9 статьи 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» субъект КИИ в десятидневный срок с момента получения письма направляет скорректированные сведения о результатах категорирования в адрес ФСТЭК России. Рекомендуется также направить ответное письмо с описанием, какие замечания устранены и каким образом. В случае несогласия с замечаниями необходимо направить в адрес ФСТЭК России аргументированный ответ, в котором обосновать свою позицию.

Также возможно получение от ФСТЭК России писем уведомительного характера об отсутствии в предоставленных сведениях типовых информационных систем (далее – ИС), информационно-телекоммуникационных сетей (далее – ИТКС) и автоматизированных систем управления (далее – АСУ), используемых в деятельности отраслевых организаций. В данном случае отправлять ответное письмо в ФСТЭК России не требуется. Комиссии по категорированию объектов КИИ необходимо провести анализ указанных в письме ФСТЭК России ИС, ИТКС и АСУ и при их наличии рассмотреть возможные негативные последствия, в том числе влияние рассматриваемых систем на функционирование категорированных объекты КИИ, а также, при необходимости, провести их категорирование. Сведения о результатах категорирования данных объектов КИИ необходимо направить в ФСТЭК России.

Ответ: в зависимости от того, какие процессы автоматизируют объекты критической информационной инфраструктуры (далее – КИИ).

Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и иные процессы в рамках осуществления деятельности субъектов КИИ. Данные процессы могут быть напрямую не связаны с производственным процессом, но при их нарушении, например, возможен риск возникновения экономического ущерба субъекту КИИ или бюджету Российской Федерации. К таким объектам могут быть отнесены системы, которые обеспечивают финансово-экономические процессы, например, бухгалтерские учетные системы. Необходимо рассмотреть возможные негативные последствия, связанные с данными системами, и при необходимости провести их категорирование.

Также следует провести анализ типового перечня объектов КИИ с целью выявления типов объектов КИИ, в отношении которых ранее не проводилась процедура категорирования. Для таких объектов КИИ также необходимо рассмотреть возможные негативные последствия, в том числе влияние рассматриваемых систем на функционирование категорированных объектов КИИ, и при необходимости провести их категорирование.

Ответ: да, допускается возложение функций по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) на отдельных сотрудников подразделения по информационной безопасности:

·     согласно пункту 10 Требований к созданию систем безопасности значимых объектов КИИ, утвержденных приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ), допускается назначение отдельных работников, ответственных за обеспечение безопасности значимых объектов КИИ;

·     согласно пункту 13 Требований к СОИБ, сотрудники, ответственные за обеспечение безопасности значимых объектов КИИ, могут выполнять функции, связанные с обеспечением информационной безопасности субъекта КИИ в целом.

Ответ: нет, шаблон плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (далее – План) законодательно не установлен.

В Порядке информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации, утвержденном приказом ФСБ России от 19.06.2019 № 282, определено содержание Плана. Так, План должен включать в себя:

·     технические характеристики и состав значимых объектов КИИ;

·     события (условия), при наступлении которых начинается реализация предусмотренных Планом мероприятий;

·     мероприятия, проводимые в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;

·     описание состава подразделений и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.

Также в План могут быть включены условия привлечения подразделений и должностных лиц ФСБ России к проведению мероприятий по реагированию на компьютерные инциденты и порядок проведения субъектом КИИ совместно с ФСБ России данных мероприятий.

План разрабатывается индивидуально в зависимости от специфики объекта КИИ. Разработанный План утверждается руководителем субъекта КИИ. Копия утвержденного Плана в срок до 7 календарных дней со дня утверждения направляется в Национальный координационный центр по компьютерным инцидентам.

Ответ: требования по безопасной разработке программного обеспечения (далее – ПО) установлены в Требованиях по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), утвержденных, приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ).

Обязанность по выполнению Требований к СБ, в том числе требований по безопасной разработке (пункты 29.3 и 29.4 Требований к СБ), возлагается на субъекта КИИ. Для проектирования и внедрения системы обеспечения безопасности значимых объектов КИИ субъект КИИ может привлекать стороннее юридическое лицо, имеющее лицензию на деятельность по защите конфиденциальной информации. В таком случае в рамках проектирования системы безопасности проектировщик (лицензиат) должен осуществить оценку выполнения требований к безопасной разработке ПО как квалифицированная сторона. Соответствующие услуги могут предоставляться в рамках создания системы безопасности значимых объектов КИИ, а также могут предоставляться как отдельные услуги с заключением договорных отношений на проведение оценки соответствия по выполнению мероприятий по безопасной разработке ПО.

Также стоит отметить, что разработчик ПО может принять решение о продаже отдельного дистрибутива ПО, соответствующего требованиям к безопасной разработке. Соответственно, субъект КИИ может первоначально приобрести ПО, удовлетворяющее Требованиям к СБ.

Субъект КИИ, проектировщик системы безопасности и разработчик ПО в рамках договорных отношений могут создавать условия для выполнения тех или иных Требований к СБ (пункт 29.3 Требований к СБ) либо брать на себя обязательства по их выполнению, в том числе субъект КИИ может организовать процесс безопасной разработки приобретаемого (приобретенного) ПО и последующей оценки для разработчика ПО.

Ответ: в соответствии со статьей 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» под объектами критической информационной инфраструктуры (далее – КИИ) понимаются информационные системы (далее – ИС), информационно-телекоммуникационные сети, автоматизированные системы управления (далее – АСУ) субъектов КИИ.

Также следует руководствоваться Перечнем типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере транспорта, утвержденным Минтрансом России 24.01.2024. В данный перечень включены только АСУ и ИС, которые в том числе могут быть отдельными компонентами транспортных средств.

Таким образом, сами транспортные средства не являются объектами КИИ, а их отдельные компоненты могут быть отнесены к объектам КИИ, в случае если данные компоненты являются составной частью АСУ и ИС.

При этом, учитывая возможную тесную техническую связь между объектами КИИ данных средств, в целях реализации комплексного подхода к обеспечению информационной безопасности, обоснованно рассматривать совокупность средств и систем автоматизации такого транспортного средства как единый объект КИИ.

Ответ: был дан на сайте.

Ответ: оценка показателей критериев экономической значимости объектов критической информационной инфраструктуры (далее – КИИ) осуществляется в соответствии с Перечнем показателей критериев значимости объектов КИИ и их значений, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Перечень). При этом отнесение бизнес- или технологического процесса к критическому осуществляется экспертным путем, в зависимости от оценки возможности тех или иных экономических последствий. Например, критерием критичности процесса по показателю «Возникновение ущерба бюджетам Российской Федерации» будет возможность снижения налоговой базы (формируемой из выручки, операционной прибыли и прочих денежных потоков) субъекта КИИ и (или) смежных субъектов (налоговых агентов) при нарушении и (или) прекращении такого процесса.

Ответ: в соответствии со статьей 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» под компьютерным инцидентом понимается факт нарушения или прекращения функционирования объекта критической информационной инфраструктуры (далее – КИИ) или нарушения безопасности обрабатываемой таким объектом информации.

Таким образом, если нарушение правил эксплуатации объекта КИИ привело к нарушению функционирования или безопасности объекта КИИ, то такое действие следует рассматривать как компьютерный инцидент. За нарушение правил эксплуатации объекта КИИ, если оно повлекло причинение вреда КИИ Российской Федерации, предусматривается уголовная ответственность в соответствии с частью 3 статьи 274.1 Уголовного Кодекса Российской Федерации.

Ответ: да, отдельные субъекты критической информационной инфраструктуры (далее – КИИ) могут подпадать под действие обоих нормативных правовых актов:

·     постановление Правительства Российской Федерации от 22.08.2022 № 1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации,…»
(далее – ПП-1478);

·     постановление Правительства Российской Федерации от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации» (далее – ПП-1912).

Требования ПП-1912 распространяются на всех субъектов КИИ, которым на законном основании принадлежат значимые объекты КИИ. Выполнять требования ПП-1478 обязаны только те субъекты КИИ, которые осуществляют свою закупочную деятельность в соответствии с Федеральным законом от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее – 223-ФЗ). Соответственно, если субъект КИИ является заказчиком по требованиям 223-ФЗ (далее – Заказчик), то ему необходимо планировать деятельность по импортозамещению средств и систем в соответствии с требованиями и ПП-1478, и ПП-1912. Чаще всего к таким субъектам КИИ относятся организации электроснабжения, газоснабжения, теплоснабжения, жилищно-коммунальные хозяйства и любые иные организации с высокой долей государственного участия.

ПП-1478 определил для Заказчиков правила перехода на преимущественное использование российского программного обеспечения (далее – ПО), в том числе в составе программно-аппаратных комплексов (далее – ПАК), на принадлежащих им значимых объектах КИИ (далее – Правила перехода на российское ПО), а также требования к такому ПО. Согласно Правилам перехода на российское ПО, Заказчикам (субъектам КИИ) необходимо выполнить следующие работы:

·     провести анализ ПО, используемого в составе своих значимых объектов КИИ, на соответствие установленным требованиям к такому ПО;

·     разработать и утвердить план перехода на преимущественное использование на значимых объектах КИИ российского ПО, в том числе в составе ПАК (далее – План перехода на российское ПО), составленный на период до 1 января 2025 г. (с разбивкой по годам);

·     направить копию утвержденного Плана перехода на российское ПО в Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации, а также в уполномоченный орган в своей сфере деятельности, определенный подпунктом «а» части 2 статьи 1 ПП-1478.

Таким образом, субъектам КИИ, являющимся Заказчиками, необходимо до 2025 года перейти на российское ПО в рамках значимых объектов КИИ.

ПП-1912 определил правила перехода всех субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектов КИИ (далее – Правила перехода на доверенные ПАК). Согласно Правилам перехода на доверенные ПАК, уполномоченные органы, определенные в пункте 3 ПП-1912, разрабатывают отраслевые планы перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ (далее – План перехода на доверенные ПАК). Затем уполномоченные органы должны направить отраслевой План перехода на доверенные ПАК в адрес субъектов КИИ, а также уведомить субъектов КИИ о необходимости разработки локальных планов перехода. Субъекты КИИ разрабатывают Планы перехода на доверенные ПАК по форме согласно приложению № 3 к Правилам перехода на доверенные ПАК и направляют копию утвержденного плана в уполномоченный орган, который определяется в соответствии со сферой (областью) деятельности субъекта КИИ (пункт 3 ПП-1912).

Отдельно отметим, что преимущественное применение доверенных ПАК означает применение доверенных ПАК в доле, составляющей 100 % в общем количестве ПАК в составе значимых объектах КИИ (по состоянию на 31.12.2029).

Согласно пункту 2 Правил перехода на доверенные ПАК, ПАК – это радиоэлектронное оборудование, в том числе телекоммуникационное оборудование, ПО и технические средства, работающие совместно для выполнения одной или нескольких сходных задач. Стоит отметить, что согласно утвержденным критериям доверенных ПАК, ПО в составе ПАК должно соответствовать требованиям к ПО, установленным ПП-1478.

Таким образом, субъекты КИИ, осуществляющим закупки по 223-ФЗ, должны:

·     разработать План перехода на российское ПО;

·     осуществить переход на преимущественное использование российского ПО на своих значимых объектах КИИ до 2025 года;

·     разработать План перехода на доверенные ПАК (после получения отраслевого плана от уполномоченного органа);

·     осуществить переход на использование доверенных ПАК в составе значимых объектов КИИ до 2030 года.

Также отдельно отметим, что таким субъектам КИИ с 1 сентября 2024 г. запрещается использовать не доверенные ПАК, приобретенные (закупленные) после 1 сентября 2024 г., за исключением тех случаев, когда отсутствуют доверенные ПАК, являющиеся аналогами приобретаемых (закупаемых) ПАК.

Ответ: нет, постановления Правительства Российской Федерации являются документами, нижестоящими по юридической силе в соответствии с принятой в стране иерархией нормативных правовых актов (часть 3 статьи 115 Конституции Российской Федерации), и не может отменить действие положений указов Президента Российской Федерации в этой связи.

Пункт 1 Указа Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – УП-166) распространяется на субъектов критической информационной инфраструктуры (далее – КИИ), осуществляющих закупочную деятельность в соответствии с Федеральным законом от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее – 223-ФЗ).

Постановление Правительства Российской Федерации от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации» (далее – ПП-1912) утверждено в рамках исполнения подпункта «б» пункта 2 УП-166 и направлено на применение всеми субъектами КИИ. Соответственно, к субъектам КИИ, осуществляющим закупки по 223-ФЗ, предъявляются требования как пункта 1, так и пункта 2 УП-166 (требования ПП-1912).

Таким образом, субъекты КИИ, являющиеся заказчиками в системе 223‑ФЗ, должны выполнять требования по ограничению использования иностранного программного обеспечения в рамках значимых объектов КИИ, а также выполнять требования по переходу на доверенные программно-аппаратные комплексы в составе значимых объектов КИИ в рамках установленных ПП‑1912 сроков.

Ответ: при несоблюдении требований законодательства, направленных на обеспечение технологической независимости критической информационной инфраструктуры (далее – КИИ) Российской Федерации (далее – РФ) и импортозамещение, возможно наложение административной ответственности на субъектов КИИ.

Весной 2022 года вступили в силу два указа Президента РФ, направленные на обеспечение технологической независимости от иностранных производителей (разработчиков) и безопасности КИИ РФ:

·     Указ Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – УП-166);

·     Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – УП-250).

Невыполнение требований, установленных УП-166 и УП-250, потенциально влечет к наложению административной ответственности на юридическое лицо, являющееся субъектом КИИ. Описание видов административной ответственности в соответствии с Кодексом РФ об административных правонарушениях (далее – КоАП РФ) представлено в таблице.

№ статьи	Наименование статьи КоАП РФ	Содержание статьи КоАП РФ	Размер административного штрафа для юридического лица
13.12 (ч. 6)	Нарушение правил защиты информации	Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ	До 15 тыс.руб.
13.12.1 (ч. 1)	Нарушение требований в области обеспечения безопасности КИИ РФ	Нарушение требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ РФ, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ	До 100 тыс.руб.

Юридические лица, являющиеся субъектами КИИ, должны оценивать и учитывать риски, связанные с использованием иностранных технических средств и систем (в том числе средств защиты информации) в условиях ограниченной поддержки производителями и государственной политики импортозамещения. К таким рискам можно отнести следующее:

·     административная ответственность (см. таблицу);

·     проблемы при прохождении государственного контроля и ведомственного мониторинга в области обеспечения безопасности КИИ РФ;

·     общий вектор развития направлений импортозамещения и технологической независимости и связанное с этим усиление регуляторной нагрузки и комплаенс-контроля;

·     трудности в проведении оценки соответствия и организации сопровождения иностранных средств защиты информации в рамках их эксплуатации (оказание самостоятельной технической поддержки, применение дополнительных мер обеспечения информационной безопасности).

Ответ: да, субъект критической информационной инфраструктуры (далее – КИИ) может осуществлять техническую поддержку средств (систем) защиты информации (далее – СрЗИ), эксплуатируемых на объектах КИИ, собственными силами.

СрЗИ должны быть обеспечены технической поддержкой со стороны разработчиков (производителей) согласно Требованиям к созданию систем безопасности значимых объектов КИИ, утвержденным приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ). Однако в соответствии с пунктом 21 Требований к СОИБ, при отсутствии технической поддержки СрЗИ со стороны разработчиков (производителей), субъектом КИИ должны быть реализованы организационные и технические меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта в соответствии с Требованиями по обеспечению безопасности значимых объектов КИИ, утвержденными приказом ФСТЭК России от 25.12.2017 № 239. То есть субъекту КИИ необходимо самостоятельно доказать, что данное СрЗИ обеспечивает блокирование актуальных угроз значимого объекта КИИ и угроз, возникающих в условиях эксплуатации данного СрЗИ, без осуществления технической поддержки со стороны производителя. Для выполнения требований законодательства в области безопасности КИИ Российской Федерации субъекту КИИ необходимо будет разработать модели угроз безопасности информации, провести оценку рисков (включая риски информационной безопасности), провести самостоятельную оценку СрЗИ на соответствие требованиям безопасности в форме испытаний, а также принимать дополнительные меры информационной безопасности и оказывать техническую поддержку своими силами. Однако необходимо учитывать, что оказание технической поддержки является совокупностью действий, направленных на устранение недостатков и дефектов СрЗИ, в том числе устранение уязвимостей и недекларированных возможностей программного обеспечения СрЗИ, его обновление.

В случае невыполнения Требований к СОИБ в части обеспечения СрЗИ технической поддержкой, возможно наложение административной ответственности. ФСТЭК России в рамках государственного контроля может выявить данное нарушение (отсутствие технической поддержки) и выписать предписание на его устранение (обеспечить СрЗИ технической поддержкой или реализовать компенсирующие меры собственными силами). При невыполнении предписания ФСТЭК России возможно привлечение юридического лица к административной ответственности по пункту 1 статьи 13.12.1 Кодекса Российской Федерации об административных правонарушениях – административный штраф на юридическое лицо составляет до 100 тыс. руб. Обращаем внимание, что обоснование отсутствия технической поддержки со стороны производителя или условий, при которых техническая поддержка не может осуществляться производителем, в зоне ответственности субъекта КИИ.

Ответ: в рамках своих запросов на предоставление необходимых данных правоохранительные и регулирующие органы могут запрашивать следующие документы, подтверждающие выполнение требований законодательства в области безопасности критической информационной инфраструктуры Российской Федерации (далее – КИИ):

·     приказ о создании постоянно действующей комиссии по категорированию объектов КИИ, положение о постоянно действующей комиссии по категорированию объектов КИИ;

·     перечень объектов КИИ, подлежащих категорированию, а также письмо в ФСТЭК России о направлении данного перечня;

·     акты категорирования объектов КИИ;

·     сведения о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий, а также письмо в ФСТЭК России о направлении указанных сведений;

·     документы, являющиеся исходными данными для категорирования, включая данные о процессах субъекта КИИ;

·     перечень критических процессов и соответствующих им объектов КИИ;

·     перечень информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления технологическими процессами субъекта КИИ с указанием собственников, арендаторов, эксплуатирующих организаций, а также лиц, ответственных за эксплуатацию и безопасность;

·     иные документы, сформированные в рамках проведения категорирования объектов КИИ (например, протоколы заседания комиссии);

·     модели угроз безопасности информации объектов КИИ;

·     технические задания на проектирования объектов КИИ (систем безопасности);

·     проектная документация на объекты КИИ и системы защиты информации (эскизные, технические проекты), а также рабочая (эксплуатационная) документация;

·     акты и протоколы установки и настройки средств защиты информации;

·     организационно-распорядительная документация по защите информации (в области обеспечения безопасности объектов КИИ, информационной безопасности);

·     программы и методики предварительных испытаний объектов КИИ и их подсистем безопасности, а также протоколы предварительных испытаний;

·     акты приемки объектов КИИ (систем безопасности) в опытную эксплуатацию;

·     программы и методики опытной эксплуатации объектов КИИ и их подсистем безопасности;

·     протоколы проведения анализов уязвимостей объектов КИИ;

·     программы и методики приемочных испытаний объектов КИИ и их подсистем безопасности, а также протоколы приемочных испытаний;

·     программы и методики аттестационных испытаний объектов КИИ и их подсистем безопасности, аттестаты соответствия, заключения, а также протоколы испытаний (при наличии);

·     акты о вводе систем защиты (систем безопасности) в эксплуатацию;

·     акты о выводе объектов КИИ из эксплуатации, а также документы, подтверждающие архивирование (уничтожение) информации объектов КИИ и носителей информации;

·     документы, регламентирующие взаимодействие с Национальным координационным центром по компьютерным инцидентам;

·     сведения о реализованных технических и организационных мерах по обеспечению безопасности значимых объектов КИИ;

·     план мероприятий по реализации требований по обеспечению безопасности значимого объекта КИИ в соответствии с приказом ФСТЭК России от 25.12.2017 № 235 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

 

 

Ответ: организации, эксплуатирующие нефте- и газоперерабатывающие заводы, подведомственны Министерству энергетики Российской Федерации и, соответственно, являются субъектами критической информационной инфраструктуры (далее – КИИ) в сфере топливно-энергетического комплекса (далее – ТЭК).

Для более точного определения применимости того или иного типового (отраслевого) перечня объектов КИИ рекомендуем обратить внимание на коды Общероссийского классификатора видов экономической деятельности, указанные в соответствующих перечнях. Отдельно отметим, что сведения о видах деятельности, для обеспечения которых используются типовые объекты КИИ сферы ТЭК, не указаны в типовом перечне химической промышленности, но есть в аналогичном перечне для сферы топливно-энергетического комплекса.

Ответ: для ответа на данный вопрос необходимо рассматривать условия оферты или договора, на основании которых информационная инфраструктура предоставляется как услуга.

В случае, если организация, предоставляющая услуги центра обработки данных (далее – ЦОД), оказывает услуги неограниченному кругу лиц в рамках оферты или договора на предоставление таких услуг без относительной привязки к конкретному функциональному назначению и отраслевой принадлежности предоставляемых мощностей, то такая организация не обладает признаками субъекта критической информационной инфраструктуры (далее – КИИ). В рамках описанных договорных отношений организация, предоставляющая вычислительные мощности любым юридическим лицам, не несет обязательства по определению себя как субъекта КИИ.

Если сторонняя организация заключает договоры с конкретными субъектами КИИ на предоставление ИТ-инфраструктуры для функционирования тех или иных объектов КИИ (например, предоставление инфраструктуры для предприятий определенной отрасли), то организация является субъектом КИИ и должна выполнять требования законодательства о безопасности КИИ Российской Федерации (далее – РФ) в отношении принадлежащей (эксплуатируемой) инфраструктуры объектов КИИ. Однако стоит отметить, что субъект КИИ, как владелец функциональной части объекта КИИ, обязан обеспечить реализацию и выполнение правовых мер обеспечения безопасности такого объекта в соответствии с нормативными правовыми актами в сфере безопасности КИИ РФ. Реализация правовых мер безопасности в рамках договорных отношений обеспечивается путем включения требований по обеспечению безопасности КИИ РФ в заключаемые договоры на предоставление ИТ-инфраструктуры (предоставление вычислительных мощностей, услуг ЦОД) или путем оценки соответствия условий оферты таким требованиям.

Ответ: проводить повторное категорирование объектов критической информационной инфраструктуры (далее – КИИ) в связи с утверждением типовых отраслевых объектов КИИ необязательно.

В первую очередь, рекомендуется провести анализ типового перечня объектов КИИ с целью выявления типов объектов КИИ, в отношении которых не проводилась процедура категорирования. Например, организация могла включить в локальный перечень объектов КИИ автоматизированные системы управления технологическим процессом, но не включать такие типовые объекты КИИ как системы контроля и управления доступом, системы видеонаблюдения (в целом – комплекс инженерно-технических средств охраны). В отношении таких объектов необходимо рассмотреть возможные негативные последствия, в том числе влияние рассматриваемых систем на категорированные объекты КИИ, и, при необходимости, провести их категорирование. В рамках государственного контроля или ведомственного мониторинга предоставления сведений, специалисты уполномоченного органа (лица) могут использовать типовые перечни объектов КИИ для проверки корректности проведения категорирования. Соответственно, рекомендуется заранее подготовить обоснование, отвечающее на вопрос: «Почему данный объект КИИ не категорирован, если он представлен в типовом перечне?».

Для проведения полного повторного категорирования объектов КИИ субъектам КИИ рекомендуется рассмотреть все факторы и обстоятельства:

·     изменение показателей критериев значимости, произошедшее в декабре 2022 года, и необходимость перерасчета значений показателей, применимых к объектам КИИ;

·     необходимость актуализации сведений о результатах категорирования при изменении состава и условий функционирования объектов КИИ;

·     необходимость пересмотра установленных объектам КИИ категорий значимости один раз в 5 лет.

Ответ: отраслевые перечни типовых объектов критической информационной инфраструктуры (далее – КИИ) необходимо рассматривать как исходные данные (справочник отраслевого регулирующего органа) в рамках общей процедуры категорирования, установленной пунктом 5 Правил категорирования объектов КИИ (утверждены постановлением Правительства Российской Федерации от 08.02.2018 № 127, далее – Правила категорирования). Использование отраслевых перечней объектов КИИ как исходных данных определено в подпункте «ж» пункта 10 Правил категорирования.

Такие перечни не определяют конечный состав объектов информатизации субъектов КИИ и не могут служить основополагающей информацией для принятия решения об отнесении той или иной системы к объектам КИИ. Соответственно, субъект КИИ самостоятельно принимает решение о группировке категорируемых систем в единый объект КИИ в зависимости от их общего функционального назначения и условий функционирования, а также с учетом требований Правил категорирования, локальных нормативных актов, проектной и технической документации объектов КИИ. Отдельно отметим, что в рамках государственного контроля или ведомственного мониторинга предоставления сведений, специалисты уполномоченного органа (лица) могут использовать типовые перечни объектов КИИ для проверки корректности проведения категорирования. Соответственно, рекомендуется заранее подготовить ответы, обосновывающие группировку категорированных систем в единый объект КИИ.

Ответ: да, но с ограничением по выполняемым функциям. Кандидата, не имеющего профильного образования по направлению информационной безопасности (далее – ИБ), можно трудоустроить на вакантную должность специалиста по ИБ. Однако отметим, что на такого специалиста нельзя возлагать обязанности по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ). В соответствии с Требованиями к созданию систем безопасности значимых объектов КИИ, утвержденными приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ), специалист по безопасности КИИ должен иметь профессиональное образование по направлению подготовки (специальности) в области ИБ (высшее или среднее профессиональное образование) или иное высшее профессиональное образование с обязательным прохождением обучения по программе повышения квалификации по направлению «Информационная безопасность».

Соответственно, рекомендуется трудоустроить кандидата, не имеющего профильного образования в области ИБ, на должность специалиста ИБ с последующим прохождением курсов повышения квалификации по направлению «Информационная безопасность» (в случае если необходим специалист, обеспечивающий безопасность значимых объектов КИИ). Только после прохождения программы повышения квалификации и получения подтверждающих квалификацию документов допускается выполнение обязанностей по обеспечению безопасности значимых объектов КИИ. Выполнение обязанностей специалиста по безопасности КИИ до прохождения обучения по программе повышения квалификации (без наличия профессионального образования в ИБ) является нарушением Требований к СОИБ.

Ответ: 16 ноября 2023 года официально опубликовано постановление Правительства Российской Федерации от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации» (далее – ПП-1912), согласно которому:

·        субъекты критической информационной инфраструктуры (далее – КИИ) обязаны осуществить переход на использование доверенных программно-аппаратных комплексов (далее – ПАК) на своих значимых объектах КИИ;

·        субъектам КИИ запрещается использовать ПАК, приобретенные с 01.09.2024 и не являющиеся доверенными (не соответствуют критериям, предъявляемым к доверенным ПАК), за исключением случаев отсутствия аналогов доверенных ПАК, произведенных в Российской Федерации.

ПП-1912 утверждено в рамках исполнения Указа Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – УП-166), который в широких кругах известен из-за запрета на использование иностранного программного обеспечения в значимых объектах КИИ для органов государственной власти и заказчиков, осуществляющих закупки в соответствии с Федеральным законом от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц». Однако ПП-1912 утверждает правила и порядок перехода на доверенные ПАК для всех субъектов КИИ, что предусмотрено подпунктом «б» пункта 2 УП-166: «определить сроки и порядок перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ».

Таким образом, требования, установленные ПП-1912, распространяются на всех субъектов КИИ.

Ответ: в соответствии с Правилами отнесения продукции к промышленной продукции, не имеющей произведенных в Российской Федерации (далее – РФ) аналогов, утвержденных постановлением Правительства РФ от 20.09.2017 № 1135 (далее – Правила отнесения), заявителем на получении информации об отсутствии аналогов может быть юридическое лицо или индивидуальный предприниматель, зарегистрированный на территории РФ (далее – Заявитель).

Согласно Правилам отнесения, перед отнесением продукции к промышленной продукции, не имеющей произведенных в РФ аналогов, проводится экспертиза заявленной продукции – экспертная организация должна определить отличия параметров заявленной продукции от параметров произведенной в РФ промышленной продукции.

В целях получения акта экспертизы Заявитель формирует заявление о выдаче акта экспертизы и заключения об отсутствии аналогов посредством государственной информационной системы промышленности. Соответственно, Заявителем может выступать как субъект критической информационной инфраструктуры, так и иное юридическое лицо, заинтересованное в получении заключения об отсутствии аналогов (например, поставщик продукции, зарегистрированный в РФ). Однако необходимо учесть, что проведение экспертизы является платной услугой и к заявлению на получение акта экспертизы и заключения об отсутствии аналогов необходимо приложить следующие заверенные документы:

·        техническая документация на заявленную продукцию (технические условия, эксплуатационные документы, документация, подтверждающая основные потребительские свойства, информация об энергетической эффективности продукции, документы об оценке соответствия продукции, протоколы испытания такой продукции и (или) иные документы). В случае представления документов, составленных на иностранном языке, к ним прилагается заверенный в установленном порядке перевод на русский язык;

·        копия предварительного решения о классификации товара в соответствии с Товарной номенклатурой внешнеэкономической деятельности Евразийского экономического союза или копия решения о классификации товара, перемещаемого через таможенную границу Евразийского экономического союза в несобранном или разобранном виде, в том числе в некомплектном или незавершенном виде (при наличии);

·        обоснование невозможности замены отдельных компонентов заявленной продукции компонентами, произведенными на территории РФ без изменения параметров такой продукции (при наличии).

Ответ: нет, проведение тестирований на проникновение (так называемые пентесты) не является обязательным требованием в рамках исполнения пункта 12.6 при внедрении организационных и технических мер по обеспечению безопасности значимого объекта критической информационной инфраструктуры (далее – КИИ) и вводе его в действие и для выполнения меры «АУД.2. Анализ уязвимостей и их устранение» Требований по обеспечению безопасности значимых объектов КИИ РФ, утвержденных приказом ФСТЭК России от 25.12.2017 № 239. Тестирование на проникновение является одним из возможных способов анализа уязвимостей, при этом также рассматриваются:

·        анализ проектной, рабочей (эксплуатационной) документации и организационно-распорядительных документов по безопасности значимого объекта КИИ;

·        периодическое сканирование информационных ресурсов, доступных для внешнего сетевого взаимодействия, на выявление известных уязвимостей специализированными средствами (сканеры уязвимостей);

·        анализ состава установленного программного обеспечения и обновлений (в том числе контроль отсутствия уязвимых версий программного обеспечения) с применением средств контроля (анализа) защищенности;

·        использование анализаторов на выявление ошибок и уязвимостей в исходном коде;

·        анализ настроек (конфигураций) программных и программно-аппаратных средств, в том числе средств защиты информации.

Применение способов и средств выявления уязвимостей осуществляется субъектом КИИ с учетом особенностей функционирования значимого объекта КИИ.

Отдельно отметим, что обязательное проведение ежегодного тестирования на проникновение требуется для наиболее критичных информационных (автоматизированных) систем финансовых организаций, реализующих стандартный или усиленный уровень защиты информации в соответствии с требованиями:

·        положения Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»;

·        положения Банка России от 04.06 2020 № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;

положения Банка России от 20.04.2021 № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

Ответ: да, многофункциональные системы безопасности (далее – МФСБ) организаций угольной промышленности относятся к объектам критической информационной инфраструктуры (далее – КИИ).

Предприятия угольной промышленности относятся к субъектам критической информационной инфраструктуры (далее – КИИ) сферы горнодобывающей промышленности и (или) топливно-энергетического комплекса (в зависимости от выполняемых видов экономической деятельности). Требования к созданию МФСБ в таких организациях установлены в Правилах безопасности при переработке, обогащении и брикетировании углей, утвержденных приказом Ростехнадзора от 28.10.2020 № 428 и Правилах безопасности при разработке угольных месторождений открытым способом, утвержденных приказом Ростехнадзора от 10.11.2020 № 436 (далее – Правила безопасности).

Согласно Правилам безопасности, МФСБ внедряются в целях создания условий для безопасной работы и выполнения требований по промышленной безопасности по отдельным направлениям производственной деятельности предприятий угольной промышленности:

1.                 Для организации и осуществления безопасности ведения работ по переработке и обогащению угля, контролю и управлению технологическими и производственными процессами в нормальных и аварийных условиях – в целях обеспечения:

·        мониторинга и предупреждения условий возникновения опасности аэрологического и техногенного характера;

·        оперативного контроля соответствия технологических процессов заданным параметрам;

·        применения систем противоаварийной защиты людей, технических устройств, зданий и сооружений.

2.                 Для обеспечения на угольных разрезах условий безопасной эксплуатации технических устройств, осуществления оперативного управления производственными технологическими процессами, недопущения развития и реализации опасных производственных ситуаций – в целях реализации функций:

·        противодействия условиям возникновения аварий и снижения вероятности возникновения условий для реализации аварий;

·        предотвращения развития аварии и уменьшения ущерба от ее реализации;

·        осуществления противоаварийного управления и защиты;

·        обеспечения постоянной готовности средств и систем защиты.

Таким образом, в МФСБ должны обрабатываться данные об основных производственных процессах и о процессах обеспечения промышленной безопасности опасных производственных объектов организаций угольной промышленности – субъектов КИИ. Указанные процессы являются критическими процессами, поскольку нарушение или прекращение их реализации может привести к негативным социальным, экономическим и экологическим последствиям. Соответственно, МФСБ обладают признаками объекта КИИ как информационные (автоматизированные) системы, которые обрабатывает информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг таких процессов.

 

Ответ: да, должны в соответствии с пунктом 7 Правил перехода субъектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации (далее – РФ) на преимущественное применение доверенных программно-аппаратных комплексов (далее – ПАК) на принадлежащих им значимых объектах КИИ РФ, утвержденных Постановлением Правительства РФ от 14.11.2023 № 1912 (далее – Правила перехода).

Форма плана организации перехода субъекта КИИ на преимущественное применение доверенных ПАК утверждена в приложении № 2 к Правилам перехода. После разработки плана перехода по установленной форме субъект КИИ должен утвердить его и направить копию в уполномоченный орган, который ответственен за организацию перехода субъектов КИИ на преимущественное применение доверенных ПАК в одной из сфер (областей) деятельности. Перечень органов в соответствующих сферах деятельности определен в пункте 3 постановления Правительства РФ от 14.11.2023 № 1912. Срок отправки копии индивидуального плана перехода – в течение 10 дней с момента утверждения плана субъектом КИИ.

Ответ: критерии признания программно-аппаратных комплексов (далее – ПАК) доверенными определены в приложении № 1 к Правилам перехода субъектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации (далее – РФ) на преимущественное применение доверенных ПАК на принадлежащих им значимых объектов КИИ РФ, утвержденным Постановлением Правительства РФ от 14.11.2023 № 1912 (далее – Правила перехода).

Согласно пункту 2 Правил перехода, доверенный ПАК – это ПАК, который соответствует одновременном всем следующим критериями:

·        сведения о ПАК содержатся в реестре российской радиоэлектронной продукции;

·        программное обеспечение, используемое в составе ПАК, соответствует требованиям, установленным постановлением Правительства РФ от 22.08.2022 № 1478 (включено в единый реестр российских программ для электронных вычислительных машин и баз данных или в единый реестр Евразийских программ для электронных вычислительных машин и баз данных);

·        в случае реализации в ПАК функций защиты информации, ПАК имеет сертификат соответствия требованиям по защите информации ФСТЭК России и (или) ФСБ России.

Ответ: да, допускается, но при условии, что для выполнения различных функций сотрудник трудоустроен в разных юридических лицах.

Согласно пункту 13 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) и обеспечению их функционирования, утвержденным приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ), на специалистов безопасности запрещается возлагать обязанности, не связанные с обеспечением безопасности значимых объектов КИИ или информационной безопасности (далее – ИБ) субъекта КИИ в целом. Соответственно, такой специалист при трудоустройстве у субъекта КИИ может выполнять только трудовые функции, направленные на обеспечение ИБ. В случае если специалист безопасности работает по совместительству в рамках одного субъекта КИИ, – то есть совмещение нескольких трудовых (должностных) обязанностей на условиях неполного рабочего дня для каждой должности (например, совмещение 0,5 рабочей ставки на должности специалиста ИБ и 0,5 рабочей ставки на должности системного администратора) – то такое совмещение является нарушением пункта 13 Требований к СОИБ.

Однако специалист может выполнять функции безопасности у субъекта КИИ и функции, отличные от обеспечения безопасности значимых объектов КИИ или ИБ, при трудоустройстве у другого юридического лица. Такое совместительство трудовых функций не является нарушением Требований к СОИБ, поскольку в рамках субъекта КИИ сотрудник занимается только обеспечением безопасности значимых объектов КИИ или ИБ организации.

Ответ: нет, обязательное требование к аттестации значимого объекта критической информационной инфраструктуры (далее – КИИ) и его подсистемы безопасности не установлено в нормативных правовых актах Российской Федерации, за исключением случая, если значимый объект КИИ является государственной информационной системой.

Обработка информации значимых объектов КИИ в сторонних центрах обработки данных (далее – ЦОД) может осуществляться двумя способами:

1.     Аренда вычислительных мощностей, доступ к которым для обработки информации предоставляет другое юридическое лицо.

2.     Аренда выделенного места в ЦОД (например, аренда серверной стойки) и размещение оборудования, являющегося составной частью значимого объекта КИИ.

При обоих вариантах хранения информации значимого объекта КИИ в стороннем ЦОД часть мер по обеспечению безопасности значимого объекта КИИ, определенных Требованиями по обеспечению безопасности значимых объектов КИИ Российской Федерации, утвержденными приказом ФСТЭК России от 25.12.2017 № 239, должна реализовываться владельцем ЦОД. Поэтому требования к реализации определенных мер обеспечения безопасности информации рекомендуется включать в договор, заключаемый субъектом КИИ с владельцем ЦОД. При этом конечная ответственность за обеспечение безопасности значимого объекта КИИ возлагается на субъекта КИИ. В этой связи, обработка информации в аттестованном ЦОД позволяет снизить риски невыполнения требований в области безопасности КИИ Российской Федерации и повысить гарантию безопасности критичных компонентов значимого объекта КИИ (серверное оборудование) для субъекта КИИ.

Ответ: да, необходимо информировать ФСБ России о компьютерном инциденте, произошедшем на информационной системе, автоматизированной системе управления или информационно-телекоммуникационной сети субъекта критической информационной инфраструктуры (далее – КИИ) до завершение работ по категорированию (включая определение объектов КИИ), поскольку такие сети и системы потенциально являются объектами КИИ.

В соответствии с частью 2 статьи 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», субъекты КИИ должны информировать о компьютерных инцидентах, произошедших на объектах КИИ вне зависимости от присвоенной им категории значимости, федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ФСБ России). Соответственно, для полного соблюдения установленных законодательством требований рекомендуется информировать об инцидентах до завершения процесса категорирования.

При этом стоит отметить, что в правовой системе Российской Федерации действует юридический принцип «Незнание законов не освобождает от ответственности». Компьютерный инцидент, идентифицированный самостоятельно специалистами ФСБ России или иными полномочными правоохранительными органами, влечет к привлечению субъекта КИИ к административной ответственности, предусмотренной статьей 13.12.1 Кодекса Российской Федерации об административных правонарушениях, а также к проведению внеплановой проверки в рамках государственного контроля надзорными органами.

Ответ: да, допускается объединение нескольких станков с числовым программным управлением (далее – ЧПУ) в единый объект критической информационной инфраструктуры (далее – КИИ) при условии, что они обеспечивают реализацию одного критического процесса в рамках единого технологического комплекса. При определении категории значимости такого объекта КИИ рекомендуется рассмотреть наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объект КИИ, результатом которых является прекращение или нарушение выполнения критического процесса и нанесение максимально возможного ущерба путем выведения из строя всех составляющих объекта КИИ (станков с ЧПУ).

Ответ:

1.   В первую очередь – требованиями Федерального закона от 26.07.2017 № 187–ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187–ФЗ):

·     часть 12 статьи 7 187–ФЗ – изменение (актуализация) категории значимости в случае изменения объекта или не реже, чем раз в 5 лет;

·     часть 2 статьи 9 187–ФЗ – обязанности субъекта критической информационной инфраструктуры (далее – КИИ) в части реагирования на компьютерные инциденты, информирования и содействия федеральному органу исполнительной власти, уполномоченному в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА).

2.   Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 08.02.2018 № 127, – проведение категорирования объекта КИИ в случае его изменения или не реже, чем раз в 5 лет, в том числе:

·     изменениями в постановлении Правительства Российской Федерации от 08.02.2018 № 127, внесенными постановлением Правительства Российской Федерации от 13.04.2019 № 452 (для присвоения 1 категории значимости достаточно одного показателя критериев значимости; возможность включения любого работника предприятия в комиссию по категорированию по решению руководителя субъекта КИИ; возможность формирования комиссий по категорированию в филиалах и представительствах; постоянное действие комиссии по категорированию и категорирование создаваемых объектов КИИ; возможность формирования единого акта категорирования на все объекты КИИ; осуществление пересмотра категории объектов КИИ не только раз в 5 лет, но и в случае изменения показателей критериев значимости);

·     изменениями в Правилах категорирования объектов критической информационной инфраструктуры Российской Федерации, внесенными постановлением Правительства Российской Федерации от 24.12.2021 № 2431 (установление формы и сроков информирования ФСТЭК России об изменении сведений об объекте КИИ; введение мониторинга актуальности и достоверности сведений об объектах КИИ отраслевыми ведомствами);

·     изменениями в Правилах категорирования объектов критической информационной инфраструктуры Российской Федерации, внесенные постановлением Правительства Российской Федерации от 19.08.2022 № 1463 (возможность привлечения отраслевыми ведомствами подведомственных организаций к мониторингу актуальности и достоверности сведений об объектах КИИ);

·     изменениями в постановлении Правительства Российской Федерации от 08.02.2018 № 127, внесенными постановлением Правительства Российской Федерации от 20.12.2022 № 2360 (изменения в перечень показателей критериев значимости; возможность формирования отраслевыми ведомствами перечней типовых отраслевых объектов КИИ).

3.   Приказами ФСБ России:

·     Порядок осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими, утвержденный приказом ФСБ России от 11.05.2023 № 213, – порядок осуществления мониторинга защищенности информационных ресурсов являющимся субъектами КИИ либо используемых ими;

·     Перечень информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – Перечень) и Порядок представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утвержденными приказом ФСБ России от 24.07.2018 № 367, в частности пунктом 2 Приложения № 1 (Перечень) – предоставление информации в ГосСОПКА;

·     Порядок обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядок получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения, утвержденные приказом ФСБ России от 24.07.2018 № 368, – порядок обмена информацией о компьютерных инцидентах между субъектами КИИ, субъектами КИИ и уполномоченными органами иностранных государств;

·     Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, утвержденные приказом ФСБ России от 06.05.2019 № 196, – требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак;

·     Порядок, технические условия установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСБ России от 19.06.2019 № 281, – порядок применения средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак.

4.   Приказом ФСТЭК России: форма направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденная приказом ФСТЭК России от 22.12.2017 № 236, – форма сведений при проведении категорирования объекта КИИ в случае его изменения или не реже, чем раз в 5 лет.

5.   Порядком и Техническими условиями установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом Минцифры от 17.03.2020 № 114, – правила эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ.

Ответ: в зависимости от ситуации, в которой осуществляется взаимодействие с регулятором.

В соответствии с пунктами 17 и 18 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Правила категорирования), в течение 10 рабочих дней со дня утверждения акта категорирования, в адрес ФСТЭК России направляются сведения о результатах присвоения объекту критической информационной инфраструктуры (далее – КИИ) одной из категорий значимости либо об отсутствии необходимости присвоения категории по форме, утвержденной приказом ФСТЭК России от 22.12.2017 № 236. Акт категорирования, протоколы заседания комиссии при этом регулятору не направляются, их проверка ФСТЭК России не осуществляется.

Согласно пункту 19.2 Правил категорирования, в отношении объектов КИИ может быть проведен мониторинг актуальности и достоверности предоставленных сведений, в том числе путем ознакомления с объектами КИИ по месту их нахождения. В рамках подтверждения актуальности и достоверности сведений отраслевыми регуляторами (либо подведомственными им организациями, в соответствии с пунктом 19.3 Правил категорирования), может быть осуществлена, в том числе, проверка результатов работы комиссии по категорированию – протоколов заседаний и актов категорирования.

Также, согласно пункту 27 главы 4 Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, утвержденных постановлением Правительства Российской Федерации от 17.02.108 № 162, проверяющим должностным лицам должна быть предоставлена возможность ознакомления со всеми документами, связанными с предметом и задачами проверки. Таким образом, проверяющие могут ознакомиться с протоколами заседаний комиссии по категорированию и актами категорирования в отношении значимых объектов КИИ.

 

Ответ: для выбора легитимных продуктов в рамках государственной политики о технологической независимости и обеспечения устойчивого функционирования объектов критической информационной инфраструктуры используются следующие реестры:

1.   Программное обеспечение:

·     Реестр российского программного обеспечения;

·     Реестр евразийского программного обеспечения.

2.   Программно-аппаратные комплексы, аппаратное обеспечение и электронная компонентная база:

·     Реестр российских программно-аппаратных комплексов;

·     Единый реестр российской радиоэлектронной продукции.

Также рекомендуем использовать сервис «Импортозамещение» для подбора российских аналогов иностранных продуктов, размещенный на сайте Ассоциации разработчиков программных продуктов «Отечественный софт».

Ответ: на усмотрение субъекта критической информационной инфраструктуры (далее – КИИ).

Техническое задание на создаваемый значимый объект КИИ разрабатывается по завершении стадий формирования требований к системе и разработке концепции согласно ГОСТ 34.601-90 Автоматизированные системы. Стадии создания. При этом, согласно абзацам 1 и 12 пункта 11.2 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденных приказом ФСТЭК России от 25.12.2017 № 239, на подсистему безопасности значимого объекта может быть разработано частное техническое задание. Результаты проектирования подсистемы безопасности либо включаются в проектную документацию на значимый объект КИИ, либо отражаются в проектной документации на подсистему безопасности значимого объекта КИИ. Следовательно, раздел по разработке подсистемы безопасности значимого объекта КИИ может быть включен в проектную документацию на значимый объект КИИ.

Ответ: в зависимости от целей создания и использования комплексов инженерно-технических средств охраны (далее – КИТСО).

При создании КИТСО в рамках обеспечения антитеррористической защищенности при осуществлении деятельности субъекта критической информационной инфраструктуры (далее – КИИ) информационные системы (далее – ИС), автоматизированные системы управления (далее – АСУ) и информационно-телекоммуникационные сети (далее – ИТКС) должны быть отнесены к объектам КИИ. Оценка показателей критериев значимости таких объектов КИИ должна проводиться на основании паспорта и (или) иного документа в рамках оценки рисков и последствий актов незаконного вмешательства (АНВ) – исходных данных и результатов категорирования таких объектов в контексте антитеррористической защищенности.

При создании КИТСО вне антитеррористического контекста – в большинстве случаев процесс обеспечения физической безопасности не будет критическим в контексте Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127, так как нарушение и (или) прекращение такого процесса не приведет к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка. Соответственно ИС, АСУ и ИТКС, обеспечивающие КИТСО не будут относиться к объектам КИИ.

Ответ: для определения сфер деятельности, в которых функционируют объекты критической информационной инфраструктуры (далее – КИИ), рекомендуем использовать Общероссийский классификатор видов экономической деятельности, утвержденный приказом Росстандарта от 31.01.2014 № 14-ст (далее – ОКВЭД) и перечни типовых отраслевых объектов КИИ, которые формируют отраслевые регуляторы в соответствии с подпунктом «ж» пункта 10 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127.

Минэнерго России опубликованы перечни типовых отраслевых объектов КИИ, функционирующих в сфере:

·     топливно-энергетического комплекса (далее – ТЭК);

·     энергетики.

С учетом указанных выше перечней и ОКВЭД, к горнодобывающей промышленности относятся виды деятельности, соответствующие разделу «B» ОКВЭД, за исключением видов деятельности сферы ТЭК:

·     06.1 – Добыча сырой нефти и нефтяного (попутного) газа;

·     06.2 – Добыча природного газа и газового конденсата;

·     08.11.4 – Добыча и первичная обработка сланцев;

·     08.92.1 – Добыча торфа;

·     08.92.2 – Агломерация торфа.

Ответ: нет, не требуется. Технические средства охраны не являются средствами защиты информации, в том числе в системах сертификации ФСБ России и ФСТЭК России, на них не распространяются пункты 28 и 29 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденных приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ).

Однако технические средства охраны, используемые для реализации мер обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), являются частью подсистемы безопасности таких объектов, а в отношении подсистемы безопасности в целом и реализованных технических и организационных мер обеспечения безопасности должны проводиться предварительные и приемочные испытания в соответствии с пунктами 12.4 и 12.7 Требований к СБ. Состав и содержание испытаний определяются программой и методикой испытаний.

Ответ: организационно-распорядительные документы (далее – ОРД) субъекта критической информационной инфраструктуры (далее – КИИ) являются локальными нормативными актами (далее – ЛНА) такого субъекта и распространяются только на сотрудников субъекта КИИ, с которыми заключены трудовые договоры.

Для обеспечения действия правил и процедур, регламентированных в ОРД субъекта КИИ, в отношении сотрудников сторонних организаций, в той или иной мере являющихся силами обеспечения безопасности значимых объектов КИИ, необходимо создать соответствующие правовые условия:

1.        Установить в договоре со сторонней организацией права, обязанности и ответственность сторон по обеспечению безопасности значимых объектов КИИ.

2.        Определить требования о возможности присоединения или переиздания ОРД субъекта КИИ в рамках основных договорных отношений сторон. ОРД субъекта КИИ должны быть переизданы как ЛНА у подрядчика, либо, при выполнении разовых работ, правила по обеспечению безопасности могут быть включены в тело договора.

3.        Установить порядок контроля за обеспечением безопасности объектов КИИ со стороны субъекта КИИ и соответствующие формы отчетных документов.

Также отметим, что в любом случае, субъект КИИ должен довести положения ОРД по обеспечению безопасности объектов КИИ до сотрудников подрядных организаций в соответствии с пунктом 16 Требований к созданию систем безопасности значимых объектов КИИ Российской Федерации и обеспечению их функционирования, утвержденных приказом ФСТЭК России от 21.12.2017 № 235.

Ответ: в соответствии с абзацем 1 пункта 6 Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденного приказом ФСБ России от 19.06.2019 № 282 (далее – Порядок информирования): «Для подготовки к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектом критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежит значимый объект критической информационной инфраструктуры, в срок до 90 календарных дней со дня включения данного объекта в реестр значимых объектов критической информационной инфраструктуры Российской Федерации разрабатывается план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (План)…».

После утверждения Плана руководителем субъекта критической информационной инфраструктуры (далее – КИИ), копия утвержденного Плана в течение 7 календарных дней со дня утверждения направляется
в НКЦКИ в соответствии с абзацем 6 пункта 6 Порядка информирования.

В данный План, согласно пункту  10 Порядка информирования, при необходимости по результатам тренировок по отработке мероприятий Плана (проводятся не реже раза в год) могут вноситься изменения.

Соответственно, План меняется и должен быть утвержден руководителем субъекта КИИ, после чего копия утвержденного Плана также в течение 7 календарных дней со дня утверждения руководителем субъекта КИИ направляется в НКЦКИ.

Ответ: законодательством не установлен срок действия плана реагирования на компьютерные инциденты (далее – План). Порядком информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденным приказом ФСБ России от 19.06.2019 № 282 (далее – Порядок информирования), установлен срок разработки Плана – 90 календарных дней со дня включения объекта критической информационной инфраструктуры (далее – КИИ) в реестр значимых объектов КИИ Российской Федерации.

Но при необходимости в План могут вноситься изменения по результатам тренировок по отработке мероприятий Плана (проводятся не реже раза в год) согласно пункту 10 Порядка информирования. После вносимых изменений План утверждается заново.

Ответ: опираясь на утвержденные Минэнерго России и ФСТЭК России Методические рекомендации по определению и категорированию объектов критической информационной структуры топливно-энергетического комплекса, можно выделить следующие применимые показатели критериев значимости для электрогенерирующей компании как для субъекта критической информационной инфраструктуры (далее – КИИ):

1.  Социальная значимость:

• причинение ущерба жизни и здоровью людей (показатель № 1 в соответствии с Перечнем показателей критериев значимости объектов КИИ, утвержденным постановлением Правительства Российской Федерации от 08.02.2018 № 127;

• прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения (показатель № 2).

2.Экономическая значимость:

• возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием (показатель № 8);

• возникновение ущерба бюджету Российской Федерации (показатель № 9).

3.  Экологическая значимость:

• вредные воздействия на окружающую среду (показатель № 11). Электрогенерирующая компания для проведения категорирования объектов КИИ, в частности для расчета показателей критериев значимости, может использовать следующие формы отчетности (в том числе статистической):

• сведения о финансовом состоянии организации (форма № П-3) – показатели № 8 и № 9;

• сведения о травматизме на производстве и профессиональных заболеваниях (форма № 7-травматизм) – показатель № 1;

• сведения о работе жилищно-коммунального хозяйства и объектов энергетики в зимних условиях (форма № 2-ЖКХ) – показатель № 2;

• сведения о производстве, передаче, распределении и потреблении электрической энергии (форма № 23-Н) – показатель № 2;

• сведения об отпуске (передаче) электроэнергии распределительными сетевыми организациями отдельным категориям потребителей (форма № 46-ЭЭ (передача) – показатели № 8 и № 9;

• сведения о производстве, отгрузке продукции (товаров, работ, услуг) и балансе производственных мощностей (форма № 1-натура-БМ) – показатели № 8 и № 9;

• обследование деловой активности организаций добывающих, обрабатывающих производств, осуществляющих обеспечение электрической энергией, газом и паром; кондиционирование воздуха (форма № 1-ДАП) – показатели № 8 и № 9;

•  сведения об электростанциях, использующих возобновляемые источники энергии (форма № 4.3) – показатели № 8 и № 9;

• отчеты о финансовых результатах организации (форма № 2 бухгалтерской отчетности) – показатели № 8 и № 9.

Ответ: 30 мая 2023 года был принят Федеральный закон № 214-ФЗ «О внесении изменений в статью 104¹ Уголовного кодекса Российской Федерации», который внес дополнения в пункт «а» части 1 статьи 104.1 в части конфискации имущества при совершении определенных правонарушений. Из содержания следует, что конфискация имущества есть принудительное, безвозмездное изъятие и обращение в собственность государства на основании обвинительного приговора денег, ценностей и иного имущества, полученных в результате совершения преступлений, предусмотренных, в том числе, частями второй-четвертой статьи 272, статьей 273, частью второй статьи 274, статьями 274.1, а также конфискация любых доходов от этого имущества, за исключением имущества и доходов от него, подлежащих возвращению законному владельцу.

Статьей 274.1 Уголовного кодекса Российской Федерации (далее – УК РФ) предусмотрена ответственность за неправомерное воздействие на критическую информационную инфраструктуру (далее – КИИ) Российской Федерации (далее – РФ). Соответственно, в рамках судебного разбирательства может быть назначено уголовное наказание в виде конфискации имущества для лица, виновного в следующих правонарушениях:

• создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на КИИ РФ;

• неправомерный доступ к охраняемой компьютерной информации, содержащейся в КИИ РФ, в том числе с использованием компьютерных программ;

• нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ РФ.

Отдельно отметим, что суд вправе конфисковать то имущество, которое обвиняемое лицо получило в результате совершенных правонарушений в области обеспечения безопасности КИИ РФ (согласно положениям статьи 104.1 УК РФ).

Кроме того, отдельными статьями Кодекса РФ об административных правонарушениях (далее – КоАП РФ) предусмотрена конфискация средств защиты информации (далее – СрЗИ) за следующие правонарушения:

• использование несертифицированных СрЗИ, если они подлежат обязательной сертификации (часть 2 статьи 13.12 КоАП РФ);

• использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну (часть 4 статьи 13.12 КоАП РФ);

• осуществление деятельности в области защиты информации без получения в установленном порядке специального разрешения (лицензии) (часть 1 статьи 13.13 КоАП РФ);

• осуществление деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, а также с созданием средств, предназначенных для защиты государственной тайны, без получения специальной лицензии (часть 2 статьи 13.13 КоАП РФ).

Конфисковать СрЗИ могут у отдельных граждан, должностных лиц, а также у юридических лиц, признанных виновными в нарушении установленных требований по защите информации.

Ответ: согласно статье 824 Гражданского кодекса Российской Федерации (далее – ГК РФ) договор факторинга – это договор финансирования под уступку денежного требования. По данному договору одна сторона (клиент) обязуется уступить другой стороне – финансовому агенту (фактору) – денежные требования к третьему лицу (должнику) и оплатить оказанные услуги, а фактор обязуется совершить не менее двух следующих действий, связанных с денежными требованиями, являющимися предметом уступки:

1)      передавать клиенту денежные средства в счет денежных требований, в том числе в виде займа или предварительного платежа (аванса);

2)      осуществлять учет денежных требований клиента к третьим лицам (должникам);

3)      осуществлять права по денежным требованиям клиента, в том числе предъявлять должникам денежные требования к оплате, получать платежи от должников и производить расчеты, связанные с денежными требованиями;

4)      осуществлять права по договорам об обеспечении исполнения обязательств должников.

В роли фактора может выступать коммерческая организация (статья 825 ГК РФ). Согласно статье 5 Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», такие коммерческие организации являются организациями, осуществляющими операции с денежными средствами или иным имуществом. Соответственно, финансовые агенты (факторы) в рамках своей деятельности принимают от клиентов денежные средства или иные финансовые активы для хранения, управления, инвестирования и (или) осуществления иных сделок в интересах клиента либо прямо или косвенно за счет клиента и, таким образом, относятся к организациям финансового рынка (статья 142.1 Налогового кодекса Российской Федерации, далее – НК РФ). Однако отдельно отметим, что статья 142.1 НК РФ устанавливает понятия и термины, используемые при осуществлении автоматического обмена финансовой информацией с иностранными государствами (территориями).

Факторинговая деятельность не является лицензируемым видом финансовой деятельности. Однако коммерческие организации для оказания факторинговых услуг должны декларировать осуществление следующих видов экономической деятельности организаций финансового рынка:

• код Общероссийского классификатора видов экономической деятельности (далее – ОКВЭД) 64.9 – деятельность по предоставлению прочих финансовых услуг, кроме услуг по страхованию и пенсионному обеспечению;

• код ОКВЭД 64.99.5 – предоставление факторинговых услуг.

Указанные коды ОКВЭД входят в состав группировки кода ОКВЭД 64 – деятельность по предоставлению финансовых услуг, кроме услуг по страхованию и пенсионному обеспечению. Соответственно, наличие кодов ОКВЭД данной группировки указывает на деятельность организации в сфере финансового рынка, то есть осуществление деятельности как финансовой организации, оказывающей финансовые услуги (пункт 6 статьи 4 Федерального закона от 26.07.2006 № 135-ФЗ «О защите конкуренции»).

Таким образом, коммерческие организации, заключающие договоры финансирования под уступку денежного требования в качестве финансовых агентов, являются субъектами КИИ, функционирующими в сферах финансового рынка.

Ответ: действие сертификата соответствия требованиям по безопасности, выданный на определенное средство защита информации (далее – СрЗИ), не будет приостановлено, но он не распространяется на те функции безопасности, которые не указаны в соответствующем сертификате.

Согласно пункту 28 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденных приказом ФСТЭК России от 25.12.2017 № 239, для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться СрЗИ, прошедшие оценку соответствия требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.

Согласно пункту 20 Положения о системе сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 03.04.2018 № 55 (далее – Положение о сертификации СрЗИ), для получения сертификата заявитель (разработчик) предоставляет в ФСТЭК России заявку на сертификацию и в ней указывает тип (типы) средств защиты информации (далее – СрЗИ), к которому (которым) относится представляемое на сертификацию СрЗИ (например, средства контроля подключения съемных машинных носителей информации, средства антивирусной защиты и др.).

К заявке на сертификацию должен также прилагаться формуляр (паспорт) на СрЗИ (пункт Положения о сертификации СрЗИ). В таком документе на СрЗИ прописаны его функциональные возможности, описаны функции безопасности (например, разграничение доступа к управлению программным изделием, управление работой программного изделия, управление параметрами программного изделия и т. д.) Кроме того, в формуляре на сертифицированные СрЗИ указаны условия эксплуатации (в том числе в части используемых функций безопасности), при которых сертификат действует.

Далее проводятся сертификационные испытания в соответствии с требованиями по безопасности информации и методическими документами, утвержденными ФСТЭК России. ФСТЭК России разработала и утвердила требования по безопасности для следующих типов программных и программно-аппаратных средств:

• системы управления базами данных;

• средства виртуализации;

• средства контейнеризации;

• межсетевые экраны;

• операционные системы;

• средства контроля съемных машинных носителей информации;

• средства доверенной загрузки;

• средства антивирусной защиты;

• системы обнаружения вторжений.

Таким образом, сертификационные испытания проводятся в соответствии с утвержденными документами для тех типов СрЗИ, которые были указаны при подаче заявления на сертификацию. Например, если СрЗИ было подано на сертификацию как средство антивирусной защиты, то его оценка соответствия будет проводиться только по соответствующему профилю защиты.

Также сертификация может проводиться по отдельным функциям безопасности в соответствии с техническими условиями или заданием по безопасности, представляемыми при подаче заявки на сертификацию.

Таким образом, сертификат соответствия СрЗИ распространяется только на те функции безопасности, которые указаны в конструкторской, программной и эксплуатационной документации и в обозначенных условиях эксплуатации (в том числе в части использования иных функций безопасности). Соответственно, при использовании функций безопасности СрЗИ, которые не указаны в сертификационной документации, необходимо провести дополнительную оценку соответствия в форме испытаний или приемки для всех используемых функций безопасности, в том числе для тех, на которые распространяется сертификат соответствия.

Ответ: нет, не обязательно. Требования к системам управления безопасностью (далее – СМИБ) объектов критической информационной инфраструктуры (далее – КИИ) установлены только в отношении значимых объектов КИИ, в рамках приказа ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ). Пунктами 2, 4, 7 Требований к СОИБ выделяются следующие составные части СМИБ:

•  силы обеспечения безопасности значимых объектов КИИ – структурные подразделения и работники субъекта КИИ, а также иные лица, принимающие участие в обеспечении безопасности значимых объектов КИИ;

• программные и программно-аппаратные средства, применяемые для обеспечения безопасности значимых объектов КИИ – средства защиты информации (далее – СрЗИ);

• организационно-распорядительные документы (далее – ОРД) по безопасности значимых объектов КИИ;

• процессы функционирования системы безопасности в части организации работ по обеспечению безопасности значимых объектов КИИ – процессы СМИБ.

Пунктом 23 Требований к СОИБ разрешается интеграция ОРД по безопасности значимых объектов КИИ в ОРД по ИБ организации в целом. При этом пунктами 12, 13, 18, 36 Требований к СОИБ установлены следующие требования к СМИБ:

• по образованию и периодическому повышению квалификации сотрудников (службы безопасности КИИ);

• по запрету совмещения функций, не связанных с информационной безопасностью (далее – ИБ) в целом, или безопасностью значимых объектов КИИ, в отношении службы безопасности КИИ или отдельных сотрудников по безопасности значимых объектов КИИ;

• по необходимости использования СрЗИ, прошедших оценку соответствия;

• по проведению контроля безопасности значимых объектов КИИ не реже, чем один раз в 3 года.

Таким образом, СМИБ значимых объектов КИИ может быть интегрирована в СМИБ организации в целом, при условии учета и соблюдения ограничений и требований, предъявляемых к безопасности значимых объектов КИИ.

Ответ: да.

1.Согласно абзацу 2 пункта 8 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Правила категорирования): «Для создаваемого объекта критической информационной инфраструктуры, указанного в абзаце первом настоящего пункта, категория значимости может быть уточнена в ходе его проектирования.»

2. Пунктом 21 Правил категорирования установлено: «Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий.»

Соответственно, категория значимости может быть пересмотрена в зависимости от фактических показателей критериев значимости, угроз безопасности информации, взаимодействия с иными объектами критической информационной инфраструктуры (далее – КИИ) и (или) иной информации, указанной в пункте 10 Правил категорирования. Решение о пересмотре категории значимости принимает комиссия по категорированию с учетом текущих и (или) планируемых условий эксплуатации объекта КИИ.

Ответ: действительно, наименования информационных активов могут различаться в зависимости от системы учета и документации на такие активы. При подготовке перечня объектов критической информационной инфраструктуры (далее – КИИ) мы рекомендуем использовать следующие правила для дальнейшей минимизации комплаенс-риска (риска предписаний или иных проблем, связанных с исполнением законодательства и взаимодействием с контролирующими органами):

1.  При наличии проектной и (или) иной документации на потенциальные объекты КИИ – используем наименование из нее (например, на системы автоматизации производства).

2. При отсутствии документации на потенциальный объект КИИ в целом – используем идентификаторы в учетных системах, при условии постановки потенциального объекта КИИ или его основных компонентов на учет в рамках одной учетной единицы или группы активов: учет информационных активов в рамках системы менеджмента информационной безопасности; бухгалтерский и управленческий учет активов и пр.

3. Используем наименования объектов КИИ исходя из классов систем связи и автоматизации и с учетом типовых перечней объектов КИИ, разрабатываемых ведомственными регуляторами в соответствии с подпунктом «ж» пункта 10 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127. При этом в наименовании указываем не только класс системы, но и наименование вендора и принадлежность к бизнес- или технологическому процессу, производству и иным сущностям, связанным с потенциальным объектом КИИ.

Ответ: в случае незначительного изменения состава объекта КИИ, не влекущего изменения условий его функционирования, не рекомендуем предпринимать какие-либо действия, кроме учета соответствующего изменения, корректировки и направления в ФСТЭК России актуальных сведений о результатах категорирования в течение 20 дней после внесения изменений, в соответствии с пунктом 19(1) Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Правила категорирования).

При существенном изменении конфигурации объекта критической информационной инфраструктуры (далее – КИИ) рекомендуем провести следующие процедуры:

1. Комиссии по категорированию по представлению данных от специалистов по обеспечению безопасности объектов КИИ оценить, повлияет ли изменение состава объекта КИИ на фактические показатели критериев значимости. Решение зафиксировать протоколом комиссии.

2. При необходимости изменения категории значимости, инициировать проект по созданию (в случае отсутствия категории ранее) или модернизации системы (подсистемы) безопасности объекта КИИ в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25.12.2017 № 239.

3.В течение 20 дней после внесения изменений и после создания (модернизации) системы (подсистемы) безопасности, направить в ФСТЭК России сведения о результатах категорирования в соответствии с пунктом 19(1) Правил категорирования.

4. Обеспечить соблюдение режима безопасности значимого объекта КИИ в рамках новых условий эксплуатации.

Ответ: нет, дополнительная оценка соответствия по оценочному уровню доверия для несертифицированных средств защиты информации (далее – СрЗИ), встроенных в общесистемное или прикладное программное обеспечение (далее – ПО), не требуется.

В соответствии с пунктом 28 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденных приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ), для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться сертифицированные СрЗИ или СрЗИ, прошедшие оценку соответствия требованиям по безопасности в форме испытаний или приемки.

При этом согласно пунктам 29 и 29.2 Требований к СБ, требования к соответствию 6 или более высокому уровню доверия предъявляются только к сертифицированным и не встроенным в общесистемное и прикладное ПО СрЗИ. Таким образом, в случае применения несертифицированных, но встроенных в общесистемное или прикладное ПО СрЗИ (то есть в случае применений в них функций безопасности) и проведения в отношении них оценки соответствия в форме испытаний или приемки, не требуется дополнительно проводить мероприятия, подтверждающие соответствие такого СрЗИ по оценочному уровню доверия.

Однако пунктом 29.3 Требований к СБ подразумевается внедрение процесса безопасной разработки прикладного ПО на стороне разработчика, в том числе включающего мероприятия, проводимые при оценке соответствия по требованиям к оценочному уровню доверия.

Ответ: обязательные процедуры и мероприятия, выполняемые при создании системы (подсистемы) безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), установлены в рамках Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденных приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ). Так, абзацем 5 подпункта «з» пункта 11.2 макетирование обозначено как один из способов проведения тестирования системы (подсистемы) безопасности значимых объектов КИИ.

Таким образом, тестирование системы (подсистемы) безопасности значимых объектов КИИ является обязательным мероприятием, а макетирование является одним из возможных способов тестирования. Требования по обязательному макетированию не установлены в рамках нормативно-правового поля, но могут быть обязательными в соответствии с техническим заданием на систему (подсистему) безопасности.

Ответ: на данный момент в Государственной Думе Федерального Собрания Российской Федерации на рассмотрении находится законопроект о внесении изменений в статью 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Предлагаемые проектом изменения направлены на расширение понятия субъекта критической информационной инфраструктуры (далее – КИИ) путем дополнения сфер деятельности – предлагается добавить сферы социального обеспечения населения и образования.

В нормативном поле в настоящий момент нет определения социального обеспечения, но есть нормативно-правовое регулирование пенсионного обеспечения и социального обслуживания граждан.

В случае принятия законопроекта, к субъектам КИИ, в зависимости от окончательно принятой формулировки, могут относиться:

1.   Социальный фонд России и субъекты КИИ, которым принадлежат информационные системы и информационно-телекоммуникационные сети, обрабатывающие информацию в рамках критических процессов пенсионного обеспечения.

2.   Различные поставщики социальных услуг – юридические лица независимо от их организационно-правовой формы и (или) индивидуальные предприниматели, осуществляющие социальное обслуживание согласно статье 3 Федерального закона от 28.12.2013 № 442-ФЗ «Об основах социального обслуживания граждан в Российской Федерации».

Согласно статье 25 Федерального закона от 28.12.2013 № 442-ФЗ «Об основах социального обслуживания граждан в Российской Федерации» региональные органы Министерства труда и социальной защиты Российской Федерации ведут реестры поставщиков социальных услуг по регионам. Таким образом, к субъектам КИИ, которым на законном основании принадлежат объекты КИИ, функционирующие в сфере социального обеспечения, потенциально могут быть отнесены частные коммерческие и некоммерческие организации и государственные автономные стационарные учреждения социального обслуживания (пансионаты; дома-интернаты для ветеранов, инвалидов, престарелых; комплексные центры социального обслуживания; центры социальной реабилитации).

Ответ: согласно пункту 8 статьи 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ), субъекты критической информационной инфраструктуры (далее – КИИ) – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, (а также российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей), которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (далее – ИС), информационно-телекоммуникационные сети (далее – ИТС) и автоматизированные системы управления (далее – АСУ), функционирующие в одной из установленных сфер деятельности.

Частью 4 статьи 7 187-ФЗ установлено, что категорирование объектов КИИ осуществляют субъекты КИИ в соответствии с критериями значимости и показателями их значений, которые, в свою очередь, определяются исходя из масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ.

Таким образом, субъектом КИИ может являться как собственник, так и арендатор ИС, ИТС и (или) АСУ, обладающих признаками объектов КИИ, в зависимости от того, на какой стороне осуществляется обработка информации, необходимой для обеспечения (управления, контроля и (или) мониторинга) критических процессов и в рамках чьей деятельности выполняются эти процессы.

В соответствии с частью 3 статьи 9 и частью 1 статьи 10 187-ФЗ создание систем безопасности значимых объектов КИИ и соблюдение требований по безопасности – обязанности субъектов КИИ. Пунктом 2 Требований к созданию систем безопасности значимых объектов критической информационно инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденных приказом ФСТЭК России от 21.12.2017 № 235, установлено: «Системы безопасности создаются субъектами критической информационной инфраструктуры и включают в себя правовые, организационные, технические и иные меры, направленные на обеспечение информационной безопасности (защиты информации) субъектов критической информационной инфраструктуры».

Исходя из вышеизложенного, создание системы безопасности – обязанность субъекта КИИ (может быть как собственник, так и арендатор). Соблюдение требований по безопасности – задача, в большинстве случаев реализуемая во взаимодействии собственника и арендодателя. В рамках договорных обязательств сторон должен быть определен субъект КИИ, требования по соблюдению безопасности объектов КИИ во взаимодействии и на каждой из сторон, а также ответственность за их ненадлежащее исполнение.

Ответ: согласно пункту 19(2) Правил категорирования объектов критической информационной инфраструктуры российской федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Правила категорирования): «государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, осуществляют мониторинг представления субъектами критической информационной инфраструктуры, выполняющими функции (полномочия) или осуществляющими виды деятельности в соответствующих областях (сферах), актуальных и достоверных сведений, указанных в пункте 17 настоящих Правил». При этом порядок проведения оценки актуальности и достоверности сведений определяют отраслевые регуляторы, издавая соответствующие нормативные правовые акты.

В отношении субъектов критической информационной инфраструктуры (далее – КИИ) оборонной, металлургической и химической промышленности издан «Порядок проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений …», утвержденный приказом Минпромторга России от 31.05.2023 № 1981, который устанавливает порядок и сроки проведения процедуры оценки актуальности и достоверности сведений для соответствующих сфер субъектов КИИ:

1.   Департамент цифровых технологий Минпромторга России ежегодно утверждает график проведения оценки с указанием субъектов КИИ и дат проведения проверок в рамках мониторинга (оценки).

2.   Рабочая группа за 10 рабочих дней до даты начала проведения оценки формирует выездную группу с целью ознакомления с объектами КИИ по месту их нахождения (выездная оценка). Рабочая группа согласовывает дату и время проведения оценки с субъектом КИИ в пределах сроков проведения оценки. Продолжительность выездной оценки не должна превышать 10 рабочих дней.

3.   Экспертное заключение по результатам оценки утверждается в течение 10 рабочих дней со дня завершения проверки и направляется субъекту КИИ в течение 5 дней после утверждения.

Ответ: согласно статье 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»: «Сайт в сети «Интернет» – совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет» (далее – сеть «Интернет») по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети «Интернет».

Из определения можно сделать вывод, что сайты являются частью информационных систем (далее – ИС) и они не могут быть самостоятельными объектами критической информационной инфраструктуры (далее – КИИ), но могут быть функциональной частью таких объектов. Как правило, в соответствующие ИС компании входит набор сервисов (функциональных элементов) для выполнения тех или иных функций: бэкэнд-, фронтэнд- компоненты сайтов, а также мобильные приложения для предоставления услуг клиентам и публикации корпоративной информации.

У субъектов КИИ разных сфер деятельности сайты могут участвовать в выполнении разных критических процессов.

В транспортной сфере сайты компаний могут автоматизировать следующие критические процессы:

-       продажа и оформление электронных билетов;

-       бронирование мест;

-       управление расписанием рейсов;

-       регистрация пассажиров на рейс и др.

Например, нарушение нормального функционирования сайта субъекта КИИ сферы транспорта может привести к прекращению или нарушению функционирования объектов транспортной инфраструктуры (вокзалов, аэропортов) в части информационно-справочной поддержки пассажиров и (или) процессов регистрации пассажиров и их багажа.

В сфере финансового рынка сайты субъектов КИИ могут обрабатывать информацию следующих критических процессов:

-       обслуживание корпоративных и частных клиентов;

-       осуществление платежей;

-       доступ клиентов к банковским и иным сервисам финансового рынка и др.

В большинстве случаев нарушение нормального функционирования сайта субъекта КИИ сферы финансового рынка может привести к снижению доходов по соответствующему каналу дистрибуции и к снижению базы по налогу на прибыль, соответственно к возникновению ущерба бюджету Российской Федерации.

Ответ: запрет использования на значимых объектах критической информационной инфраструктуры (далее – КИИ) иностранных средств защиты информации (далее – СрЗИ) и иностранного программного обеспечения (далее – ПО), к которому, в том числе, могут относиться СрЗИ, установлен несколькими нормативными правовыми актами:

1.   Подпунктом «б» пункта 1 Указа Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» устанавливается запрет использования иностранного ПО (в том числе СрЗИ) на значимых объектах КИИ сферы регулирования Указа. Соответственно запрет распространяется и на СрЗИ союзных государств, используемых на значимых объектах КИИ.

2.   Пунктом 6 Указа Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» запрещается использование СрЗИ, «странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними». Запрет на использование СрЗИ союзных государств Указом не установлен.

3.   Абзацем 2 пункта 29.2 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденных приказом ФСТЭК России от 25.12.2017 № 239, установлена необходимость оценки соответствия требованиям к уровню доверия для СрЗИ, не имеющих сертификата соответствия. Абзацем 7 и абзацем 5 пунктов 12.2 и 12.3 Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденных приказом ФСТЭК России от 02.06.2020 № 76, установлено:

-       для 5 уровня доверия (2 категория значимости объектов КИИ), сведения об аппаратной платформе СрЗИ должны быть включены в единый реестр российской радиоэлектронной продукции;

-       для 4 уровня доверия (1 категория значимости объектов КИИ), сведения о процессорах или микросхемах, выполняющих функции процессоров (микроконтроллеры), элементах памяти, сетевых картах, графических адаптерах аппаратной платформы СрЗИ должны быть включены в единый реестр российской радиоэлектронной продукции.

Таким образом, запрещено использование не имеющих сертификата соответствия аппаратных и аппаратно-программных СрЗИ дружественных государств для обеспечения безопасности объектов КИИ 1 и 2 категорий значимости.

 

Ответ: нет. Согласно положениям статьи 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ):

• к объектам критической информационной инфраструктуры (далее – КИИ) относятся информационные системы (далее – ИС), информационно-телекоммуникационные сети (далее – ИТС), автоматизированные системы управления (далее – АСУ) субъектов КИИ;

• субъекты КИИ – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, (а также российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей), которым на праве собственности, аренды или на ином законном основании принадлежат ИС, ИТС, АСУ, функционирующие в одной из установленных сфер деятельности.
  

Профильной деятельностью условной организации – SOC является оказание услуг по технической защите конфиденциальной информации (далее – ТЗКИ) в части мониторинга информационной безопасности средств и систем информатизации. При этом ИС SOC автоматизирует процессы в рамках соответствующей лицензируемой деятельности. ТЗКИ не является сферой деятельности субъектов КИИ, а ИС SOC не является объектом КИИ.

Ответ: нет, не является. Организации, выполняющие функции службы спасения создаются в рамках выполнения Положения о единой государственной системе предупреждения и ликвидации чрезвычайных ситуаций, утвержденного постановлением Правительства Российской Федерации от 30.12.2003 № 794, и выполняют соответствующие виды деятельности.

Деятельность по предупреждению и ликвидации чрезвычайных ситуаций не является сферой деятельности субъектов критической информационной инфраструктуры в соответствии с пунктом 8 статьи 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Ответ: да, является. Согласно «Кодексу внутреннего водного транспорта Российской Федерации» от 07.03.2001 № 24-ФЗ речной порт (далее также – порт) – комплекс сооружений, расположенных на земельном участке и акватории внутренних водных путей, обустроенных и оборудованных в целях обслуживания пассажиров и судов, погрузки, выгрузки, приема, хранения и выдачи грузов, взаимодействия с другими видами транспорта. Порт (причал), в котором хотя бы одно из юридических лиц или один из индивидуальных предпринимателей осуществляет в силу закона или на основании лицензии деятельность, связанную с перевозками внутренним водным транспортом, по обращению любого физического или юридического лица, является портом или причалом общего пользования.

Также речной порт подпадает под определение объекта транспортной инфраструктуры в соответствии с пунктом 5 статьи 1 Федерального закона от 09.02.2007 № 16-ФЗ «О транспортной безопасности», при условии наличия процессов посадки (высадки) пассажиров и (или) перевалки грузов повышенной опасности.

Таким образом, лица, которым принадлежат информационные системы, автоматизированные системы управления и (или) информационно-телекоммуникационные сети, обрабатывающие информацию в рамках выполнения критических процессов речных портов, являются субъектами критической информационной инфраструктуры для которых, в том числе, актуальны показатели критерия социальной значимости.

Ответ: нет, не распространяется. Согласно пункту 8 статьи 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ), субъекты критической информационной инфраструктуры (далее – КИИ) – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, (а также российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей), которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (далее – ИС), информационно-телекоммуникационные сети (далее – ИТС) и автоматизированные системы управления (далее – АСУ), функционирующие в одной из установленных сфер деятельности.

Филиалы иностранных компаний не являются юридическими лицами, зарегистрированными на территории Российской Федерации. Таким образом, иностранные юридические лица, а также их филиалы, осуществляющие деятельность на территории Российской Федерации, не будут являться субъектами КИИ.

Однако довольно часто компании создают дочерние структуры – общества с участием капитала иностранной компании. В данной ситуации дочерняя компания будет являться отдельным юридическим лицом, зарегистрированным на территории Российской Федерации. Следовательно, дочерняя компания может являться субъектом КИИ, если она имеет ИС, ИТС, АСУ, обрабатывающие информацию критических процессов в одной из установленных сфер деятельности согласно пункту 8 статьи 2 187-ФЗ.

Ответ: да, такая организация, в случае наличия информационных систем, информационно-телекоммуникационных сетей и (или) автоматизированных систем управления, обрабатывающих информацию в рамках выполнения критических процессов, является субъектом критической информационной инфраструктуры (далее – КИИ), функционирующим в сфере топливно-энергетического комплекса (далее – ТЭК).

Согласно пункту 9 статьи 2 Федерального закона от 21.07.2011 № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса»: «объекты топливно-энергетического комплекса – объекты электроэнергетики, нефтедобывающей, нефтеперерабатывающей, нефтехимической, газовой, угольной, сланцевой и торфяной промышленности, а также объекты нефтепродуктообеспечения, теплоснабжения и газоснабжения».

Деятельность по снабжению газо- и нефтепродуктами является подотраслью ТЭК и регулируется Минэнерго России, а также такая деятельность (участвующие в ее осуществлении объекты, технологические комплексы) является категорируемой в контексте безопасности объектов ТЭК в соответствии с рекомендациями, утвержденными приказом Минэнерго России от 10.02.2012 № 48 (то есть в отношении нее рассматриваются последствия социального и экологического характера в контексте антитеррористической защищенности).

Ответ: да, микрофинансовые организации (далее – МФО) являются субъектами критической информационной инфраструктуры (далее – КИИ), функционирующими в сфере финансовых рынков.

В соответствии с показателями критериев значимости объектов КИИ, утвержденными постановлением Правительства Российской Федерации (далее – РФ) от 08.02.2018 № 127, при нарушении бизнес-процессов МФО не возникнут негативные социальные, политические, экологические последствия или последствия для обеспечения обороны страны, безопасности государства и правопорядка. Так, к деятельности МФО применимы только показатели экономической значимости (показатели № 8-10). При этом, как у всех субъектов КИИ, в случае нарушения критических процессов может возникнуть ущерб бюджету РФ, оцениваемого в снижении выплат (отчислений) в бюджет, осуществляемых МФО (показатель № 9). Иные показатели критериев экономической значимости неприменимы к деятельности МФО, потому что:

• в исчерпывающем большинстве случаев МФО не является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием (показатель № 8);

• МФО не является (показатель № 10):

‒     системно значимой кредитной организацией (в перечень таких организаций включено 13 юридических лиц РФ);

‒     кредитной организацией, значимой на рынке платежных услуг (в перечень таких кредитных организаций включено 22 юридических лица РФ);

‒     оператором услуг платежной инфраструктуры в рамках системно значимых платежных систем (реестр операторов системно значимых платежных систем);

• МФО не является центральным контрагентом (необходимо наличие лицензии небанковской кредитной организации на осуществление банковских операций, лицензии на осуществление клиринговой деятельности, а также наличие статуса центрального контрагента, показатель № 10.1);

• МФО не является центральным депозитарием (статус центрального депозитария присвоен Небанковской кредитной организации акционерное общество «Национальный расчетный депозитарий» (НКО АО НРД) приказом ФСФР России от 06.11.2012 № 12-2761/пз-и) и не является регистратором финансовых транзакций (показатель № 10.2);

•  МФО не является негосударственным пенсионным фондом (на официальном сайте Банка России размещены реестр лицензий негосударственных пенсионных фондов, реестр негосударственных пенсионных фондов – участников системы гарантирования прав застрахованных лиц, показатель № 10.3);

• МФО не является страховой организацией (Единый государственный реестр субъектов страхового дела, показатель № 10.4);

• МФО не является оператором услуг информационного обмена (перечень операторов услуг информационного обмена, показатель № 10.5).

Ответ: согласно пункту 12 Требований к созданию систем безопасности значимых объектов КИИ, утвержденных приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ):

·     руководитель структурного подразделения по безопасности должен иметь высшее профессиональное образование по направлению «Информационная безопасность» (профильное образование) либо иное высшее образование и прохождение профессиональной переподготовки по соответствующему направлению;

·     сотрудники структурного подразделения по безопасности – профильное образование (среднее или высшее образование) или высшее образование и профильное повышение квалификации.

Минобрнауки России утверждены перечни специальностей среднего и высшего образования, а также направлений подготовки высшего образования. В соответствии с приказом Минобрнауки России от 29.10.2013 № 1199, к специальностям среднего профессионального образования по информационной безопасности (далее – ИБ) относятся:

·       10.02.01 «Организация и технология защиты информации»;

·       10.02.02 «Информационная безопасность телекоммуникационных систем»;

·       10.02.03 «Информационная безопасность автоматизированных систем»;

·       10.02.04 «Обеспечение информационной безопасности телекоммуникационных систем».

В соответствии с приказом Минобрнауки России от 12.09.2013 № 1061 (далее – Приказ Минобрнауки России № 1061), к специальностям и направлениям подготовки высшего образования в области ИБ относятся:

·       10.03.01 «Информационная безопасность» (уровень образования – бакалавриат);

·       10.04.01 «Информационная безопасность» (уровень образования – магистратура);

·       10.05.01 «Компьютерная безопасность» (уровень образования – специалитет);

·       10.05.02 «Информационная безопасность телекоммуникационных систем» (уровень образования – специалитет);

·       10.05.03 «Информационная безопасность автоматизированных систем» (уровень образования – специалитет);

·       10.05.04 «Информационно-аналитические системы безопасности» (уровень образования – специалитет);

·       10.05.05 «Безопасность информационных технологий в правоохранительной сфере» (уровень образования – специалитет);

·       10.06.01 «Информационная безопасность» (подготовка кадров высшей квалификации в аспирантуре).

Также приказом Минобрнауки России от 12.09.2013 № 1060 (далее – Приказ Минобрнауки России № 1060) утверждены перечни специальностей и направлений подготовки высшего образования, содержащих сведения, составляющие государственную тайну или служебную информацию ограниченного распространения. В области ИБ к таким специальностям относятся:

·       10.05.06 «Криптография» (уровень образования – специалитет);

·       10.05.07 «Противодействие техническим разведкам» (уровень образования – специалитет);

·       10.07.01 «Информационная безопасность» (подготовки кадров высшей квалификации в адъюнктуре).

Отдельно отметим, что Приказы Минобрнауки России № 1060 и № 1061 действуют до 01.09.2025, затем вступает в силу приказ Минобрнауки России от 01.02.2022 № 89. Данный приказ не меняет названия специальностей и направлений подготовки высшего образования в области ИБ, однако устанавливает новые коды их классификации.

Таким образом, получение специалистом по безопасности одной из указанных выше специальностей является подтверждением его квалификации в ИБ и не требует дополнительного прохождения программ по переподготовке или повышению квалификации (за исключением периодического повышения квалификации согласно абзацу 4 пункта 12 Требований к СОИБ).

 

Ответ: чаще всего для оказания услуг по обеспечению безопасности критической информационной инфраструктуры (далее – КИИ) необходимо наличие лицензии на деятельность по технической защите конфиденциальной информации (далее – ТЗКИ).

Согласно требованиям действующего законодательства Российской Федерации (далее – РФ), для обеспечения безопасности значимых объектов КИИ (далее –ЗОКИИ) субъект КИИ может привлекать лицензиатов ТЗКИ:

• для проектирования систем обеспечения информационной безопасности (далее – СОИБ) ЗОКИИ (п. 20 приказа ФСТЭК России от 25.12.2017 № 239);

• для выполнения функций структурного подразделения по безопасности (специалистов по безопасности) ЗОКИИ (п. 11 приказа ФСТЭК России от 21.12.2017 № 235);

• для предоставления услуг центров мониторинга и управления информационной безопасностью (аб. в п. 4 постановления Правительства РФ от 03.02.2012 № 79);

• для проведения аттестации ЗОКИИ и его СОИБ (аб. г п. 4 постановления Правительства РФ от 03.02.2012 № 79);

• для контроля состояния безопасности ЗОКИИ и проведения оценки эффективности принимаемых организационных и технических мер (п.36 приказа ФСТЭК России от 25.12.2017 № 239);

• для оценки соответствия средств защиты информации в форме испытаний или приемки (п. 28 приказа ФСТЭК России от 25.12.2017 № 239).

В случае если в СОИБ ЗОКИИ используются (предполагается использовать) криптографические (шифровальные) средства защиты информации, то юридические лица должны иметь лицензию ФСБ России на осуществление деятельности, связанной с шифровальными (криптографическими) средствами.

При этом отметим, что если в ЗОКИИ осуществляется обработка государственной тайны, то для оказания вышеописанных работ и услуг необходимо привлекать организации, имеющие лицензию на деятельность по технической защите информации, составляющей государственную тайну.

не требуется наличие лицензий на оказание следующих видов услуг в области безопасности КИИ:

• оказание консультативной помощи при категорировании объектов КИИ;

• моделирование угроз безопасности информации;

• разработка организационно-распорядительной документации.

 

Ответ: никакие документы не надо направлять во ФСТЭК России. Ответ на данный вопрос дала ФСТЭК России в информационном письме от 17.04.2020 № 240/84/611: «предоставление информации об отсутствии в организации объектов критической информационной инфраструктуры (далее – КИИ) или о том, что организация не является субъектом КИИ, во ФСТЭК России в соответствии с законодательством о безопасности КИИ не требуется».

Тем не менее, мы рекомендуем документально зафиксировать вывод комиссии об отсутствии объектов КИИ в организации. Например, в виде протокола заседания комиссии по категорированию объектов КИИ, содержащего сведения о том, что субъект КИИ не эксплуатирует (не владеет) информационные системы, автоматизированные системы управления или информационно-телекоммуникационные сети, которые обрабатывают информацию для обеспечения критических процессов и (или) осуществляют управление, контроль или мониторинг таких процессов. Соответствующий документ, фиксирующий решение комиссии, не нужно предоставлять во ФСТЭК России.

Ответ: нет, Центральный Банк Российской Федерации (далее – Банк России) не передает ФСТЭК России и не согласовывает со службой сведения о результатах присвоения объекту критической информационной инфраструктуры (далее – КИИ) одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее – Сведения).

Согласно с п. 17 постановления Правительства Российской Федерации от 08.02.2018 № 127 (далее – ПП-127), Сведения необходимо направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ. Таким органом власти является ФСТЭК России (Указ Президента Российской Федерации от 16.08.2004 № 1085). Соответственно, субъект КИИ обязан направлять Сведения во ФСТЭК России, а не в государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности. На практике Банк России может оказывать методологическую помощь по категорированию объектов КИИ в части согласования Сведений. Однако после согласования субъект КИИ все равно обязан направить Сведения во ФСТЭК России в соответствии правилами, утвержденными ПП-127.

Ответ: нет, отсутствует обязанность целенаправленно информировать указанные органы и юридические лица об изменениях в сведениях о результатах присвоения объекту критической информационной инфраструктуры (далее – КИИ) одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее – Сведения).

Согласно п. 19.1 постановления Правительства Российской Федерации от 08.02.2018 № 127 (далее – ПП-127), новые Сведения не позднее 20 рабочих дней со дня их изменения необходимо направить в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ, то есть во ФСТЭК России. Требование к направлению новых Сведений в иные государственные органы не установлено.

В соответствии с п. 19.2 ПП-127, государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, вправе осуществлять мониторинг актуальности Сведений. Однако такой мониторинг они вправе осуществлять путем направления запросов в адрес субъектов КИИ, а также путем ознакомления с объектами КИИ по месту их нахождения.

Таким образом, субъект КИИ обязан информировать об изменениях в Сведениях только ФСТЭК России. Субъект КИИ не обязан оперативно уведомлять государственные органы и юридические лица, регулирующие установленную сферу деятельности, об изменениях в Сведениях, а вправе отвечать на запросы соответствующих органов и юридических лиц в рамках мониторинга.

Ответ: да, образовательные учреждения, включая школы, станут субъектами критической информационной инфраструктуры (далее – КИИ).

На данный момент в Государственной Думе Федерального Собрания Российской Федерации на рассмотрении находится законопроект о внесении изменений в ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Предлагаемые проектом изменения направлены на расширение понятия субъекта КИИ путем дополнения сфер деятельности – предлагается добавить сферы социального обслуживания населения и образования. В случае принятия законопроекта, к субъектам КИИ будут относиться:

• образовательные организации – некоммерческие организации, осуществляющие на основании лицензии образовательную деятельность в качестве основного вида деятельности;

• организации, осуществляющие обучение – юридические лица, осуществляющие на основании лицензии образовательную деятельность в качестве дополнительного вида деятельности;

• индивидуальные предприниматели, осуществляющие образовательную деятельность.

Таким образом, к субъектам КИИ, которым на законном основании принадлежат объекты КИИ, функционирующие в сфере образования, потенциально могут быть отнесены общеобразовательные учреждения (школы, гимназии, лицеи), дошкольные образовательные учреждения (детские сады), индивидуальные предприниматели, организации дополнительного образования, а также другие некоммерческие организации и юридические лица. Потенциальных субъектов КИИ можно определить с использованием реестра лицензий на осуществление образовательной деятельности, который находится в ведении Федеральной службы по надзору в сфере образования и науки (Рособрнадзор).

Ответ: да, организация является субъектом критической информационной инфраструктуры (далее – КИИ).

Согласно п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ), к субъектам КИИ относятся организации, которым на законном основании принадлежат информационные системы (далее – ИС), автоматизированные системы управления (далее – АСУ) и информационно-телекоммуникационные сети (далее – ИТС), функционирующие в оборонной промышленности. Соответственно, внесение юридического лица в реестр организаций оборонно-промышленного комплекса (далее – ОПК) потенциально указывает на наличие объектов КИИ, обеспечивающих выполнение функций организации как предприятия ОПК. Для этого необходимо определить, какие процессы выполняет организация в рамках оборонной промышленности, в том числе в рамках государственных оборонных заказов – то есть определить продукцию и (или) услуги, которые послужили основанием для включения в реестр организаций ОПК. Например, организация занимается производством одежды и включена в реестр организаций ОПК. В рамках выполнения государственного оборонного заказа предприятие осуществляет выпуск военной формы и ее поставку. Соответственно, критическими процессами в оборонной промышленности могут являться основной процесс производства одежды и вспомогательные процессы, обеспечивающие производство и поставку. Тогда объектами КИИ будут являться ИС, АСУ и ИТС, обеспечивающие выполнение указанных процессов (процессы производства и поставки одежды).

Таким образом, включение юридического лица в реестр организаций ОПК является основанием для отнесения его к субъектам КИИ (при наличии объектов КИИ), а также основанием для выполнения требований 187-ФЗ, в частности проведения процедуры категорирования объектов КИИ.

Ответ: да, такое подключение возможно, но не рекомендуется.

Подключение значимых объектов критической информационной инфраструктуры (далее – КИИ) к сетям электросвязи (в том числе к сети Интернет) регламентируется следующими нормативными правовыми актами (далее – НПА):

1.     Правила подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры, утвержденные постановлением Правительства РФ от 08.06.2019 № 743.

2.     Порядок согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования, утвержденный приказом ФСТЭК России от 28.05.2020 № 75 (далее – Порядок согласования подключения к сети Интернет).

Из указанных выше НПА можно сделать следующие выводы:

1.     Подключение к сети Интернет допускается только при отсутствии технической возможности использования ресурсов сетей электросвязи, не присоединенных к сети связи общего пользования, либо необходимости дополнительного резервирования каналов связи.

2.     Подключение значимых объектов КИИ к сети Интернет должно быть согласовано с ФСТЭК России в соответствии с Порядком согласования подключения к сети Интернет.

3.     Согласование требуется только для тех значимых объектов КИИ, которые не были включены в реестр до момента издания Порядка согласования подключения к сети Интернет.

4.     Для использования ресурсов сети Интернет с целью обеспечения функционирования значимых объектов КИИ с оператором связи должен быть заключен договор, включающий соответствующие условия в рамках обязательств сторон. Оператор связи должен выполнить мероприятия по защите сети электросвязи на своей стороне, в соответствии с требованиями Минцифры России.

5.     Согласование в отношении создаваемых значимых объектов КИИ должно быть проведено до заключения договора с оператором связи.

6.     Согласование включает оценку ФСТЭК России достаточности реализованных мер обеспечения безопасности значимого объекта КИИ, предусмотренных:

• Требованиями по обеспечению безопасности значимых объектов…, утвержденными приказом ФСТЭК России от 25.12.2017 № 239, в том числе в части оценки соответствия средств защиты информации и документов, которые подтверждают ее выполнение;

• Моделью угроз безопасности информации значимого объекта КИИ.

Обращаем внимание, что в соответствии с пунктом 29.1 Требований по обеспечению безопасности значимых объектов…, утвержденных приказом ФСТЭК России от 25.12.2017 № 239, «При проектировании вновь создаваемых или модернизируемых значимых объектов 1 категории значимости в качестве граничных маршрутизаторов, имеющих доступ к информационно-телекоммуникационной сети "Интернет", выбираются маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности)».

Ответ:

1.     В первую очередь необходимо выполнить все мероприятия, предусмотренные Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ):

• провести категорирование объектов критической информационной инфраструктуры (далее – КИИ);

• создать систему безопасности значимых объектов КИИ (система управления безопасностью) и обеспечить ее необходимыми условиями функционирования и достаточными ресурсами (финансовыми, нормативными (организационно-распорядительная документация), кадровыми, включая выделение должности заместителя генерального директора по информационной безопасности) и средствами защиты информации (встроенными в общесистемное и прикладное программное обеспечение, наложенными);

• создать подсистемы безопасности для значимых объектов КИИ, включая мероприятия на этапах жизненного цикла создания: моделирование угроз, техническое задание, проектирование, ввод в эксплуатацию и соответствующие работы;

• выстроить процесс взаимодействия с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), включая разработку соответствующей организационно-распорядительной документации и организацию технического взаимодействия (подключения) и (или) передать соответствующий процесс на аутсорсинг.

2.     Провести внутренний контроль состояния безопасности значимых объектов КИИ и контроль выполнения требований 187-ФЗ в целом. Для обеспечения наиболее точного соответствия профилю проверки, желательно использовать Перечень нормативных правовых актов или их отдельных частей, оценка соблюдения которых является предметом государственного контроля (надзора) в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом ФСТЭК России от 16.07.2019 № 135.

3.     Воспользоваться услугами лицензиатов ФСТЭК России для аудита и последующего приведения процессов субъекта КИИ в соответствие требованиям законодательства.

 

Ответ: нет. При необходимости подключения значимого объекта критической информационной инфраструктуры (далее – КИИ) к сети Интернет должны быть реализованы меры безопасности, предусмотренные Требованиями по обеспечению безопасности значимых объектов…, утвержденными приказом ФСТЭК России от 25.12.2017 № 239 с учетом актуальных угроз безопасности информации. В том числе это касается и технических мер обеспечения безопасности (средства защиты информации).

Ответ: регистрация прав на недвижимое имущество и сделок с ним регулируется Федеральным законом от 13.07.2015 № 218-ФЗ «О государственной регистрации недвижимости». К объектам критической информационной инфраструктуры (далее – КИИ) в сфере государственной регистрации прав на недвижимое имущество и сделок с ним относится информационная система Единого государственного реестра недвижимости. Соответствующая система эксплуатируется органами государственной власти в рамках межведомственного взаимодействия, а также двумя основными типами субъектов (субъектами КИИ):

• Федеральная служба государственной регистрации, кадастра и картографии (Росреестр) и региональные управления Росреестра;

• Публично-правовая компания «Роскадастр».

Ответ: требования к минимальным срокам освоения программ профессиональной переподготовки и повышения квалификации в направлении информационной безопасности установлены приказом Минобрнауки России от 19.10.2020 № 1316. К таким требованиям относятся:

• Минимальный срок освоения программ профессиональной переподготовки – 360 часов;

• Минимальный срок освоения программ повышения квалификации – 40 часов;

• Программы должны быть согласованы ФСТЭК России и (или) ФСБ России (в зависимости от предмета освоения).

Приказ ФСТЭК России от 21.12.2017 № 235 устанавливает только требования к необходимости и периодичности прохождения таких программ специалистами по информационной безопасности.

Ответ: в соответствии с п. 12.1 Требований к созданию систем безопасности…, утвержденных приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ): «На работников со средним профессиональным образованием по специальности в области информационной безопасности (при наличии должности в штатном расписании у субъекта критической информационной инфраструктуры) возлагаются отдельные функции по обеспечению безопасности значимых объектов критической информационной инфраструктуры в соответствии с полученной такими работниками специальностью». Исходя из профилей среднего профессионального образования и Требований к СОИБ, большая часть функций процесса управления системой безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) не может быть возложена на сотрудников без высшего образования. В частности, к таким функциям относятся мероприятия, предусмотренные пунктом 28 Требований к СОИБ.

Соответственно допускается назначение отдельных работников, ответственных за обеспечение безопасности значимых объектов КИИ в условиях разделения функций таких работников:

• эксплуатация и (или) контроль эксплуатации средств обеспечения безопасности значимых объектов КИИ (работники со средним профессиональным и высшим образованием);

• управление процессами системы обеспечения безопасности значимых объектов КИИ (работники с высшим образованием).

Ответ: в рамках внесения изменений в Требования к созданию систем безопасности…, утвержденные приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ), в соответствии с абзацем 3 пункта 21 Требований к СОИБ, наличие обязательной технической поддержки не требуется. Однако отсутствие технической поддержки со стороны разработчиков (производителей) средств защиты информации (далее – СрЗИ) вносит ряд ограничений:

•  СрЗИ в отношении которых была прекращена техническая поддержка со стороны разработчика (производителя) нельзя считать сертифицированными (пункт 14 Положения о системе сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 03.04.2018 № 55). Соответственно в отношении таких СрЗИ должна быть проведена оценка соответствия в форме испытаний или приемки при использовании их для обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ);

• при использовании таких СрЗИ должны быть рассмотрены соответствующие актуальные угрозы безопасности информации, связанные с устранением недостатков и дефектов, в том числе с устранением уязвимостей и недекларированных возможностей программного обеспечения СрЗИ и его обновлений. Процедуры, заменяющие техническую поддержку разработчика (производителя), должны быть регламентированы организационно-распорядительной документацией субъекта КИИ.

Ответ: да, допускается. Процесс контроли состояния безопасности значимых объектов КИИ определен в пунктах 34, 35 Требований к созданию систем безопасности…, утвержденных приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ). Абзацем 5 пункта 34 Требований к СОИБ установлено: «в случае проведения по решению руководителя субъекта (ответственного лица) критической информационной инфраструктуры внешней оценки (внешнего аудита) состояния безопасности значимых объектов критической информационной инфраструктуры внутренний контроль может не проводиться».

Однако мы не рекомендуем рассматривать контроль состояния безопасности как периодическое мероприятие. Для достижения целевых показателей эффективности системы обеспечения безопасности контроль должен проводиться непрерывно в ходе эксплуатации значимых объектов критической информационной инфраструктуры, в том числе с использованием средств мониторинга и контроля.

Ответ: да, требуется.

Правила подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры, утвержденные постановлением Правительства РФ от 08.06.2019 № 743, определяют выделенные сети связи как наиболее приоритетные ресурсы сети электросвязи для обеспечения функционирования значимых объектов критической информационной инфраструктуры (далее – КИИ). Однако определение «выделенные сети связи» установлено статьей 14 Федерального закона от 07.07.2003 «О связи», к таким сетям относятся  сети электросвязи, предназначенные для возмездного оказания услуг электросвязи ограниченному кругу пользователей или группам таких пользователей. При этом оказание услуг электросвязи является лицензируемым видом деятельности и может осуществляться только операторами связи.

Таким образом,  VPN-тоннели, создаваемые субъектами КИИ для соединения сегментов корпоративной сети передачи данных удаленных площадок, не относятся к выделенным сетям связи. А использование в сети Интернет таких тоннелей для обеспечения функционирования значимых объектов КИИ должно быть согласовано с ФСТЭК России в соответствии с Порядком согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования, утвержденным приказом ФСТЭК России от 28.05.2020 № 75.

Ответ: да, должна. Правилами осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства РФ от 17.02.2018 № 162, определены следующие сроки уведомления субъектов критической информационной инфраструктуры (далее – КИИ):

• до 1 января года проведения плановых проверок ФСТЭК России направляет субъекту КИИ выписку из ежегодного плана проверок (если субъект КИИ включен в соответствующий план);

• не менее чем за 3 рабочих дня до начала ФСТЭК России уведомляет субъекта КИИ о проведении плановой проверки;

• не менее чем за 24 часа до начала ФСТЭК России уведомляет субъекта КИИ о проведении внеплановой проверки.

Ответ: да, в рамках реализации Указа Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – УП-250) были изданы следующие нормативные правовые акты и утверждаемые ими документы:

1.     Постановлением Правительства РФ от 15.07.2022 № 1272 были утверждены типовые положения в рамках реализации подпункта «а» пункта 3 УП-250:

• о заместителе руководителя органа (организации), ответственного за обеспечение информационной безопасности органа (организации);

• о структурном подразделении органа (организации), обеспечивающем информационную безопасность органа (организации).

2.     Распоряжением Правительства РФ от 22.06.2022 № 1661-р был утверждён перечень ключевых органов (организаций), которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСБ России и ФСТЭК России, в рамках реализации подпункта «б» пункта 3 УП-250.

3.     Приказом ФСБ России от 01.11.2022 № 543 определён трёхлетний переходный период в течение которого допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты по соглашению с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) в соответствии с подпунктом «б» пункта 5 УП-250. По истечении соответствующего периода, необходимо будет подключаться к аккредитованным центрам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА).

4.     Приказом ФСБ России от 11.05.2023 № 213 утверждён порядок осуществления мониторинга защищенности информационных ресурсов в рамках реализации подпункта «в» пункта 5 УП-250.

Порядок аккредитации и требования к центрам ГосСОПКА в настоящий момент не утверждены ФСБ России.

Ответ: до 20 марта 2020 года Правительственной комиссией по повышению устойчивости развития российской экономики (далее – Комиссия) утверждался единый Перечень системообразующих организаций российской экономики.

С апреля 2020 года ежегодно на сайте Минэкономразвития России публикуются Критерии и порядок включения организаций в перечень системообразующих организаций российской экономики, устанавливающие динамический порядок ведения перечней системообразующих предприятий. Сами перечни публикуются на сайтах отраслевых ведомств. Включение в перечни осуществляется по представлению отраслевыми ведомствами: Минэкономразвития России – по базовым критериям и Комиссией – по дополнительным критериям. При этом в качестве базовых критериев были установлены выручка и численность персонала (разные минимальные значения для каждой подотрасли). К дополнительным критериям, в том числе, отнесены следующие основания:

• обеспечение информационной безопасности, предоставление услуг по разработке и эксплуатации государственных информационных систем, общественно значимых сервисов в сети «Интернет»;

• осуществление деятельности по эксплуатации критической инфраструктуры и (или) обеспечению безопасности на территории Республики Крым, города Севастополя, Калининградской области и Дальневосточного федерального округа;

• осуществление разработки и внедрения критических технологий, разработки критически важного программного обеспечения.

При этом холдинговые структуры включаются с учётом аффилированности связанных с ними организаций, как группа лиц (группа компаний).

Уточнить, является ли организация или холдинговая структура, в которую она входит, системообразующей организацией можно в структурном подразделении, выполняющем функции управленческого и (или) налогового учёта, а также в отраслевом ведомстве, осуществляющем функции государственной политики в направлении хозяйственной деятельности организации.

Напомним, что к системообразующим предприятиям российской экономики предъявляются требования Указа Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», а также ряда иных нормативных правовых актов ограниченного распространения в сфере информационной безопасности и информационных технологий.

Ответ: в соответствии с пунктом 6 Указа Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» с 1 января 2025 года субъектам критической информационной инфраструктуры (далее – КИИ) запрещается использовать средства защиты информации (далее – СрЗИ), странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.

СрЗИ, встроенные в операционную систему (далее – ОС) Windows, выпущены Microsoft Corporation, страной их происхождения являются Соединенные Штаты Америки, включенные в Перечень иностранных государств и территорий, совершающих в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия (утвержден распоряжением Правительства Российской Федерации
от 05.03.2022 № 430-р).

Таким образом, с 1 января 2025 года недопустимо использование встроенных СрЗИ ОС Windows непосредственно для обеспечения безопасности значимых объектов КИИ. Такие СрЗИ не могут являться компонентами подсистемы безопасности значимого объекта КИИ, то есть недопустимо их включение в проекты подсистем безопасности значимых объектов КИИ и использование с целью выполнения технического задания на подсистемы безопасности значимых объектов КИИ.

Тем не менее, использование встроенных СрЗИ на значимых объектах КИИ допустимо для реализации вспомогательных и (или) прикладных функциональных целей с условием дублирования соответствующих механизмов защиты или использования компенсирующих мер (в таком случае соответствующие встроенные функции ОС не будут являться СрЗИ).

Ответ: нет. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» не устанавливают соответствующее требование. В соответствии с текущим законодательством от субъектов критической информационной инфраструктуры (далее – КИИ) требуется:

1.     Выстроить процесс обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и реализовать его собственными силами или с привлечением сторонних организаций – аккредитованных центров Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА). Решение принимает руководитель субъекта или уполномоченное им лицо.

2.     Информировать о компьютерных инцидентах Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ).

На время переходного периода, предусмотренного подпунктом «б» пункта 5 УП-250, допускается взаимодействие с центрами ГосСОПКА, не имеющими аттестата аккредитации, заключившими соглашение с НКЦКИ.

Обращаем внимание, что УП-250 регламентирует аутсорсинг (оказание услуг по передаче бизнес-функции) обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты как лицензируемого вида деятельности, он не запрещает осуществлять соответствующую деятельность собственными силами, однако ограничивает возможность осуществления такой деятельности в рамках корпоративных, холдинговых отношений при передаче функций инсорсеру.

Ответ: субъекты мониторинга защищенности информационных ресурсов определены в Указе Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», к ним относятся:

• все субъекты критической информационной инфраструктуры;

• системообразующие организации российской экономики;

• стратегические предприятия и стратегические акционерные общества;

• государственные корпорации (компании) и иные организации, созданные на основании федеральных законов;

• государственные фонды;

• высшие исполнительные органы государственной власти субъектов РФ;

• федеральные органы исполнительной власти.

Также мониторинг проводится в отношении информационных ресурсов иных лиц, используемых обозначенными выше субъектами.

Под информационными ресурсами подразумеваются системы и сети, имеющие непосредственное подключение к сети «Интернет» и (или) сопряженные с сетью «Интернет» с использованием технологии трансляции сетевых адресов (в большинстве случаев это объекты критической информационной инфраструктуры):

• информационные системы;

• информационно-телекоммуникационные сети;

• автоматизированные системы управления.

Таким образом, в отношении систем и сетей не имеющих подключение к сети «Интернет» либо не сопряженных с ней мониторинг защищённости не осуществляется.

Ответ: подключение к технической инфраструктуре Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА) не является обязательным условием для проведения в отношении организации (в том числе в отношении субъекта критической информационной инфраструктуры) мониторинга защищенности, предусмотренного приказом ФСБ России от 11.05.2023 № 223 (далее – Приказ № 223).

При мониторинге защищенности используется информация, получаемая от инфраструктуры ГосСОПКА и иная информация, получаемая от субъектов мониторинга и в рамках проводимых мероприятий, предусмотренная п. 6 порядка, утверждённого Приказом № 223.

Ответ: да, допустимо. В соответствии с пунктом 29 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утверждены приказом ФСТЭК России от 25.12.2017 № 239), требования к уровням доверия предъявляются к средствам защиты информации, сертифицированным на соответствие требованиям по защите информации. Использование указанных средств допустимо при условии проведения для них дополнительной оценки соответствия в форме испытаний или приёмки в отношении тех требований, функций безопасности и мер доверия, для которых не действует сертификат соответствия ФСТЭК России и (или) ФСБ России (технические условия, техническое задание, задание по безопасности).

Ответ: в соответствии с пунктом 28 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утверждены приказом ФСТЭК России от 25.12.2017 № 239), для обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) должны применяться средства защиты информации (далее – СрЗИ), прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приёмки.

СрЗИ, не включённые в базовый набор мер защиты для соответствующей категории значимого объекта КИИ, подлежат оценке соответствия в случае, если они применяются для адаптации, дополнения или компенсирования базового набора мер и определены в рамках технического задания и технического проекта на подсистему безопасности значимого объекта КИИ. При использовании таких СрЗИ для реализации вспомогательных и (или) прикладных функциональных целей оценка соответствия не требуется.

Ответ: да, должен. В соответствии с пунктом 10 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утверждены приказом ФСТЭК России от 25.12.2017 № 239), требования к обеспечению безопасности значимого объекта критической информационной инфраструктуры (далее – КИИ), создаваемого в рамках объекта капитального строительства, задаются застройщиком и оформляются в виде приложения к заданию на проектирование (реконструкцию) объекта капитального строительства. Общие требования к информационной безопасности могут являться частью требований к инженерно-техническим решениям, перечисляемых в разделе «Требования к проектным решениям» задания на проектирование объекта капитального строительства (утверждено приказом Министерства строительства и жилищно-коммунального хозяйства Российской Федерации от 01.03.2018 № 125/пр), однако в таком случае требования к информационной безопасности будут относиться ко всей инфраструктуре планируемого объекта капитального строительства, в то время как требования к подсистеме безопасности значимого объекта КИИ должны быть определены обособленно.

Ответ: согласно пункту 8 статьи 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», к субъектам критической информационной инфраструктуры (далее – КИИ) относятся государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, (а также российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей), которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в одной из установленных сфер деятельности.

Для принятия решения об отнесении организации-инсорсера к субъектам КИИ необходимо оценить распределение функций при структурировании бизнес-процессов внутри холдинга, а также распределение прав на объекты КИИ.

В случае, если инсорсеру на правах собственности, аренды либо на ином законном основании принадлежат компоненты инфраструктуры, задействованные в выполнении критических процессов дочерних (зависимых) предприятий (к примеру, исторические серверы АСУ ТП), юридическое лицо (инсорсер) должно быть определено как субъект КИИ.

Если инсорсер выполняет функции по обслуживанию инфраструктурной составляющей объектов КИИ, разработке, сопровождению и (или) администрированию прикладного программного обеспечения объектов КИИ – к субъектам КИИ он не относится, однако в корпоративных договорных отношениях и в организационно-распорядительных документах сторон должны быть определены обязанности и распределение ролей по обеспечению безопасности объектов КИИ.

Ответ: помимо органов государственной власти, субъекты нормативно-правового регулирования по Указу Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – УП-166) установлены в рамках правового поля Федерального закона от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее – 223-ФЗ). Такой подход означает, что действие УП-166 распространяется на правоотношения, регулируемые 223-ФЗ, и на субъектов таких правоотношений, то есть на закупочную деятельность и закупщиков (заказчиков), обозначенных в части 2 статьи 1 223-ФЗ.

Действие 223-ФЗ распространяется на следующих заказчиков:

1.     Государственные корпорации, государственные компании, публично-правовые компании – организации общественной формы собственности (без частного участия), создаваемые и регулируемые в соответствии с отдельными федеральными законами.

2.     Государственные учреждения (в том числе автономные) и унитарные предприятия, осуществляющие закупки в системе 223-ФЗ.

3.     Субъекты естественных монополий – организации-монополисты, включенные в Реестр субъектов естественных монополий, публикуемый ФАС России.

4.     Организациями, осуществляющие регулируемые виды деятельности в сфере электроснабжения, газоснабжения, теплоснабжения, водоснабжения, водоотведения, очистки сточных вод, обращения с твердыми коммунальными отходами.

5.     Хозяйственные общества (акционерные общества, общества с ограниченной ответственностью), доля прямого или косвенного совокупного участия государства в которых, превышает 50 %. При этом государство может быть среди акционеров (участников) общества в лице другого хозяйственного общества или организации.

Установить долю участия государства в хозяйственных обществах с помощью публичных источников информации в настоящее время не всегда возможно. Наиболее простой способ определить, распространяется ли на акционерное общество или общество с ограниченной ответственностью действие УП-166, – уточнить в подразделении, осуществляющим закупочную деятельность, работает ли организация в системе закупок по 223-ФЗ.

Ответ: требования к программному обеспечению (далее – ПО) и правила согласования закупок иностранного ПО в рамках реализации Указа Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – УП-166) определены в постановлении Правительства РФ от 22.08.2022 № 1478 (далее – ПП-1478).

Федеральные органы исполнительной власти (далее – ФОИВ), с которыми необходимо согласовывать закупку иностранного ПО, распределены по сферам деятельности субъектов критической информационной инфраструктуры (далее – КИИ):

• Минздрав России – сфера здравоохранения. Росздравнадзор привлекается в рамках внутренних процедур согласования;

• Минобрнауки России – сфера науки;

• Минтранс России – сфера транспорта;

• Минцифры России –сфера связи;

• Минфин России – банковская сфера и иные сферы финансовых рынков. Банк России привлекается в рамках внутренних процедур согласования;

• Минэнерго России – сферы энергетики и топливно-энергетического комплекса;

• Минпромторг России – сферы горнодобывающей, металлургической, химической, ракетно-космической, оборонной промышленности, а также в сфера использования атомной энергии. Госкорпорация «Росатом» и госкорпорация «Ростех» привлекаются в рамках внутренних процедур согласования.

Общий порядок согласования закупки иностранного ПО с ФОИВ следующий:

1.     Заказчик направляет заявку о согласовании закупки в соответствующий ФОИВ (содержание таких заявок определено ПП-1478). При этом содержание заявки различается для сценариев закупки иностранного ПО и смежных услуг (либо смежных услуг и иностранного ПО).

2.     ФОИВ возвращает в течение 6 рабочих дней (5 дней на рассмотрение заявки и 1 день на направление уведомления) уведомление о соответствии заявки установленным требованиям и в течение 11 дней (8 дней на согласование и 3 дня на направление решения) после направления уведомления – решение о согласовании закупки либо об отказе в её согласовании.

3.     Заказчик направляет уведомление о согласовании закупки в Минцифры России в течение 10 рабочих дней после его получения от ФОИВ.

4.     Заказчик осуществляет закупку иностранного ПО и (или) смежных услуг в рамках Федерального закона от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» в соответствии с согласованной заявкой и решением ФОИВ.

Для согласования закупки с начальной (максимальной) ценой договора 100 млн. рублей и выше, ФОИВ, в рамках внутренних процедур, направляет заявку на рассмотрение комиссией при Минцифры России. Конечное решение принимает ФОИВ, с учётом протокола комиссии.

Ответ: исполнение приказа ФСТЭК России от 14.03.2014 № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» (далее – Приказ № 31) имеет декларативный характер. Это означает, что при принятии решения об исполнении Приказа № 31, субъект должен исполнить его в полном объёме, соответствующем профилю определенного класса защиты автоматизированной системы управления (далее – АСУ).

При этом абзацем 2 пункта 1 Приказа № 31 установлено, что для обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) должны использоваться требования приказов ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239.

Таким образом, требования Приказа № 31 допускается использовать для обеспечения безопасности объектов КИИ при соблюдении следующих условий:

1.     Объекты КИИ не имеют установленных категорий значимости.

2.     Владельцем АСУ и (или) уполномоченным лицом принято решение об обеспечении защиты информации, обработка которой осуществляется этой системой и нарушение безопасности которой может привести к нарушению функционирования АСУ.

Однако определение класса защищенности АСУ осуществляется в контексте негативных последствий в социальной, политической, экономической, военной или иных областях деятельности субъекта для критически важных, потенциально опасных объектов, а также объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. Сценарии таких последствий в большинстве случаев могут рассматриваться только для значимых объектов КИИ.

Исходя из вышеизложенного, можно сделать вывод о нежелательности применения Приказа № 31 в отношении объектов КИИ. В случае, если требования Приказа № 31 предъявляются контрагентом или субъектом, эксплуатирующим смежную с объектом КИИ инфраструктуру (АСУ, сети связи и пр.), рекомендуется запросить у предъявителя требований оценку степени возможного ущерба от нарушения или прекращения функционирования объекта КИИ и автоматизируемого им процесса и предоставить такую оценку на рассмотрение комиссии по категорированию.

Ответ: Министерством здравоохранения Российской Федерации
21 апреля 2021 года были выпущены Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения. В рамках методического документа сформированы общие рекомендации по порядку:

1.     Формирования перечня типовых бизнес-процессов, а также оценки критичности бизнес-процессов.

2.     Инвентаризации систем субъекта критической информационной инфраструктуры (далее – КИИ).

3.     Оценки участия объектов КИИ в бизнес-процессах.

4.     Расчета показателей критерии значимости объектов КИИ.

5.     Оформления результатов категорирования объектов КИИ, а также сведений о результатах категорирования.

6.     Обеспечения безопасности значимых объектов КИИ после завершения категорирования, в том числе по составу и перечню организационных мероприятий по созданию системы обеспечения информационной безопасности значимых объектов КИИ.

7.     Организации взаимодействия с центрами Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Кроме того, приложения к методическому документу содержат:

1.     Перечень типовых объектов КИИ, функционирующих в сфере здравоохранения.

2.     Рекомендации по формированию комиссии по категорированию объектов КИИ.

3.     Состав возможных инцидентов, которые могут возникнуть в результате реализации компьютерных атак на объекты КИИ.

4.     Варианты обоснования неприменимости критериев значимости, установленных постановлением Правительства Российской Федерации
от 08.02.2018 № 127 «Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации,
а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (далее – ПП-127).

5.     Иные справочные и методические материалы.

Стоит отметить, что на 2023 год, в связи с выходом ряда нормативных правовых актов, вносящих изменения в правила категорирования, методические рекомендации требуют актуализации и не могут быть в полной мере использованы субъектами КИИ для проведения категорирования. Так, к примеру, постановлением Правительства Российской Федерации от 20.12.2022 № 2360 внесены значительные изменения в правила категорирования объектов КИИ и перечень показателей критериев значимости, утвержденные ПП-127, в связи с этим рекомендуется производить процедуру категорирования объектов КИИ сферы здравоохранения и дальнейшее построение системы обеспечения информационной безопасности объектов КИИ с учетом методических рекомендаций, но с соблюдением требований приказов ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239, ПП-127 и Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Ответ: согласно положениям статьи 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ), к объектам критической информационной инфраструктуры (далее – КИИ) относятся информационные системы (далее – ИС), информационно-телекоммуникационные сети (далее – ИТС), автоматизированные системы управления (далее – АСУ) субъектов КИИ.

Согласно пункту 8 статьи 2 187-ФЗ, субъекты КИИ – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, (а также российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей), которым на праве собственности, аренды или на ином законном основании принадлежат ИС, ИТС, АСУ, функционирующие в одной из установленных сфер деятельности.

Согласно данным об интеллектуальных системах управления городом из открытых источников, такими системами могут выполняться в том числе следующие функции:

1.     Координация работы служб и ведомств в части автоматизации деятельности дежурных диспетчерских служб, а также работы подсистемы комплексного информирования и оповещения.

2.     Обеспечение функционирования подсистем экстренной связи, системы информирования и оповещения населения, а также мониторинга состояния инфраструктуры жилищно-коммунального комплекса, в том числе мониторинга состояния сети электроснабжения.

3.     Автоматизированное управление дорожным движением и обеспечением безопасности на транспорте.

4.     Мониторинг ключевых показателей окружающей среды, сейсмической и пожарной опасности.

Предварительный анализ планируемых к выполнению функций показывает, что интеллектуальные системы управления городом:

1.     Функционируют в сфере транспорта, так как выполняют в том числе функции по автоматизированному управлению дорожным движением и мониторингу обеспечения безопасности на транспорте.

2.     Функционируют в сфере энергетики, так как осуществляет функции по мониторингу состояния жилищно-коммунального комплекса, в том числе – сетей электроснабжения.

3.     По косвенным признакам могут функционировать в сфере связи, так как автоматизируют деятельность единой дежурной диспетчерской службы, а также работу подсистемы комплексного информирования и оповещения.

Следовательно, интеллектуальные системы управления городом могут являться объектами КИИ и подлежать категорированию как системы, автоматизирующие критические процессы в сферах связи, энергетики и транспорта.

В связи с высоким уровнем распределенности таких систем, большим количеством взаимодействующих организаций и сопрягаемых систем рекомендуется провести подробный анализ видов деятельности государственных органов и юридических лиц, эксплуатирующих системы либо их компоненты, на предмет принадлежности к субъектам КИИ, а также на предмет наличия критических процессов, нарушение которых может привести к рассматриваемым негативным последствиям согласно Правилам категорирования объектов КИИ РФ, утвержденным постановлением Правительства РФ от 08.02.2018 № 127.

Ответ: нет. Указ Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – УП-166) распространяется на органы государственной власти и заказчиков, являющихся субъектами критической информационной инфраструктуры (далее – КИИ). При этом УП-166 регулирует правоотношения в рамках закупочной деятельности и использования программного обеспечения только на значимых объектах КИИ.

Ответ: требования к программному обеспечению (далее – ПО), в том числе к ПО в составе программно-аппаратных комплексов, разрешенному к использованию органами государственной власти и заказчиками в рамках Федерального закона от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» установлены в соответствующем приложении к постановлению Правительства РФ от 22.08.2022 № 1478 (далее – ПП-1478).

Используемое на значимых объектах критической информационной инфраструктуры (далее – КИИ) ПО:

1.     Должно быть включено в один из двух реестров:

• Реестр российского ПО;

• Реестр евразийского ПО.

2.     Если ПО используется для обеспечения безопасности значимых объектов КИИ или для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах – должен быть сертификат соответствия требованиям к защите информации, установленным ФСТЭК России и (или) ФСБ России.

Ответ: требования Указа Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – УП-166) установлены в отношении заказчиков в рамках правового поля Федерального закона от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее – 223-ФЗ), а также в отношении органов государственной власти.

Если организация не является органом государственной власти и создаёт (модернизирует, обновляет лицензии программного обеспечения) свои значимые объекты критической информационной инфраструктуры не в рамках закупочной деятельности по 223-ФЗ – требования УП-166 на такую деятельность не распространяется.

Однако в большинстве случаев к закупочной деятельности в рамках указанных в вопросе нормативных правовых актов и к субъектам такой закупочной деятельности предъявляются иные ограничительные требования, устанавливаемые нормативными правовыми актами и (или) контрактами, договорами, соглашениями, в том числе требования к закупаемому программному обеспечению.

Ответ: согласно пункту 8 статьи 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», субъекты КИИ – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, (а также российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей), которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в одной
из установленных сфер деятельности.

В общем случае арендодатель не является субъектом КИИ, а также не несет ответственность за обеспечение безопасности объектов КИИ, за исключением ответственности, предусмотренной гражданско-правовым договором между арендодателем и арендатором. Субъект КИИ вправе обратиться к арендодателю с требованием об обеспечении физической безопасности арендуемого помещения, однако ответственность за обеспечение безопасности значимых объектов КИИ возложена приказом ФСТЭК России от 25.12.2017 № 239 непосредственно на субъекта КИИ (пункт 6 Требований по обеспечению безопасности значимых объектов КИИ РФ).

Ответ: согласно пункту 8 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26.06.1995 № 608, на который непосредственно ссылается пункт 14 Положения о системе сертификации средств защиты информации (далее – СрЗИ), утвержденного приказом ФСТЭК России от 03.04.2018 № 55, серийно производимое СрЗИ считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство, соответствует требованиям по безопасности информации и изготовитель (или) заявитель осуществляют его техническую поддержку. Таким образом, возможно использовать сертифицированное СрЗИ на значимом объекте критической информационной инфраструктуры по окончании действия сертификата соответствия при условии, что СрЗИ произведено в срок действия сертификата, а производителем (заявителем) СрЗИ осуществляется техническая поддержка. Информацию об окончании срока технической поддержки можно уточнить непосредственно у заявителя либо в Государственном реестре сертифицированных средств защиты информации ФСТЭК России.

Ответ: существует ряд стандартов и методических документов, устанавливающих требования к безопасной разработке программного обеспечения (далее – ПО) и смежным направлениям:

1.  ГОСТ Р ИСО/МЭК 15408-1-2012 «Критерии оценки безопасности информационных технологий. Введение и общая модель»,
   ГОСТ Р ИСО/МЭК 15408-2-2013 «Критерии оценки безопасности информационных технологий. Функциональные компоненты безопасности», ГОСТ Р ИСО/МЭК 15408-3-2013 «Критерии оценки безопасности информационных технологий. Компоненты доверия
   к безопасности» - в части основных понятий и требований, а также терминологии в области обеспечения безопасности ПО;

2. ГОСТ Р ИСО/МЭК 12207-2010 «Системная и программная инженерия. Процессы жизненного цикла программных средств» -
   в части требований, предъявляемых к организации процесса жизненного цикла разработки ПО, и типовых процессов;

3. ГОСТ Р 56939-2016 «Разработка безопасного программного обеспечения. Общие требования» - в части мер по разработке безопасного ПО;

4. ГОСТ Р 58412-2019 «Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения» - в части анализа угроз безопасности, которые могут возникнуть в процессе разработки ПО.

Также рекомендуется использовать методические документы и нормативные правовые акты, утвержденные контролирующими органами в соответствии с зонами их ответственности и устанавливающие требования по безопасности программных средств:

1. Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденные приказом ФСТЭК России от 02.06.2020 № 76.

2. Требования по безопасности информации к средствам виртуализации, утвержденные приказом ФСТЭК России от 27.10.2022 № 187.

3. Требования по безопасности информации к средствам контейнеризации, утвержденные приказом ФСТЭК России от 04.07.2022 № 118.

4. Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденная ФСТЭК России от 25.12.2020.

5. Профили защиты операционных систем, утвержденные ФСТЭК России и ранжированные по классам защиты.

6.  Профиль защиты прикладного ПО автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций, утвержденный Центральным банком Российской Федерации.

Стоит отметить, что на 2023 год техническим комитетом
по стандартизации «Защита информации» (ТК362) запланированы работы
по формированию проектов национальных стандартов по разработке безопасного ПО и смежным направлениям. В частности, планируется разработка и актуализация следующих проектов национальных стандартов:

1. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по оценке безопасности разработки программного обеспечения».

2. ОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению статического анализа программного обеспечения».

3. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Доверенный компилятор языков Си/Си++. Общие требования».

4. ГОСТ Р «Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность».

5. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Управление безопасностью программного обеспечения при использовании заимствованных и привлекаемых компонентов».

6. ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

7. Стандарты серии ГОСТ Р ИСО/МЭК 15408.

Ответ: общий порядок реализации требований к программному обеспечению (далее – ПО), внедряемому на значимом объекте критической информационной инфраструктуры (далее – КИИ) и выполняющему функции значимого объекта КИИ по назначению, следующий:

1. Определение применимости требований по безопасной разработке.

При создании (модернизации, реконструкции, ремонта) значимого объекта КИИ определить производятся ли изменения в части ПО, обеспечивающего выполнение функций объекта КИИ по назначению – то есть выявить изменения, подпадающие под требования п. 29.3 приказа ФСТЭК России от 25.12.2017 № 239 (далее – Приказ № 239). В случае, если внедряется специальное ПО, необходимое для выполнения функций объекта КИИ, то требования к безопасной разработке такого ПО являются обязательными к исполнению.

2. Определение ролей и функций сторон выполнения требований.

При внедрении ПО, обеспечивающего выполнение функций объекта КИИ, необходимо определить и документально закрепить роли и обязанности сторон, участвующих в процессе разработки ПО – разработчика ПО, лица, выполняющего работы по созданию (модернизации) значимого объекта КИИ и (или) обеспечению его безопасности, и субъекта КИИ, которому на законном основании принадлежит объект КИИ. Зоны ответственности могут быть определены в техническом задании на разработку, внедрение или модернизацию ПО (объекта КИИ), а также в соответствующих договорах между сторонами.

3. Формирование руководства по безопасной разработке.

В качестве методического документа для разработки руководства
по безопасной разработке ПО рекомендуется использовать
ГОСТ Р 56939-2016 и выполнить следующие этапы:

• проанализировать требования к ПО, используя Приказ № 239, профили защиты ФСТЭК России и отраслевые стандарты;

• регламентировать процессы: проектирования архитектуры ПО; написания кода и сборки ПО; квалификационного тестирования ПО; приемки и инсталляции ПО; эксплуатации ПО; обеспечения безопасности среды разработки; обучения сотрудников.

4. Анализ угроз безопасности.

Необходимо выполнить моделирование угроз безопасности информации (далее – УБИ), которые могут возникнуть вследствие применения ПО, для выявления потенциальных УБИ и обоснования требований
по безопасности, а именно:

• построить схему информационных потоков ПО;

• определить потенциальные угрозы с учетов информационных потоков и применяемых сервисов;

• определить меры нейтрализации угроз;

• определить процедуру пересмотра модели угроз при обнаружении новых угроз или изменении архитектуры ПО.

В качестве источников информации может быть использован банк данных УБИ ФСТЭК России, публикации проекта OWASP, MITRE ATT&CR Matrix и иные.

5. Разработка проекта архитектуры ПО.

В рамках проекта архитектуры ПО должны быть описаны и определены:

• процедура безопасной инициализации ПО;

• структура ПО на уровне подсистем и модулей ПО;

• порядок реализации функций ПО для каждой подсистемы;

• назначение и способы использования интерфейсов для каждой функции ПО;

• используемые сторонние компоненты ПО;

• процедуры пересмотра и актуализации проекта архитектуры ПО.

6. Внедрение регулярных процедур статического анализа кода, динамического анализа кода и фаззинг-тестирования.

7. Регламентация отслеживания и исправления обнаруженных ошибок и уязвимостей ПО.

8. Оценка выполнения требований по безопасности, предъявляемых к программным и программно-аппаратным средствам, в рамках предварительных испытаний подсистемы безопасности значимого объекта КИИ.

Ответ: да. Соответствующие виды деятельности относятся к сфере здравоохранения (сфера деятельности субъектов критической информационной инфраструктуры (далее – КИИ) в соответствии с п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»).

К организациям сферы здравоохранения относятся юридические лица, деятельность которых лицензируется и (или) является подконтрольной Минздраву РФ или иных органов исполнительной власти в его ведении.

Организации, в рамках хозяйственной деятельности осуществляющие производство и (или) дистрибуцию лекарственных (фармацевтических) средств, осуществляют деятельность, лицензируемую Росздравнадзором. Определить, выполняет ли организация соответствующие виды деятельности можно используя разделы «Сведения о видах экономической деятельности по Общероссийскому классификатору видов экономической деятельности» и «Сведения о лицензиях» выписки из Единого государственного реестра юридических лиц (ЕГРЮЛ) по обследуемой организации:

•  виды деятельности по производству и дистрибуции лекарственных (фармацевтических) средств: 20.Х, 46.18.Х, 46.46.Х, 47.73;

•  соответствующие лицензии: «Производство лекарственных средств», «Фармацевтическая деятельность».

Также перечень организаций сферы здравоохранения определен в целях методических рекомендаций по категорированию объектов КИИ (утверждены Заместителем Министра здравоохранения РФ 05.04.2021), к таким организациям, в том числе, относятся:

• «Организации, осуществляющие фармацевтическую деятельность (оптовая торговля лекарственными средствами, хранение лекарственных средств и препаратов, перевозка лекарственных средств и препаратов, розничная торговля лекарственными препаратами, отпуск лекарственных препаратов, изготовление лекарственных препаратов для медицинского применения).»

Ответ: на усмотрение субъекта критической информационной инфраструктуры. Пометка ограничения доступа проставляется в соответствии с утвержденными в организации требованиями по конфиденциальному делопроизводству и соответствующим режимом коммерческой тайны. К большей части коммерческих и некоммерческих организаций применимы два вида ограничительных пометок – «Конфиденциально» и «Коммерческая тайна», пометка «Для служебного пользования» в данном случае неприменима.

Ответ: требования к безопасной разработке прикладного программного обеспечения (далее – ПО) значимых объектов критической информационной инфраструктуры (далее – КИИ) были введены в действие приказом ФСТЭК России от 20.02.2020 № 35 (далее – Приказ № 35).

В соответствии с п. 3 Приказа № 35 требования к безопасной разработке вступают в силу с 1 января 2023 г., т.е. уже действуют. П. 29.3 приказа ФСТЭК России от 25.12.2017 № 239 установлено, что требования распространяются на значимые объекты КИИ при их создании, модернизации, реконструкции или ремонте.

Таким образом, требования не распространяются на прикладное ПО значимых объектов КИИ, введенных в эксплуатацию до 01.01.2023, при сохранении аппаратно-программной конфигурации (архитектуры) таких объектов и их подсистем безопасности, функционального назначения (в том числе влияния на критические процессы) и условий эксплуатации.

Ответ: п. 7 приказа ФСТЭК России от 25.12.2017 № 239 (далее – Приказ № 239) косвенно устанавливает признаки модернизации объектов критической информационной инфраструктуры (далее – КИИ) для целей соответствующего приказа. Модернизацией считается изменение архитектуры значимого объекта КИИ, в том числе подсистемы его безопасности, в соответствии с отдельным техническим заданием (далее – ТЗ) на модернизацию значимого объекта КИИ и (или) ТЗ (частным ТЗ) на модернизацию подсистемы безопасности такого объекта.

Соответственно, при существенном изменении аппаратно-программной конфигурации (архитектуры технических средств и систем, условий их эксплуатации и пр.), порядка взаимодействия значимого объекта КИИ с другими техническими средствами и системами (в том числе с сетью Интернет), при изменении функционала и целевого использования (участия в критических процессах) такого объекта, необходимо разработать ТЗ на модернизацию, включающее, в том числе, требования к выполнению п. 29.3 Приказа № 239. Требования к содержанию ТЗ на модернизацию значимого объекта КИИ установлены п. 10 Приказа № 239.

Ответ: процедура поддержки программного обеспечения (далее – ПО) реализуется на стороне разработчика и (или) лица, осуществляющего сопровождение ПО после разработки. Для выполнения требований к поддержке безопасности ПО, внедренного на значимом объекте критической информационной инфраструктуры и обеспечивающего выполнение его основных функций, необходимо регламентировать процедуры отслеживания и исправления обнаруженных ошибок и уязвимостей в таком ПО. В частности, в документации разработчика ПО должны быть определены:

• сотрудники, ответственные за прием сообщений об ошибках и уязвимостях ПО от пользователей;

• порядок поиска уязвимостей ПО с помощью автоматических сканеров анализа защищенности и контроля зависимостей;

• способы связи для сообщения об ошибках и уязвимостях ПО (электронная почта, форма на сайте, горячая линяя);

• порядок идентификации и классификации недостатков;

• описание процедуры устранения недостатков и выпуска обновлений, в том числе должны быть определены процедуры экстренного устранения недостатков;

• порядок информирования пользователей о новых обновлениях ПО, обнаруженных уязвимостях или об окончании поддержки ПО, например, средствами самого ПО, через почтовую рассылку или официальный сайт разработчика.

Ответ: анализ угроз безопасности информации (далее – УБИ), которые могут возникнуть вследствие применения программного обеспечения
(далее – ПО), в общем случае рекомендуется производить в соответствии
с положениями методического документа ФСТЭК России от 05.02.2021 «Методика оценки угроз безопасности информации». Среди основных задач моделирования УБИ можно выделить:

• определение негативных последствий, которые могут наступить от реализации (возникновения) УБИ;

• инвентаризацию информационных потоков ПО, определение возможных объектов воздействия УБИ;

• определение источников УБИ и оценку возможностей нарушителей по реализации УБИ;

• оценку способов реализации УБИ;

• оценку возможности реализации УБИ и определение актуальности УБИ;

• оценку сценариев реализации УБИ.

Анализ может производиться с использованием методик и средств моделирования угроз:

1. STRIDE.

2. OWASP.

3. Agile Threat Modeling Toolkit и др.

В качестве источников информации используются: банк данных УБИ ФСТЭК России; публикации проекта OWASP; MITRE ATT&CK Matrix; CWE top 25; ГОСТ Р 58412-2019 и др.

Ответ: нет, необходимо направлять полные сведения по форме, утвержденной приказом ФСТЭК от 22.12.2017 № 236 (Сведения).

Согласно пункту 19(1) постановления Правительства Российской Федерации от 08.02.2018 № 127, в случае изменения Сведений, субъект критической информационной инфраструктуры (далее – КИИ) должен направить в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ (ФСТЭК России), новые сведения в печатном и электронном виде «не позднее 20 рабочих дней со дня их изменения по форме, предусмотренной пунктом 18 Правил».

Такой формой является форма, утвержденная Приказом ФСТЭК России от 22.12.2017 № 236.

Ответ: п. 29.4 приказа ФСТЭК России от 25.12.2017 № 239 (далее –Приказ № 239) установлено 3 роли по реализации требований к безопасной разработке прикладного программного обеспечения (далее – ПО) значимых объектов критической информационной инфраструктуры (далее – КИИ):

• разработчик прикладного ПО – осуществляет непосредственную реализацию требований к безопасной разработке прикладного ПО в соответствии с п. 29.3 Приказа № 239;

• лицо, выполняющее работы по созданию (модернизации, реконструкции или ремонту) значимого объекта КИИ и (или) обеспечению его безопасности – осуществляет оценку соответствия материалов и документов, представляемых разработчиком, требованиям технического задания (частного технического задания) на соответствующие работы;

• субъект КИИ – получает оценку соответствия прикладного ПО требованиям технического задания (частного технического задания), в том числе в части соответствия п. 29.3 Приказа № 239, от лица, осуществляющего работы по созданию (модернизации, реконструкции или ремонту) значимого объекта КИИ.

Разработчиком прикладного ПО может быть как субъект КИИ, так и сторонняя организация, обладающая достаточным опытом, в том числе в части реализации процессов безопасной разработки. Субъект КИИ может снизить регуляторные- (комплаенс-) риски за счет привлечения к процессам создания (модернизации, реконструкции или ремонта) лицензиата ФСТЭК России (в части обеспечения безопасности), в таком случае гражданско-правовая ответственность за качество проведения оценки соответствия прикладного ПО и достаточность мер для исполнения п. 29.3 будет на лицензиате.

Ответ: постановлением Правительства от 20.12.2021 № 2360 пункт 10 Правил категорирования, утв. постановлением Правительства РФ от 08.02.2018 № 127, дополнен подпунктом «ж», в соответствии с которым, отраслевым регуляторам по согласованию со ФСТЭК России дано право формировать перечни типовых отраслевых объектов критической информационной инфраструктуры (КИИ), которые должны будут учитываться субъектами КИИ как исходные данные при проведении категорирования.

Соответствующий перечень может быть сформирован по решению отраслевого регулятора, в его состав будут включаться автоматизированные системы управления, информационные системы, информационно-телекоммуникационные сети, которые, по мнению отраслевого регулятора, являются типовыми для сферы деятельности субъектов КИИ и должны быть рассмотрены в качестве объектов КИИ при проведении категорирования.

Например, ранее в приложении 4 к Методическим рекомендациям по категорированию объектов КИИ сферы здравоохранения (утверждены заместителем Министра здравоохранения 05.04.2020) был приведен подобный перечень для организаций сферы здравоохранения:

- федеральные государственные информационные системы в сфере здравоохранения;

- государственные информационные системы сферы здравоохранения субъектов Российской Федерации;

- информационные системы фармацевтических организаций;

- автоматизированные системы управления технологическими процессами лечения пациентов;

- программно-аппаратные медицинские комплексы;

- медицинские информационно-справочные системы и т.д.

При издании типового перечня объектов КИИ в соответствующей сфере деятельности, субъекту КИИ необходимо будет оценить, все ли системы из утвержденного перечня учтены при проведении категорирования и, при необходимости, провести категорирование в отношении ранее не учтенных типовых систем.

Ответ: да, но проводить повторную оценку показателей критериев значимости требуется с установленной периодичностью либо при определенных условиях.

Действительно, постановлением Правительства от 20.12.2021 № 2360 был скорректирован пункт 19(1) Правил категорирования, утв. постановлением Правительства РФ от 08.02.2018 № 127 (Правила категорирования). Теперь субъекты критической информационной инфраструктуры (КИИ) должны направлять регулятору сведения по форме приказа ФСТЭК России от 22.12.2017 № 236 в случае изменения любого пункта из их состава, в том числе из того, что не было предусмотрено ранее:

- возможные последствия в случае возникновения компьютерных инцидентов;

- категория значимости, сведения об отсутствии необходимости присвоения такой категории и результаты оценки показателей критериев значимости;

- организационные и технические меры защиты объекта КИИ или сведения об отсутствии необходимости их применения.

При этом в соответствии с пунктом 21 Правил категорирования требуется направление регулятору сведений по форме приказа ФСТЭК России от 22.12.2017 № 236 в случае изменения категории значимости с условием пересмотра установленных категорий значимости не реже одного раза в 5 лет или при изменении показателей критериев значимости.

Решение о присвоении категории значимости принимается комиссией по категорированию и фиксируется в акте категорирования, при этом пунктом 16 Правил категорирования установлен состав акта категорирования, который включает:

- сведения об объекте КИИ;

- сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости ее присвоения.

Таким образом, можно сделать вывод, что пунктом 21 Правил категорирования установлено требование к частоте и условиям пересмотра решения о присвоении категории значимости объекту КИИ (переиздания акта категорирования), а актуализация сведений, предусмотренная пунктом 19 (1) может проводиться без привлечения комиссии по категорированию (например, ответственным за обеспечение безопасности объектов КИИ).

Пересмотр установленных категорий значимости требуется в следующих случаях:

- по прошествии 5 лет с даты категорирования объекта КИИ;

- при существенном изменении условий функционирования объекта КИИ (переоценка социально-экономических, экологических и других рисков в декларации промышленной безопасности опасного производственного объекта, декларации безопасности гидротехнического сооружения, паспорте безопасности объекта топливно-энергетического комплекса и т.д.);

- при наступлении компьютерных инцидентов на объекте КИИ, повлекших последствия, выходящие за границы оценки масштаба возможных последствий при проведенном ранее категорировании;

- при законодательном изменении Перечня показателей критериев значимости, утв. постановлением Правительства РФ от 08.02.2018 № 127, касающимся показателей, применимых к объекту КИИ.

Ответ: состав информации, которую могут запрашивать ведомственные регуляторы и подведомственные им организации при осуществлении мониторинга, предусмотренного пунктом 19(2) Правил категорирования, утв. постановлением Правительства РФ от 08.02.2018 № 127 (Правила категорирования), ограничен. В соответствии с положением этого же пункта и пункта 17 Правил категорирования к такой информации относятся:

- сроки предоставления сведений о результатах категорирования во ФСТЭК России (копию исходящего письма или иные свидетельства);

- сведения об объекте критической информационной инфраструктуры (КИИ);

- сведения о субъекте КИИ;

- сведения о взаимодействии объекта КИИ и сетей электросвязи;

- сведения о лице, эксплуатирующем объект КИИ;

- сведения о составе объекта КИИ;

- сведения об актуальных угрозах;

- возможные последствия в случае возникновения компьютерных инцидентов;

- категория значимости, сведения об отсутствии необходимости присвоения такой категории и результаты оценки показателей критериев значимости;

- организационные и технические меры защиты объекта КИИ или сведения об отсутствии необходимости их применения

- информация, подтверждающая актуальность и достоверность сведений, указанных выше (проектная, рабочая и эксплуатационная документация, паспорта объектов КИИ, приказ о назначении ответственного за обеспечение безопасности и его должностная инструкция, договоры с провайдерами связи, данные об инвентаризации ИТ-активов объектов КИИ, модели угроз, протоколы и сертификаты оценки соответствия средств защиты информации и т.д.).

Предоставление иной информации – не требуется. Если ведомственные регуляторы или подведомственные им организации запрашивают иную информацию, рекомендуем сформировать и направить им встречный запрос о целях сбора информации, так как такой сбор избыточен и противоречит пунктам 17, 19(2) Правил категорирования.

Ответ: да, после внесения изменений, абзацем 3 пункта 19(2) Правил категорирования, утв. постановлением Правительства РФ от 08.02.2018 № 127 (Правила категорирования), предусмотрено осуществление мониторинга актуальных и достоверных сведений, указанных в пункте 17 Правил категорирования, «…путем ознакомления с объектами критической информационной инфраструктуры по месту их нахождения», что означает право очного присутствия при проведении соответствующих мероприятий.

Ответ: рекомендуем организовать непрерывную актуализацию сведений о результатах категорирования в соответствии с пунктом 19(1) Правил категорирования как соответствующий бизнес-процесс:

- требование к актуализации и ее порядок, учитывающие сроки, должны быть определены в организационно-распорядительной документации;

- должны быть назначены ответственные лица (по части направления информации об изменениях, ее агрегирования, подготовки Сведений по форме приказа ФСТЭК России от 22.12.2017 № 236, их подписания и направления во ФСТЭК России);

- должны быть созданы условия для возможности такой актуализации (назначено уполномоченное лицо по информационной безопасности, исключена лишняя информация из формы акта категорирования).

Ответ: да, но не всем субъектам критической информационной инфраструктуры (КИИ):

1. В случае, если ранее рассчитанные значения показателей ниже вновь установленных границ (для показателя № 9), если вновь введенные и измененные показатели не касаются деятельности субъекта КИИ (показатели № 3, 5, 8, 10, 10(Х)), – достаточно издать протокол комиссии по категорированию и зафиксировать, что изменения в Перечне показателей критериев значимости, утв. постановлением Правительства РФ от 08.02.2018 № 127 (Перечень показателей критериев значимости), не влияют на ранее принятое решение о присвоении объектам КИИ категорий значимости (либо об отсутствии необходимости их присвоения).

2. В случае, если требуется расчет вновь введенных и измененных показателей (3, 5, 8, 10(Х), 13) или ранее рассчитанное значение для показателя № 9 теперь соответствует какой-либо новой категории значимости, требуется провести повторные расчеты, издать акты категорирования по соответствующим объектам КИИ, актуализированные Сведения по форме приказа ФСТЭК России от 22.12.2017 № 236, включающие актуализированные расчеты, направить во ФСТЭК России в течение 20 дней после издания актов.

Ответ: при оценке показателя № 3 из Перечня показателей критериев значимости, утв. постановлением Правительства РФ от 08.02.2018 № 127 (Перечень показателей критериев значимости), а также при определении объектов критической информационной инфраструктуры (КИИ) и их границ, рекомендуется отталкиваться от следующих установок:

1. Оценка показателя осуществляется в отношении объектов КИИ, участвующих в деятельности субъекта КИИ по оказанию транспортных услуг и (или) деятельности, от которой зависит транспортное сообщение внутри или между административно-территориальными единицами.

2. По возможности, необходимо группировать объекты КИИ в целостную систему автоматизации тех или иных критических процессов транспортной инфраструктуры (включать системы автоматизации транспортных средств в более крупные, инфраструктурные системы).

3. Оценивать показатель в отношении транспортного сообщения, маршрута или маршрутной сети в целом (не в отношении отдельных транспортных средств, обслуживающих соответствующие транспортное сообщение, маршрут или маршрутную сеть):

- при оценке показателя № 3(а) учитывать установленный статус транспортного сообщения или маршрута: городское, пригородное, междугороднее сообщение; муниципальный, межмуниципальный, межрегиональный маршрут;

- при оценке показателя № 3(б) учитывать последствия (пассажиропоток) по маршруту или маршрутной сети в целом (при условии, что при прекращении или нарушении функционирования отдельного транспортного средства есть возможность использования альтернативных транспортных средств соответствующего маршрута).

Ответ: показатель № 13 из Перечня показателей критериев значимости, утв. постановлением Правительства РФ от 08.02.2018 № 127 (Перечень показателей критериев значимости), применим только к организациям оборонно-промышленного комплекса (ОПК). Показатель № 8 применим к некоторым типам организаций, в том числе к организациям ОПК.

Перечень организаций ОПК ограничен Сводным реестром организаций оборонно-промышленного комплекса, утверждаемым приказом Министерства промышленности и торговли Российской Федерации (последний приказ от 18.05.2022 № 1981) и переиздаваемым ежегодно. Уточнить, включена ли организация в соответствующий реестр можно в бухгалтерии (или ином учетном структурном подразделении) или путем направления официального запроса в Минпромторг России.

Ответ: нет, при изменении границ показателя, по которому ранее была присвоена та или иная категория значимости, требуется заново провести оценку значений показателя экономического критерия значимости и, при необходимости, пересмотр установленной ранее категории.

При этом стоит учитывать:

- возможность оценки последствий от компьютерного инцидента на объекте критической информационной инфраструктуры (КИИ) в отношении автоматизируемых операций, процедур критического процесса, а не вида деятельности или показателей экономической деятельности субъекта КИИ в целом;

ежегодное увеличение прогнозируемого годового дохода федерального бюджета (последние показатели установлены статьей 1 Федерального закона от 05.12.2022 № 466-ФЗ «О федеральном бюджете на 2023 год и на плановый период 2024 и 2025 годов»).

Ответ: формулировки «менее или равно…», «более 0…» в показателях № 10, 10(1), 10(2), 13 Перечня показателей критериев значимости, утв. постановлением Правительства РФ от 08.02.2018 № 127, подразумевают необходимость присвоения объектам критической информационной инфраструктуры (КИИ) как минимум 3 категории значимости при определенных условиях:

- показатель № 10 – принадлежность субъекта КИИ к финансовым организациям, указанным в описании показателя, а также участие объекта КИИ в технологических процессах по переводу денежных средств (такие процессы являются критическими по показателю № 10);

- показатель № 10(1) – принадлежность субъекта КИИ к центральным контрагентам, а также участие объекта КИИ в технологических процессах по исполнению обязательств субъекта КИИ в качестве центрального контрагента;

- показатель № 10(2) – субъект КИИ – НКО АО НРД, а объект КИИ участвует в технологических процессах по проведению учетно-расчетных операций;

- показатель № 13 – принадлежность субъекта КИИ к организациям оборонно-промышленного комплекса (ОПК), а также участие объекта КИИ в процессах выполнения государственного оборонного заказа (ГОЗ) и возможность нарушения таких процессов при компьютерных инцидентах на объекте КИИ.

Если указанные выше условия по показателям не выполняются, комиссия по категорированию вправе принять решение об отсутствии необходимости присвоения объектам КИИ категории значимости по соответствующим показателям.

Ответ: однозначно ответить на такой вопрос нельзя.

Чтобы понять, является ли компания субъектом КИИ, необходимо проанализировать учредительные документы компании (как правило Устав), виды деятельности, указанные в Едином государственном реестре юридических лиц (ЕГРЮЛ) и документы, дающие право на осуществление определенных видов деятельности (лицензии, сертификаты). Затем при помощи Общероссийского классификатора видов экономической деятельности (ОКВЭД-2) определить сферу функционирования компании. При наличии видов деятельности в сферах, указанных в Федеральном законе от 26.07.2017 № 187-ФЗ (187-ФЗ), необходимо проанализировать, имеются ли в компании на любом законном основании информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и (или) автоматизированные системы управления (АСУ), обеспечивающие критические процессы. Критические процессы – те процессы, нарушение функционирования которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

На примере МФЦ Свердловской области в выписке из ЕГРЮЛ можно найти следующие виды деятельности:

• 53.20.3 Деятельность курьерская – сфера транспорта из 187-ФЗ;
• 61.10.4 Деятельность в области документальной электросвязи – сфера связи из 187-ФЗ;
• 66.19 Деятельность вспомогательная прочая в сфере финансовых услуг, кроме страхования и пенсионного обеспечения – сфера финансовых рынков.

Поверхностный анализ нескольких видов деятельности показывает, что невозможно однозначно сделать вывод об отнесении / неотнесении организации к субъектам КИИ. Для корректного вывода требуется более глубокий анализ имеющихся лицензий, процессов организации, выявление критических процессов, уточнение последствий при нарушении нормального функционирования имеющихся ИС.

Исходя из того, что сложно дать однозначный ответ про причастность организации к субъектам КИИ, мы рекомендуем провести анализ всех видов деятельности и процессов организации, сделать вывод о наличии/отсутствии критических процессов и, соответственно, объектов КИИ. При отсутствии критических процессов рекомендуется такое решение зафиксировать документально. Для этого в организации создается комиссия, которая проводит работу по определению принадлежности организации к субъектам КИИ и принимает мотивированное решение. Данный документ хранится у организации для ответа на вопросы от регулирующих органов о проведенных процедурах во исполнение 187-ФЗ, направление его во ФСТЭК России не требуется.

При наличии таких критических процессов и объектов КИИ – рекомендуется проводить категорирование в соответствии с постановлением Правительства РФ от 08.02.2018 № 127 (127-ПП).

Предварительно, на основании общедоступной информации, можем предположить, что в МФЦ следует детально проанализировать такую систему, как сайт, через который клиенты формируют запросы на те или иные государственные услуги через МФЦ. Предполагаем, что нарушение нормального функционирования сайта может привести к одному из последствий, указанному в 127-ПП – «Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов)».

Возможно, что в организации также есть иные системы, которые функционируют в сферах из 187-ФЗ, нарушение функционирования которых может привести к негативным последствиям, предусмотренным 127-ПП.

Ответ: в части уполномоченного лица – да, заместитель руководителя, ответственный за обеспечение информационной безопасности (ЗГД по ИБ) может быть уполномоченным лицом в части деятельности по исполнению Федерального закона от 26.07.2017 № 187-ФЗ (187-ФЗ) , более того, это крайне желательно. Чтобы быть уполномоченным лицом по исполнению требований 187-ФЗ достаточно наличие доверенности на осуществление соответствующей деятельности от имени субъекта КИИ. При этом подпунктом «а» пункта 1 Указа президента РФ от 01.05.2022 № 250 (250-УП) требуется «возложить на заместителя руководителя органа (организации) полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты», что подразумевает выпуск общей доверенности по информационной безопасности.

В части назначения ЗГД по ИБ ответственным за обеспечение безопасности значимых объектов критической информационной инфраструктуры (КИИ) – да, это возможно. ЗГД по ИБ может быть ответственным за безопасность значимых объектов КИИ. Функции ЗГД по ИБ и требования к его образованию, установленные в рамках Типового положения ЗГД по ИБ, утв. постановлением Правительства от 15.07.2022 № 1272 (1272-ПП), не противоречат приказу ФСТЭК России от 25.12.2017 № 235, однако в должностную инструкцию помимо, требований Типового положения, необходимо добавить дополнительные задачи, функции, обязанности, связанные с исполнением соответствующей роли. Также необходимо учесть, что подпунктом «б» пункта 1 250-УП требуется наличие «структурного подразделения, осуществляющего функции по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты», которым может быть группа/бюро/отдел информационных технологий (в случае отсутствия профильного подразделения и (или) ресурсов на его создание).

Подход по назначению ЗГД по ИБ ответственным за обеспечение безопасности значимых объектов КИИ рекомендуем только для небольших организаций.

Ответ: действительно, постановлением Правительства от 24.12.2021 № 2431 внесены изменения в Правила категорирования, в том числе в части необходимости уведомления ФСТЭК России, путем направления Сведений о результатах категорирования в течение 20 дней, в следующих случаях:

• изменение сведений об объекте критической информационной инфраструктуры (КИИ) – например, изменение его архитектуры или мест расположения его компонентов;
• изменение сведений о субъекте КИИ – например, изменение лиц, уполномоченных/ответственных за безопасность значимых объектов КИИ;
• изменение сведений о взаимодействии объекта КИИ и сетей электросвязи – например, при подключении объекта КИИ к сети Интернет или изменении провайдера;
• изменение сведений о лице, эксплуатирующем объект КИИ, – например, при заключении договора с новым подрядчиком или клиентом (при предоставлении соответствующих услуг);
• изменение сведений о составе объекта КИИ (в том числе о составе применяемых средств защиты информации или изменении информации об их оценке соответствия требованиям информационной безопасности);
• изменение сведений об актуальных угрозах – например, при подключении объекта КИИ к сети Интернет.

Для упрощения процесса формирования и направления во ФСТЭК России изменений в Сведениях, рекомендуем:

1. Определить роли, ответственные за уведомление об изменении Сведений об объектах КИИ, способ такого уведомления и уведомляемых сотрудников (структурного подразделения по безопасности объектов КИИ) – роли можно определить приказом субъекта КИИ или внесением изменений в должностные инструкции. При этом к таким ролям можно отнести как представителей ИТ- и ИБ- подразделений, так и «держателей» договоров с эксплуатантами объекта КИИ и других лиц.
2. Определить ответственного за подготовку и направление во ФСТЭК России уточненных Сведений.
3. Назначить лицо, уполномоченное действовать от имени субъекта КИИ по вопросам исполнения требований Федерального закона от 26.07.2017 № 187-ФЗ (187-ФЗ), для упрощения процедуры подписания Сведений.
   Примечание: в соответствии с подпунктом «а» пункта 1 Указа президента РФ от 01.05.2022 № 250 выделение должности заместителя руководителя субъекта КИИ по безопасности и возложение на него полномочий по обеспечению информационной безопасности является обязательным требованием.
4. Скорректировать (при необходимости) акт категорирования объектов КИИ, оставив в нем только минимально необходимые сведения об объекте КИИ.
   Примечание: в соответствии с пунктом 16 Правил категорирования, утвержденных 127-ПП акт категорирования «должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий». Исходя из этого, информацию пунктов 2-7, 9 Сведений указывать в акте категорирования необязательно, напротив, такая информация может быть предметом предписаний со стороны ФСТЭК России при проведении государственного контроля (при ее несоответствии направленным ранее или уточненным Сведениям, фактическому описанию объектов КИИ).

Ответ: да, никаких препятствий для этого нет, более того, подпунктом «д» пункта 11 Типового положения заместителя руководителя, ответственного за обеспечение информационной безопасности (ЗГД по ИБ), утв. постановлением Правительства от 15.07.2022 № 1272 (1272-ПП), установлено, что ЗГД по ИБ «осуществляет руководство структурным подразделением органа (организации), обеспечивающим информационную безопасность органа (организации)», что подразумевает прямое административное подчинение отдела по ИБ ЗГД по ИБ или руководство им (не должно быть промежуточных структурных подразделений или при их наличии должно быть организовано двойное подчинение). При этом пункт 3 Положения об отделе ИБ, утв. 1272-ПП, противоречит предыдущему требованию «Подразделение подчинено заместителю руководителя органа (организации), ответственному за обеспечение информационной безопасности в органе (организации), либо иным лицам из состава руководства органа (организации) при условии осуществления курирования со стороны руководителя органа (организации)».

На крупных предприятиях зачастую применяется практика совмещения смежных должностей для локализации компетенций и экономии кадрового ресурса (например ЗГД по качеству – Начальник отдела ОТК, ЗГД по инновациям и развитию – Руководитель проектного офиса и т.п.), аналогичную практику можно применять в т.ч. для минимизации комплаенс-риска: ЗГД по ИБ – Начальник отдела ИБ.

Ответ: в соответствии с подпунктом «а» пункта 1 Указа президента РФ от 01.05.2022 № 250 требуется «возложить на заместителя руководителя органа (организации) полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты», уполномоченные лица это лица, имеющие право действовать от имени юридического лица. С учетом законодательства о критической информационной инфраструктуры (КИИ), в котором зачастую упоминаются функции уполномоченного лица, и жестких требований к заместителю руководителя, ответственному за обеспечение информационной безопасности в соответствующем типовом положении, утв. постановлением Правительства от 15.07.2022 № 1272, мы рекомендуем субъектам КИИ выпуск соответствующей доверенности в части функций информационной безопасности и исполнения законодательства о КИИ.

Ответ: требования к образованию установлены разделом II Типового положения заместителя руководителя, ответственного за обеспечение информационной безопасности (ЗГД по ИБ), утв. постановлением Правительства от 15.07.2022 № 1272 (1272-ПП). К основным требованиям относятся:

1. Наличие высшего образования:

• по направлению обеспечения информационной безопасности (не ниже уровня специалитета, магистратуры);
• по другому направлению или бакалавриата по направлению «Информационная безопасность» при условии дополнительного прохождения профессиональной переподготовки по направлению «Информационная безопасность».

2. Периодическое прохождение курсов повышения квалификации.

При этом в случае необходимости прохождения профессиональной переподготовки по направлению «Информационная безопасность», в соответствии с приказом Минобрнауки России от 19.10.2020 № 1316, такие программы должны быть:

• продолжительностью не менее 360 часов;
• согласованы с ФСТЭК России и (или) ФСБ России (в зависимости от темы профессиональной переподготовки).

Рекомендуем уточнять о соответствии программ установленным требованиям в учебном заведении, перед прохождением обучения.

Ответ: требования Указа президента РФ от 01.05.2022 № 250 обязательны для выполнения, постановление Правительства от 15.07.2022 № 1272 утверждает типовые положения, что подразумевает внесение в них тех или иных изменений в зависимости от корпоративного контекста (например внесение дополнений по приказу ФСТЭК России от 25.12.2017 № 235 в части обязанностей сил обеспечения безопасности объектов критической информационной инфраструктуры (КИИ) или исключение каких-либо пунктов при фактическом несоответствии или недостатке ресурсов).

Ответ: пунктом 19(2) Правил категорирования, утв. постановлением Правительства РФ от 08.02.2018 № 127 (127-ПП) установлено, что «Мониторинг осуществляется регулярно путем запроса и оценки информации о сроках представления, актуальности и достоверности сведений…», при этом подведомственные организации в соответствии с пунктом 19(3) привлекаются в части «оценки актуальности и достоверности сведений». Исходя из этого, можно сделать вывод, что очное обследование в рамках осуществления мониторинга не предусмотрено.

Более того, без дополнительных оснований подведомственные организации не вправе взаимодействовать с субъектом КИИ, так как в соответствии с пунктом 19(2) Правил категорирования, утв. 127-ПП, запрос информации о сроках представления, актуальности и достоверности сведений осуществляют сами ведомственные регуляторы, а подведомственные организации привлекаются лишь для оценки актуальности и достоверности таких сведений.

Если подведомственные организации запрашивают разрешение на очное обследование или информацию в рамках мониторинга, можно предоставить мотивированный ответ об отказе предоставления доступа на площадку и информации для мониторинга со ссылкой на пункт 19(2) Правил категорирования, утв. 127-ПП, а также запросить соответствующие основания для проведения подобных мероприятий.

Ответ: 187-ФЗ распространяется на следующие хозяйствующие субъекты:

1. Государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальных предприниматели, которые:
   • функционируют в одной или нескольких из указанных в п. 8 ст. 2 187-ФЗ сферах: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность;
   • владеют на законном основании информационными системами (ИС), информационно-телекоммуникационными сетями (ИТКС) и (или) автоматизированными системами управления (АСУ).
2. Российские юридических лица и (или) индивидуальных предпринимателей, которые обеспечивают взаимодействие ИС, ИТКС и (или) АСУ, принадлежащих государственным органам, государственным учреждениям, российским юридическим лицам и (или) индивидуальным предпринимателям которые функционируют в одной или нескольких из перечисленных в п. 8 ст. 2 187-ФЗ сферах.

Ответ: учитываются все виды деятельности, фактически осуществляемые организацией (указанные в учредительных документах, имеющихся лицензиях и сертификатах).

Ответ: если ни один из осуществляемых видов деятельности организации не попадает в перечисленные в п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» сферы, то необходимо это документально зафиксировать. Для этого, в организации создается комиссия, которая проводит работу по определению принадлежности организации к субъектам КИИ и принимает мотивированное решение (см. ниже пример). Данный документ хранится у организации, направление его во ФСТЭК России не требуется.

АКТ

по результатам определения принадлежности организации к субъектам критической информационной инфраструктуры

Комиссия в составе:

Иванов И.И.

Петров П.П.

созданная приказом №_________ от ____._____. провела оценку принадлежности ООО «Наименование организации» к субъектам критической информационной инфраструктуры.

По результатам проведенного анализа комиссия установила:

1. Основной вид деятельности ООО «Наименование организации» по Общероссийскому классификатору видов экономической деятельности (ОКВЭД) 84.11.3 «Деятельность органов местного самоуправления по управлению вопросами общего характера», следовательно, ООО «Наименование организации» не функционирует ни в одной из сфер, представленных в пункте 8 статьи 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ).


2. Организации не принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сферах, представленных в пункте 8 статьи 2 187-ФЗ.


3. Организация не осуществляет взаимодействие систем, перечисленных в пункте 8 стати 2 187-ФЗ.

Комиссия решила:

В соответствии с пунктом 8 статьи 2 № 187-ФЗ ООО «Наименование организации» не является субъектом критической информационной инфраструктуры.

Председатель комиссии

Члены комиссии

Ответ: согласно ст. 76.1 Федерального закона от 10.07.2002 №86-ФЗ «О Центральном банке Российской Федерации (Банке России)» к некредитным финансовыми организациями относятся лица, являющиеся субъектами страхового дела.

Страховые организации являются субъектами страхового дела и признаются субъектами, функционирующими в сфере финансовых рынков.

В соответствии с п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» к субъектам КИИ относятся организации, которым на праве собственности, аренды или на ином законном основании принадлежат ИС/ИТКС/АСУ, функционирующие, в частности, в сферах финансового рынка.

Таким образом, страховые организации, в большинстве случаев являются субъектами КИИ.

Для более точного ответа на поставленный вопрос, является ли конкретная страховая организация субъектом КИИ, следует определить имеет ли организация на праве собственности, аренды или ином законном основании: ИС/ИТКС/АСУ, нарушение и (или) прекращение функционирования которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

Ответ: органы местного самоуправления не являются субъектами КИИ: вид деятельности органов местного самоуправления (администраций) по ОКВЭД: 84.11.3 «Деятельность органов местного самоуправления по управлению вопросами общего характера».

Что касается муниципальных информационных систем: в соответствии с ч. 4 ст. 34 Федерального закона от 06.10.2003 № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации» органы местного самоуправления не входят в систему органов государственной власти, т.е. не являются государственными органами. При этом, следует иметь в виду, что муниципальные информационные системы не обязательно являются ОКИИ и не всегда принадлежат органу местного самоуправления. В соответствии с ч. 1 ст. 13 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» муниципальные информационные системы – это информационные системы, созданные на основании решения органа местного самоуправления.

Таким образом, де-юре, безусловно, единственным определяющим признаком муниципальной информационной системы является ее создание на основании решения органа местного самоуправления, а значит, муниципальная информационная система может принадлежать по сути любому российскому юридическому лицу, например: органу исполнительной власти; подведомственной организации или частной коммерческой организации в рамках государственно-частного партнерства или концессионного соглашения.

Ответ: для ответа на поставленный вопрос, следует проанализировать виды деятельности конкретной управляющей компании, которые она осуществляет, и определить имеет ли организация на праве собственности, аренды или ином законном основании соответствующие объекты: ИС/ИТКС/АСУ.

Рекомендуется следующий подход для определения сферы деятельности компании:

• определить виды деятельности из учредительных документов, лицензий, сертификатов, Единого государственного реестра юридических лиц (ЕГРЮЛ);
• воспользоваться общероссийским классификатором видов экономической деятельности (ОКВЭД-2).

Если хотя бы в одном из учредительных документов, лицензий, сертификатов, ЕГРЮЛ присутствует указание на упомянутые в п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» сферы деятельности, если управляющая компания имеет на праве собственности, аренды или ином законном основании: ИС/ИТКС/АСУ, нарушение и (или) прекращение функционирования которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка, можно сделать вывод об отнесении управляющей компании к субъектам КИИ.

Ответ: аптечные организации бывают двух видов (п. 35 ст. 4 Федерального закона от 12.04.2010 № 61-ФЗ «Об обращении лекарственных средств»):

1. Самостоятельные юридические лица.
2. Структурные подразделения медицинских организаций.

В первом случае (самостоятельное юридическое лицо) основным (в т.ч. лицензируемым) видом деятельности такой организации является фармацевтическая деятельность (деятельность, включающая в себя оптовую торговлю лекарственными средствами, их хранение, перевозку и (или) розничную торговлю лекарственными препаратами, их отпуск, хранение, перевозку, изготовление лекарственных препаратов). Данная деятельность в соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» относится к сфере охраны здоровья (здравоохранения).

Во втором случае (структурное подразделение медицинской организации) аптека выступает как составной медицинской организации.

В Приложении 3 Методических рекомендаций по категорированию объектов критической информационной инфраструктуры сферы здравоохранения, утв. Заместителем Министра здравоохранения Российской Федерации от 05.04.2021, приведен Перечень организаций сферы здравоохранения, на которые распространяется область действия соответствующих рекомендаций.

Таким образом, в обоих случаях аптечная организация будет являться субъектом, функционирующим в сфере здравоохранения, т.е. потенциальным субъектом КИИ.

Для более точного ответа на поставленный вопрос, является ли конкретная организация субъектом КИИ, следует проанализировать виды деятельности, которые она осуществляет, и определить имеет ли организация на праве собственности, аренды или ином законном основании: ИС/ИТКС/АСУ, нарушение и (или) прекращение функционирования которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

Ответ: организации, включенные в сводный реестр организаций оборонно-промышленного комплекса.

Порядок ведения указанного реестра определяется Положением о ведении сводного реестра организаций оборонно-промышленного комплекса (утв. постановлением Правительства РФ от 20.02.2004 № 96). Информация указанного реестра является сведениями ограниченного доступа (п. 2 постановления Правительства РФ от 20.02.2004 № 96).

Ответ: основными видами деятельности большинства теле/радио компаний являются: 60.10 «Деятельность в области радиовещания» и 60.20 «Деятельность в области телевизионного вещания», входящие в укрупненную группу 60 ОКВЭД-2. Деятельность в области телевизионного и радиовещания, которая, в свою очередь, входит в раздел J «Деятельность в области информации и связи» ОКВЭД-2. Таким образом, теле/радиокомпания, в большинстве случаев, является субъектом КИИ, функционирующим в сфере связи.

Для более точного ответа на поставленный вопрос, является ли конкретная организация субъектом КИИ, следует проанализировать виды деятельности, которые она осуществляет, и определить имеет ли организация на праве собственности, аренды или ином законном основании: ИС/ИТКС/АСУ, нарушение и (или) прекращение функционирования которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

Ответ: несмотря на то, что среди видов деятельности, заявленных в уставных документах лизинговой компании, может встречаться 64.92 «Предоставление займов и прочих видов кредита» ОКВЭД-2, в большинстве случаев, лизинговая компания не будет относиться к субъектам финансового рынка и, соответственно, субъектам КИИ.

Финансовый рынок представляет собой систему торговли деньгами и их эквивалентом, через которую происходит постоянное движение денежных ресурсов между инвесторами, государством, предприятиями и прочими участниками.

В ст. 76.1 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» определены виды деятельности, осуществляемые некредитными финансовыми организациями. Лизинговая деятельность представляет собой деятельность по приобретению имущества, относящегося к непотребляемым вещам, с последующей передачей его за плату во временное владение и пользование. Лизинговая деятельность не соответствует перечню, приведенному в ст. 76.1.

Для более точного ответа на поставленный вопрос, является ли конкретная организация субъектом КИИ, следует проанализировать виды деятельности, которые она осуществляет, и определить имеет ли организация на праве собственности, аренды или ином законном основании: ИС/ИТКС/АСУ, нарушение и (или) прекращение функционирования которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

Ответ:

1. Требования, изложенные в ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (выполняются в соответствии с Правилами категорирования объектов Критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства от 08.02.2018 № 127), включая необходимость уточнения категории значимости в случае внесения изменений в состав ОКИИ или в состав автоматизируемых ими процессов, а также не реже чем один раз в 5 лет.


2. Требования, изложенные в ч. 2 ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (выполняются в соответствии с нормативными правовыми актами ФСБ России):
   
   • «незамедлительно информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также Центральный банк Российской Федерации (в случае, если субъект критической информационной инфраструктуры осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в установленном указанным федеральным органом исполнительной власти порядке (в банковской сфере и в иных сферах финансового рынка указанный порядок устанавливается по согласованию с Центральным банком Российской Федерации);
   
   
   • оказывать содействие должностным лицам федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
   
   
   • в случае установки на объектах критической информационной инфраструктуры средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность».

Ответ: в соответствии с п. 3 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»: «значимый объект критической информационной инфраструктуры – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры».

Ответ: в соответствии с п. 7 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»: информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры; субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».

Ответ: ЛПУ относятся к организациям, функционирующим в сфере здравоохранения, а следовательно, в случае, если ЛПУ на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, автоматизирующие производственные или технологические процессы в рамках деятельности в сфере здравоохранения, ЛПУ является субъектом КИИ.

Определить наличие или отсутствие ЗОКИИ можно по итогам проведения процедуры категорирования. В соответствии с ч. 1 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»: «Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения».

С целью получения методической поддержки комиссии по категорированию организации ЛПУ рекомендуется использовать Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения, утв. Заместителем Министра здравоохранения Российской Федерации от 05.04.2021.

Ответ: в большинстве случаев такие системы не относятся к ОКИИ и не подлежат категорированию, т.к. не обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ в областях (сферах), установленных п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (Критические процессы).

Ответ: в большинстве случаев такие системы не относятся к ОКИИ и не подлежат категорированию, т.к. не обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ в областях (сферах), установленных п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (Критические процессы).

Ответ: в большинстве случаев такие системы не относятся к ОКИИ и не подлежат категорированию, т.к. не обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ в областях (сферах), установленных п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (Критические процессы).

В случае если указанные системы не относятся к комплексу инженерно-технических средств охраны, а обеспечивают технологические и (или) производственные процессы субъекта КИИ, например:

• видеонаблюдение за потенциально опасным технологическим процессом (с целью управления или контроля);
• система пожаротушения опасного производственного объекта;
• СКУД, ограничивающая пребывание людей на опасном производственном объекте в рамках реализации отдельных процедур технологического процесса (при необходимости ограничения пребывания эксплуатирующего и обслуживающего персонала в рамках режима промышленной безопасности).

Такие системы относятся к ОКИИ и подлежат категорированию.

Ответ: информационные (автоматизированные) системы в области транспортной безопасности, созданные во исполнение ст. 11 16-ФЗ в большинстве случаев функционируют в сфере транспорта.

В соответствии с Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127, в Перечень ОКИИ включаются ОКИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.

Соответственно, если информационные (автоматизированные) системы в области транспортной безопасности автоматизируют процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка, то они являются ОКИИ и подлежат категорированию.

Ответ: в соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»: «Объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры».

«Автоматизированная система управления – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами».

Станок с ЧПУ осуществляет контроль и управление производимыми им технологическими процессами, таким образом, действительно, представляет собой автоматизированную систему управления, и если он принадлежит организации, функционирующей в одной из сфер отнесенных к КИИ, то будет являться ОКИИ.

Ответ: гематологический анализатор представляет собой прибор (комплекс оборудования), предназначенный для проведения количественных исследований клеток крови в клинико-диагностических лабораториях. Иными словами, это комплекс программных и программно-аппаратных средств, предназначенный для управления и контроля за технологическим оборудованием и технологическими процессами по исследованию клеток крови, т.е. автоматизированная система управления (АСУ).

При условии, что прибор используется в организации сферы здравоохранения (или иных сферах субъектов КИИ) для автоматизации критических процессов, гематологический анализатор является ОКИИ.

Ответ: в соответствии с ч. 2 ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и приказом ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…» (Порядок информирования) субъект КИИ обязан:

• незамедлительно информировать о компьютерных инцидентах ФСБ России, а также Центральный банк Российской Федерации (в случае, если субъект КИИ осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в установленном Порядке информирования;
• оказывать содействие должностным лицам ФСБ России, в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

Информирование осуществляется путем направления информации в НКЦКИ в соответствии с определенными НКЦКИ форматами с использованием технической инфраструктуры НКЦКИ, либо, в случае отсутствия подключения к данной технической инфраструктуре, информация передается субъектом КИИ посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети «Интернет» по адресу: http://cert.gov.ru.

В настоящий момент, на сайте НКЦКИ, для направления сообщений о компьютерных инцидентах, указан только адрес электронной почты: incident@cert.gov.ru.

Состав передаваемой информации определен в п. 5 Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утв. приказом ФСБ России от 24.07.2018 № 367:

• «дата, время, место нахождения или географическое местоположение объекта критической информационной инфраструктуры, на котором произошел компьютерный инцидент;
• наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой;
• связь с другими компьютерными инцидентами (при наличии);
• состав технических параметров компьютерного инцидента;
• последствия компьютерного инцидента».

Ответ: в соответствии с п. 6 Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСБ России от 19.06.2019 № 282 (Порядок информирования): «Для подготовки к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектом критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежит значимый объект критической информационной инфраструктуры, в срок до 90 календарных дней со дня включения данного объекта в реестр значимых объектов критической информационной инфраструктуры Российской Федерации разрабатывается план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (План)…».

Если в План включаются условия по привлечению к реагированию на инцидент должностных лиц ФСБ России, то сам план и изменения в него необходимо будет согласовывать с ФСБ России (п. 7 и п. 8 Порядка информирования). Для разработки проекта Плана необходимо обратиться в НКЦКИ для получения методической поддержки. Необходимость включения условий по привлечению к реагированию на инциденты подразделений и должностных лиц ФСБ России, нормативно не регламентирована.

При этом, следует отметить, что субъекты КИИ, функционирующие в банковской сфере и в иных сферах финансовых рынков, должны включать в План условия привлечения подразделений и должностных лиц Банка России к проведению мероприятий по реагированию на компьютерные инциденты.

Ответ: в соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»:

• «Компьютерная атака – целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации».


• «Компьютерный инцидент – факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки».

Таким образом, «компьютерный инцидент» – более широкое понятие, связанное с нарушением проектного (штатного) режима функционирования ОКИИ, в том числе в результате компьютерной атаки.

Ответ: да, является. 

В соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»: «Компьютерный инцидент – факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки».

В данном случае, многократные попытки ввода пароля являются причиной нарушения функционирования ОКИИ, а следовательно, являются инцидентом.

Ответ: как таковой общий состав организационно-распорядительных документов (ОРД) СБ ЗОКИИ нигде не установлен.

При подготовке комплекта ОРД следует руководствоваться:

• Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утв. приказом ФСТЭК России от 21.12.2017 № 235.
• Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239, так называемыми «нулевыми мерами».
• Порядком информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСБ России от 19.06.2019 № 282.

С учетом вышеизложенного, рекомендуемый состав ОРД можно представить следующим образом:

• Политика обеспечения безопасности ЗОКИИ.
• Техническая документация на ЗОКИИ (технические задания, технические проекты, эксплуатационная документация).
• Порядок проведения испытаний или приемки средств защиты информации.
• План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.
• Порядок информирования и обучения работников.
• Порядок взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.
• Правила безопасной работы работников организации на ЗОКИИ.
• Положение о структурном подразделении, отвечающим за безопасность ЗОКИИ.
• Должностные инструкции сотрудников, обеспечивающих безопасность ЗОКИИ.
• Регламенты процессов: планирования и разработки мероприятий по обеспечению безопасности ЗОКИИ; реализации (внедрения). мероприятий по обеспечению безопасности ЗОКИИ; контроля состояния безопасности ЗОКИИ; совершенствования безопасности ЗОКИИ.
• Регламент обеспечения безопасности ЗОКИИ в ходе их создания, эксплуатации, и вывода из эксплуатации.
• Регламент идентификации и аутентификации.
• Регламент управления доступом.
• Регламент управления конфигурацией информационной (автоматизированной) системы, управления обновлениями программного. обеспечения и ограничением программной среды.
• Регламент защиты машинных носителей информации.
• Регламент мониторинга и аудита информационной безопасности.
• Регламент антивирусной защиты.
• Регламент по организации обнаружения и предотвращения компьютерных атак.
• Регламент по обеспечению целостности и доступности информации.
• Регламент защиты технических средств и систем, информационной (автоматизированной) системы и ее компонентов.
• Регламент реагирования на компьютерные инциденты.
• Регламент по планированию мероприятий по обеспечению безопасности.
• Регламент по организации действий в нештатных ситуациях.
• Регламент информирования и обучения персонала.

Конечный состав и формы ОРД СБ ЗОКИИ определяются организацией с учетом ее размеров и особенностей деятельности.

Ответ: порядок создания СБ ЗОКИИ определяется разделом 2 (пп. 7-9) Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239 (Приказ № 239). Опираясь на указанные требования можно предложить следующую пошаговую последовательность действий при создании ЗОКИИ:

1. Формирование модели нарушителей и угроз ИБ:
   • выявление уязвимостей ЗОКИИ на основе результатов обследования;
   • определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
   • определение возможных объектов воздействия угроз безопасности информации;
   • оценка возможности реализации (возникновения) угроз безопасности информации и определение их актуальности;
   • формирования перечня актуальных угроз ИБ;
   • разработка модели нарушителей и угроз ИБ.
2. Установление требований к обеспечению безопасности ЗОКИИ:
   • определение категории значимости ЗОКИИ в соответствии с п. 8 Правил категорирования, утв. постановлением Правительства РФ от 08.02.2018 № 127 (Правила категорирования);
   • установление требований к СБ ЗОКИИ в техническом задании.
3. Разработка организационных и технических мер по обеспечению безопасности ЗОКИИ:
   • проектирование СБ ЗОКИИ;
   • разработка рабочей (эксплуатационной) документации на ЗОКИИ (в части обеспечения его безопасности).
4. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие:
   • установка и настройка средств защиты информации, настройка программных и программно-аппаратных средств;
   • разработка организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности ЗОКИИ;
   • внедрение организационных мер по обеспечению безопасности ЗОКИИ;
   • предварительные испытания СБ ЗОКИИ;
   • опытная эксплуатация СБ ЗОКИИ;
   • анализ уязвимостей ЗОКИИ и принятие мер по их устранению;
   • приемочные испытания СБ ЗОКИИ.
5. Ввод в действие СБ ЗОКИИ.
6. Обмен информацией об инцидентах ИБ с НКЦКИ и интеграция с ГосСОПКА.

Ответ: порядок действий в случае модернизации ЗОКИИ определяется разделом 2 (пп. 7-9) Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239 (Приказ № 239). Опираясь на указанные требования можно предложить следующую пошаговую последовательность действий при модернизации ЗОКИИ:

Шаг 1. Установление требований к обеспечению безопасности ЗОКИИ:

• проведение аудита на соответствие требований Приказа № 239, выявление несоответствий и формирование рекомендаций по обеспечению безопасности с учетом планируемых изменений;
• уточнение категории значимости в соответствии с п. 8 Правил категорирования, утв. постановлением Правительства от 08.02.2018 № 127 (Правила категорирования);
• фиксация выводов по проведенным работам в отчетном документе, установление требований к модернизируемому ЗОКИИ в техническом задании на модернизацию;
• направление «Сведений о результатах присвоения ОКИИ категории значимости…», по форме приказа ФСТЭК России от 22.12.2017 № 236, указанных в подпунктах «а» – «в» и «з» п. 17 Правил категорирования в ФСТЭК России (в течении 10 дней после утверждения технического задания).

Шаг 2. Разработка организационных и технических мер по обеспечению безопасности ЗОКИИ:

• проведение анализа угроз безопасности информации и актуализация моделей угроз и нарушителей;
• проектирование модернизируемой подсистемы безопасности ЗОКИИ;
• разработка рабочей (эксплуатационной) документации на ЗОКИИ (в части обеспечения его безопасности).

Шаг 3. Внедрение организационных и технических мер по обеспечению безопасности ЗОКИИ и ввод его в действие:

• установка и настройка средств защиты информации, настройка программных и программно-аппаратных средств;
• разработка организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности ЗОКИИ;
• внедрение организационных мер по обеспечению безопасности ЗОКИИ;
• предварительные испытания ЗОКИИ и его подсистемы безопасности;
• опытная эксплуатация ЗОКИИ и его подсистемы безопасности;
• анализ уязвимостей ЗОКИИ и принятие мер по их устранению;
• приемочные испытания ЗОКИИ и его подсистемы безопасности;
• ввод в действие (в эксплуатацию) ЗОКИИ и направление «Сведений о результатах присвоения ОКИИ категории значимости…», по форме приказа ФСТЭК России от 22.12.2017 № 236, указанных в подпунктах «г» – «ж» и «и» п. 17 Правил категорирования в ФСТЭК России (в течении 10 дней после ввода в эксплуатацию).

Ответ: в соответствии с п. 31 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239, применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.

В настоящий момент в законодательстве РФ нет однозначного определения технической поддержки и требований по организации ее осуществления. Запрета на осуществление технической поддержки собственными силами субъекта КИИ и силами сторонних организаций на текущий момент нет.

В информационном сообщении ФСТЭК России от 20.01.2020 № 240/24/250 «О применении сертифицированных операционных Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в связи с прекращением их технической поддержки» регулятор определяет условие применения соответствующих операционных систем. Если субъект КИИ использует функции Windows 7 и (или) Windows Server 2008 в качестве сертифицированных средств защиты информации ЗОКИИ, прекращение осуществления технической поддержки производителем (заявителем) означает, что данные средства не могут применятся в соответствующем качестве (пп. 11, 15 Положения о системе сертификации средств защиты информации, утв. приказом ФСТЭК России от 03.04.2018 № 55). До момента перехода на сертифицированные средства защиты (при необходимости их использования), Субъект КИИ должен применять дополнительные меры защиты, направленные на минимизацию рисков реализации угроз безопасности информации, рекомендуемые в информационном сообщении.

Ответ: в зависимости от ситуации.

1. Если вопрос касается обеспечения информационной безопасности ОКИИ, которым не присвоена категория значимости, то допустимо, поскольку требования Приказа № 235 (с изменениями от 27.03.2019, внесенными приказом № 64), обязательны для ЗОКИИ. В отношении ОКИИ, которым не присвоена категория значимости, на настоящий день не существует требований по обеспечению информационной безопасности (ИБ), необходимость обеспечения ИБ в отношении таких объектов принимается самостоятельно субъектом КИИ.


2. Если вопрос касается обеспечения ИБ ЗОКИИ применительно к юридическому лицу, а не к его филиалу (сотрудник в штате головной организации, в составе структурного подразделения по безопасности ЗОКИИ), то недопустимо.
   Допускается возлагать обязанности по обеспечению информационной безопасности (ИБ) ЗОКИИ на специалистов по ИБ в организации с учетом их соответствия установленным требованиям – п.12 Приказа № 235:
   • наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов);
   • прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению «Информационная безопасность».

   При этом обращаем внимание, что п. 13 Приказа № 235 запрещает совмещать функции обеспечения ИБ в отношении других объектов информационной инфраструктуры субъекта КИИ и ЗОКИИ, но как раз не допускает возложение обязанностей по ИБ для иных специалистов (например, ИТ-специалистов).

   
   
3. Если рассматривать вопрос в отношении филиала субъекта КИИ, то ответ неоднозначный: зависит от наличия / отсутствия у филиала подразделения, ответственного за обеспечения безопасности ЗОКИИ.

Учитывая правовой статус филиалов (они не являются субъектами гражданско-правовых отношений и не могут быть субъектами КИИ), а также следующие положения Приказа № 235 в отношении филиалов:

• системы безопасности создаются в отношении всех ЗОКИИ субъекта КИИ с учетом ЗОКИИ, эксплуатируемых в филиалах;
• по решению субъекта КИИ для одного или группы ЗОКИИ могут создаваться отдельные системы безопасности;
• создаваемая система безопасности должна включать силы обеспечения безопасности ЗОКИИ филиалов;
• по решению руководителя субъекта КИИ в филиалах субъекта КИИ, в которых эксплуатируются ЗОКИИ, создаются (определяются) структурные подразделения по безопасности или назначаются специалисты по безопасности.

Создание отдельной системы безопасности для филиала право, а не обязанность субъекта КИИ. При этом, при принятии решения об отсутствии необходимости создания отдельной системы безопасности, субъект КИИ должен обеспечить кадровый ресурс филиала силами обеспечения безопасности, достаточными для обеспечения безопасности ЗОКИИ.

Таким образом, если системный администратор относится к работникам, ответственным за обеспечение безопасности ЗОКИИ филиала (при отсутствии отдельного аналогичного подразделения в головной организации), то к нему предъявляются требования п. 12 и п. 13 Приказа № 235.

Учитывая состав сил обеспечения безопасности ЗОКИИ, приведенный в п. 4 Приказа № 235, при условии единой системы безопасности юридического лица, включающей подразделение, ответственное за обеспечение безопасности ЗОКИИ, системный администратор, осуществляющий обслуживание вычислительной техники, может иметь статус: «иные работники, участвующие в обеспечении безопасности значимых объектов критической информационной инфраструктуры». В таком случае, требования п. 12 и п. 13 Приказа № 235 на системного администратора распространяться не будут. Отметим также, что в соответствии с Приказом № 235 состав сил обеспечения безопасности, их функции и порядок взаимодействия должны быть определены в организационно-распорядительных документах.

Ответ: для этого может быть использовано решение DATAPK.

Ответ: для этого может быть использовано решение ePlat4m, которое позволяет автоматизировать процессы оценки соответствия, категорирования, управления инцидентами, управления документацией, анализа угроз и информирования персонала.

Ответ: в соответствии с п. 6 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239 (Приказ № 239), безопасность ЗОКИИ обеспечивается в рамках функционирования системы безопасности ЗОКИИ (СБ ЗОКИИ). СБ ЗОКИИ представляет собой совокупность правовых, организационных, технических и иных мер, направленных на обеспечение информационной безопасности (защиты информации) субъектов КИИ (п. 2 Требований к созданию систем безопасности значимых объектов КИИ Российской Федерации и обеспечению их функционирования, утв. приказом ФСТЭК России от 21.12.2017 г. № 235 (Приказ № 235). Состав организационных и технических мер, которые необходимо реализовать субъекту КИИ в рамках создания и функционирования СБ ЗОКИИ, утвержден Приказом № 239.

В соответствии с п. 3 Требований к созданию систем безопасности значимых объектов КИИ Российской Федерации и обеспечению их функционирования, утв. Приказом № 235, СБ создаются в отношении всех ЗОКИИ субъектов КИИ.

По решению субъекта КИИ для одного или группы ЗОКИИ могут создаваться отдельные СБ.

Таким образом, субъект КИИ вправе решать будет ли он создавать отдельные СБ для каждого ЗОКИИ в рамках создания которых реализовывать организационные и технические меры, предусмотренные Приказом № 239, либо создавать такие системы для группы (нескольких) ЗОКИИ.

Ответ: согласно п. 35 и п. 36 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утв. приказом ФСТЭК России от 21.12.2017 № 235, в рамках контроля состояния безопасности ЗОКИИ должен осуществляться внутренний контроль организации работ по обеспечению их безопасности и эффективности принимаемых организационных и технических мер.

В ходе проведения контроля проверяется выполнение требований нормативных правовых актов в области обеспечения безопасности КИИ, а также организационно-распорядительных документов по безопасности ЗОКИИ, иными словами проводится «Комплаенс аудит».

Для оценки эффективности принятых организационных и технических мер по обеспечению безопасности ЗОКИИ могут применяться средства контроля (анализа) защищенности – это т.н. «Инструментальный аудит» (анализ защищенности).

Контроль проводится не реже, чем один раз в 3 года, комиссией, назначаемой субъектом КИИ. В случае проведения по решению руководителя субъекта КИИ внешней оценки (внешнего аудита) состояния безопасности ЗОКИИ внутренний контроль может не проводиться.

Замечания, выявленные по результатам внутреннего контроля или внешней оценки (внешнего аудита), подлежат устранению в порядке и сроки, установленные руководителем субъекта КИИ (уполномоченным лицом).

Таким образом, законодательно предусмотрена обязательность проведения аудита ИБ ЗОКИИ в форме внутреннего аудита, проводимого силами работников субъекта КИИ, либо внешнего аудита проводимого специализированной организацией, имеющей лицензию ФСТЭК России в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации.

Ответ: в соответствии с п. 31 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239) в ЗОКИИ не допускается: «наличие удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе средствам зашиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры».

Если не допускается удаленный доступ напрямую, необходимо организовать удаленный доступ через промежуточную точку доступа, в которой организационными и (или) техническими мерами будут контролироваться действия иностранных разработчиков. Например, терминальный сервер с записью действий привилегированных пользователей, т.е. пользователей, имеющих возможность устанавливать обновления или управлять оборудованием ЗОКИИ.

Ответ: в соответствии с п. 11.1 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239 в качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России, а также источники, содержащие иные сведения об уязвимостях и угрозах безопасности информации. Таким образом, MITRE ATT&CK for ICS можно использовать в качестве дополнительного источника при моделировании угроз АСУ ТП и других видов ОКИИ.

Также в методическом документе Методика оценки угроз безопасности информации, утв. ФСТЭК России от 05.02.2021, в качестве исходных данных для оценки угроз безопасности информации, ФСТЭК России рекомендует использовать описания векторов (шаблонов) компьютерных атак, содержащихся в базах данных и иных источниках, опубликованных в сети Интернет (CAPEC, ATT&CK, OWASP, STIX, WASC и др.).

Ответ: в соответствии с ч. 1 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»: «Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения».

Порядок категорирования определен Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации и Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утв. постановлением Правительства РФ от 08.02.2018 №127 (Правила категорирования и Перечень показателей критериев значимости). Порядок категорирования включает следующие действия:

1. Создать постоянно действующую комиссию по категорированию (процесс категорирования осуществляется на всем протяжении действия организации в качестве субъекта КИИ).


2. Определить процессы в рамках видов деятельности субъекта КИИ (подп. «а» п. 5 Правил категорирования).


3. Выявить процессы, нарушение или прекращение которых может привести к негативным последствиям – критические процессы (подп. «б» п. 5 Правил категорирования).


4. Определить объекты (информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов (подп. «в» п. 5 Правил категорирования).


5. В случае наличия таких объектов, следует сформировать Перечень ОКИИ, подлежащих категорированию и отправить перечень в ФСТЭК России. В случае отсутствия ОКИИ на этом этапе работа комиссии заканчивается (до создания новых ОКИИ, переоценки критичности процессов) (подп. «г» п. 5 Правил категорирования).


6. Провести оценку выявленных ОКИИ: оценить в соответствии с Перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на ОКИИ и присвоить каждому из ОКИИ соответствующую категорию значимости или принять решение об отсутствии необходимости присвоения категории значимости. Решение комиссии оформляется соответствующим актом (актами) категорирования (подп. «д», «е» п. 5 Правил категорирования).


7. Оформить и направить «Сведения о результатах присвоения ОКИИ категории значимости…» по форме, утв. приказом ФСТЭК России от 22.12.2017 № 236 в ФСТЭК России.


8. Не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости ОКИИ или их значений осуществлять пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий. Оформить и направить в ФСТЭК России «Сведения о результатах присвоения ОКИИ категории значимости…». Повторное направление «Сведений о результатах присвоения ОКИИ категории значимости…» осуществляется только в случае изменения категории значимости ОКИИ.

Ответ: рекомендации по оценке показателей критериев экономической значимости приведены в виде проекта методического документа на сайте ФСТЭК России. В общем виде порядок следующий:

Шаг 1. В Федеральном законе «О федеральном бюджете на 2021 и на плановый период 2022 и 2023 годов» от 08.12.2020 № 385-ФЗ (соответствующий закон издается ежегодно) есть прогнозируемый общий объем доходов федерального бюджета за 2021, 2022, 2023 годы – берем среднее арифметическое из трех этих значений и получаем усредненный доход за планируемый трехлетний период.

Шаг 2. Считаем ущерб как сумму недополученных доходов в бюджеты всех уровней (по тем бюджетам, куда субъект КИИ платит налоги) в результате компьютерного инцидента. Снижение налоговых отчислений в результате инцидента на ОКИИ определяется экспертным путем.

Для расчета соответствующего ущерба необходимо рассматривать виды налоговых отчислений (либо других отчислений в бюджетную систему РФ), размер которых может зависеть от объема производственной деятельности организации:

• налог на прибыль;
• налог на добычу полезных ископаемых (НДПИ);
• налог на добавленную стоимость (НДС);
• дивиденды государственным участникам;
• налог на дивиденды;
• иные отчисления в бюджетную систему РФ в виде государственных пошлин, акцизов и сборов, объем которых зависит от объема производства;
• налог на доходы физических лиц (НДФЛ) и отчисления во внебюджетные фонды (в случае оперативного найма (увольнения) персонала при изменении объема производства);
• размер снижения выплат (отчислений) сторонних организаций в бюджеты РФ в следствие прекращения или нарушения функционирования ОКИИ;
• размер снижения сборов в бюджеты РФ в случае прекращения или нарушения функционирования ОКИИ, предназначенного для организации сборов в бюджеты РФ.

Шаг 3. Делим сумму ущерба (Шаг 2) на усредненный доход (Шаг 1) и умножаем на 100% – получаем значение показателя критерия значимости по п. 9 Перечня показателей критериев значимости, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127.

Ответ: никак не повлиял.

Федеральный закон от 02.08.2019 № 264-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе» и Федеральный закон «О Центральном банке Российской Федерации (Банке России)» дополнил статью 9.1 Федерального закона «О национальной платежной системе» нормой следующего содержания: «Информационные системы операторов по переводу денежных средств, с использованием которых осуществляется прием электронных средств платежа и обмен информацией с иностранными поставщиками платежных услуг, информационные системы операторов услуг информационного обмена, с использованием которых осуществляется взаимодействие с иностранными поставщиками платежных услуг, должны соответствовать требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Согласно данной норме все информационные системы, задействованные в процессе обмена информацией с иностранными поставщиками платежных услуг, должны соответствовать требованиям по обеспечению безопасности ЗОКИИ, независимо от того, прошли они процедуру категорирования или нет, и независимо от того, принадлежат они субъектам КИИ или нет. Требования по обеспечению безопасности ЗОКИИ утверждены приказом ФСТЭК России от 25.12.2017 № 239. В соответствии с п. 6 приказа ФСТЭК № 239 безопасность ЗОКИИ обеспечивается субъектами КИИ в рамках функционирования систем безопасности ЗОКИИ, создаваемых субъектами КИИ. Создание и функционирование систем безопасности ЗОКИИ определяется приказом ФСТЭК России от 21.12.2017 № 235.

Таким образом, данная норма возлагает на операторов по переводу денежных средств (операторов услуг информационного обмена), независимо от их принадлежности к субъектам КИИ, обязанности по обеспечению безопасности информационных систем задействованных в процессе обмена информацией с иностранными поставщиками платежных услуг по требованиям предъявляемым к ЗОКИИ.

Ответ: в соответствии с подп. «б» п. 5 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127, категорирование включает в себя: «Выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее – критические процессы». Учитывая то, что ОКИИ это объекты, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, АСУТП, участвующие в перераспределении нагрузки, однозначно относятся к ОКИИ.

ОКИИ присваивается одна из категорий значимости только в случае возникновения последствий, масштаб которых соответствует одной из категорий в соответствии с Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127, при этом учитываются:

• наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на ОКИИ, результатом которых является прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба;
• зависимость функционирования одного ОКИИ от функционирования другого при оценке масштаба возможных последствий.

Соответственно, если распределение нагрузки ТЭЦ осуществляется в автоматическом режиме, АСУТП управления котлами являются независимыми и не влияют на функционирования друг друга, то субъект КИИ может оценивать масштаб последствий от компьютерного инцидента на ОКИИ в рамках одной АСУТП, с учетом допустимости повышения общей нагрузки на иные АСУТП, участвующие в общем технологическом процессе.

Ответ: в соответствии с п. 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127 (Правила категорирования), в ФСТЭК России направляются только «Сведения о результатах присвоения ОКИИ одной из категорий значимости…». Акт хранится у субъекта КИИ до вывода из эксплуатации ОКИИ или до изменения категории значимости (п. 16 Правил категорирования).

Ответ: в соответствии с п. 21 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127: «субъект КИИ не реже чем один раз в пять лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий».

Ответ: рекомендации по оценке показателей критериев экономической значимости приведены в виде проекта методического документа на сайте ФСТЭК России. В общем виде порядок следующий:

Шаг 1. Определить применимость показателя к субъекту КИИ. В соответствии с Перечнем показателей критериев значимости, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127, показатель применим для:

1. Государственных корпораций.
2. Государственных унитарных предприятий.
3. Государственных компаний.
4. Стратегических акционерных обществ и стратегических предприятий.

Принадлежность организации к государственным корпорациям, государственным унитарным предприятиям и государственным компаниям определяется по Общероссийскому классификаторы организационно-правовых форм (ОКОПФ) исходя из выписки из Единого государственного реестра юридических лиц (ЕГРЮЛ) или открытых источников:

• ОКОПФ 7 16 01 – государственные корпорации.
• ОКОПФ 7 16 02 – государственные компании.
• ОКОПФ 6 и вложенные уровни (коды), например: 6 51 41; 6 52 43 и тд. – государственные унитарные предприятия.

Принадлежность организации к стратегическим акционерным обществам и стратегическим предприятиям определяется исходя из факта включения организации в Перечень стратегических предприятий и стратегических акционерных обществ, утв. указом Президента Российской Федерации от 04.08.2004 № 1009 (необходимо использовать последнюю редакцию).

Шаг 2. Для определения годового объема доходов, усредненного за прошедший пятилетний период, необходимо использовать Отчеты о финансовых результатах организации (форма № 2 бухгалтерской отчетности).

Совокупный годовой доход организации можно определить по статьям: Выручка (2110), Доходы от участия в других организациях (2310), Проценты к получению (2320) и Прочие доходы (2340).

Годовой объем доходов, усредненный за прошедший пятилетний период, рассчитываем как сумму доходов по статьям, указанным выше, за последние пять лет деятельности организации, деленную на пять.

Шаг 3. Далее необходимо определить ущерб как сумму недополученных доходов от простоя (нарушения штатного функционирования) производственной деятельности организации, недоступности каналов дистрибуции, срыва запланированных сделок.

Для расчета соответствующего ущерба необходимо рассматривать сценарии, при которых инцидент на ОКИИ приводит к снижению показателей деятельности организации, либо к сценариям невозможности заключения сделок с контрагентами, невозможности или затруднению осуществления продаж по каналам дистрибуции. При этом, затраты на восстановление штатного режима функционирования и прочие расходы на предотвращение последствий компьютерных атак (инцидентов) в расчете показателя не учитываются.

Расчет потенциального ущерба осуществляется экспертным путем, в состав экспертной группы целесообразно включать специалистов ИТ- ИБ-подразделений, риск-менеджеров, специалистов по экономическому анализу. Для расчета потенциального ущерба могут быть использованы следующие показатели: время восстановления критического процесса до штатных режимов функционирования; время восстановления ОКИИ до штатных режимов функционирования; время недоступности канала дистрибуции; доход от реализации критического процесса; доход по направлениям деятельности (тарифы на электроснабжение, тарифы на теплоснабжение, доход от продажи товаров и услуг и тд.); доход по каналам дистрибуции и тд.

Шаг 4. Итоговым действием делим сумму ущерба (Шаг 3) на усредненный доход (Шаг 2) и умножаем на 100% – получаем значение показателя критерия значимости по п. 8 Перечня показателей критериев значимости, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127.

Ответ: в соответствии со ст. 2 Федерального закона от 26.07.2017 №187 «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ) к субъектам КИИ относятся организации, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления (ИС / ИТС / АСУ или обобщенно – ОКИИ), функционирующие, в определенных сферах и отраслях промышленности.

При этом, в ст. 55 ГК РФ определяется правовой статус филиалов и представительств юридических лиц, в частности в ч. 3 устанавливается: «Представительства и филиалы не являются юридическими лицами. Они наделяются имуществом создавшим их юридическим лицом и действуют на основании утвержденных им положений.

Руководители представительств и филиалов назначаются юридическим лицом и действуют на основании его доверенности.

Представительства и филиалы должны быть указаны в едином государственном реестре юридических лиц».

Директора филиалов действуют от имени юридического лица на основании выданной им доверенности. Имущество филиалов принадлежит юридическому лицу, а корпоративные отношения между головной организацией и филиалами устанавливаются в организационно-распорядительных документах юридического лица.

Таким образом, филиалы юридического лица не являются субъектом гражданско-правовых отношений и не являются субъектом права в контексте 187-ФЗ (не могут быть определены как субъекты КИИ). Вне зависимости, по какому признаку были образованы филиалы (территориальному, функциональному и т.п.), при проведении категорирования ОКИИ в филиалах процесс осуществляется от имени юридического лица и является частью процесса категорирования ОКИИ юридического лица.

Что касается допустимости отнесения корпоративной сети предприятия к ОКИИ, – порядок категорирования и последовательность отнесения ИС / ИТС / АСУ к ОКИИ определены в постановлении Правительства РФ от 08.02.2018 № 127 (Правила категорирования). Порядок категорирования в соответствии с Правилами категорирования включает в том числе:

• определение процессов в рамках видов деятельности субъекта КИИ;
• выявление процессов, нарушение или прекращение которых может привести к негативным последствиям, – критических процессов;
• выявление объектов (ИС / ИТС / АСУ), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.

Учитывая, что нет строгих критериев к определению процессов в рамках видов деятельности субъекта КИИ, а также нет требований к декомпозиции таких процессов, – субъект КИИ вправе проводить категорирование в отношении верхнеуровневых процессов, например «Производство лекарственных средств» (сфера здравоохранения).

Аналогично, при выявлении множества критических процессов, субъект КИИ вправе выделять ОКИИ, автоматизирующие несколько процессов сразу, например корпоративную сеть предприятия.

Решение об отнесении ИС / ИТС / АСУ к ОКИИ в конечном итоге принимает руководитель организации на основании результатов категорирования, подготовленных комиссией (либо руководитель филиала, выступающий от имени юридического лица по доверенности). Недостаточная декомпозиция процессов организации или выделение «больших» ОКИИ, например, корпоративной сети, не противоречит законодательству РФ, в частности №187-ФЗ, но требует огромных усилий по созданию системы безопасности таких объектов и негативно влияет на управляемость систем безопасности ОКИИ.

Ответ: в соответствии с информационным сообщением ФСТЭК России от 17.04.2020 № 240/84/611: «…предоставление информации об отсутствии в организации объектов критической информационной инфраструктуры или о том, что организация не является субъектом критической информационной инфраструктуры Российской Федерации в ФСТЭК России в соответствии с законодательством о безопасности критической информационной инфраструктуры Российской Федерации не требуется».

Ответ: в практической деятельности получила распространение точка зрения о том, что категорий значимости четыре (0,1,2,3). Эта точка зрения ошибочна. Ч. 3 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливается три категории значимости ОКИИ – первая, вторая и третья.

Субъекты КИИ присваивают одну из категорий значимости ОКИИ в соответствии с Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127. Если ОКИИ не соответствует критериям значимости, показателям этих критериев и их значениям, Комиссией по категорированию принимается решение об отсутствии необходимости присвоения категории значимости. Иными словами, можно говорить о том, что существует два вида объектов КИИ: «значимые» и «не значимые», а значимые ОКИИ имеют три категории и особый порядок дальнейшего правоприменения.

Ответ: постановлением Правительства Российской Федерации «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» от 13.04.2019 № 452, Правила категорирования были дополнены пунктом 11.2. следующего содержания:

«По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии для категорирования объектов критической информационной инфраструктуры в этих филиалах, представительствах.

Координацию и контроль деятельности комиссий по категорированию в филиалах, представительствах осуществляет комиссия по категорированию субъекта критической информационной инфраструктуры».

В виду того, что ответственность за исполнение законодательства о безопасности КИИ лежит на головной организации субъекта КИИ и в Перечень ОКИИ, подлежащих категорированию, должны включаться ОКИИ филиалов и представительств, целесообразно регламентировать деятельность комиссий по категорированию и осуществлять категорирование в рамках единого процесса, вне зависимости от принятия решения о создании отдельных комиссий или действия общей комиссии субъекта КИИ. При этом необходимо уделить особое внимание координации и контролю реализации процесса категорирования в обособленных подразделениях.

Ответ: постановлением Правительства Российской Федерации «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» от 13.04.2019 № 452, Правила категорирования были дополнены пунктом 11.1. следующего содержания: «По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены иные работники, в том числе работники финансово-экономического подразделения».

Указанное дополнение мотивирует руководителей субъектов КИИ включать в комиссии всех имеющихся у субъекта КИИ специалистов, знания и навыки которых необходимы для корректного расчета и оценки показателей критериев значимости, для корректного оформления полученных результатов. Прежде всего это касается специалистов:

• финансово-экономических подразделений (отдел планирования, отдел экономического анализа, финансовый отдел), необходимых для расчета показателей экономической значимости (3 критерий значимости Перечня показателей критериев значимости) и представления их для рассмотрения членами комиссии по категорированию;
• специалистов юридических подразделений для проверки корректности соблюдения процедуры и оформления документов;
• специалистов системы менеджмента качества и риск-менеджеров для корректной формализации бизнес-процессов и участия в экспертизе при оценке критичности процессов и масштаба возможных последствий в случае возникновения компьютерных инцидентов на ОКИИ.

Ответ: в соответствии с п. 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127, в ФСТЭК России направляются «Сведения о результатах присвоения ОКИИ одной из категорий значимости…» (Сведения). Форма данных Сведений утверждена приказом ФСТЭК России от 22.12.2017 № 236. Порядок направления сведений частично описан в информационном сообщении ФСТЭК России от 17.04.2020 № 240/84/611.

Порядок направления Сведений следующий:

1. Сведения направляются в ФСТЭК России в бумажном и электронном виде по адресу: 105066, г. Москва, ул. Старая Басманная, д. 17.
2. В бумажном виде Сведения направляются в одном экземпляре.
3. В электронном виде Сведения записываются на электронный носитель (на диск или флеш-карта, файл в формате .ods), который направляется вместе с бумажным экземпляром Сведений.
4. Отправление обязательно сопровождается письмом.
5. Если Сведения отнесены в организации к конфиденциальной информации или к сведениям, составляющим государственную тайну, то гриф проставляется в соответствии с порядком делопроизводства, определенным в организации.
6. Корреспонденция направляется законвертированной, при наличии двух реестров, с печатью организации отправителя.

Ответ: в соответствии с п. 21 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127, субъект КИИ в случае изменения показателей критериев значимости объектов КИИ или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий. Так как постановлением Правительства РФ от 13.03.2019 № 452 были внесены изменения в показатели критериев значимости ОКИИ и их значений, исходя из буквального толкования п. 21 Правил категорирования следует, что необходимо провести пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения категорий значимости ранее категорированных ОКИИ.

Ответ: в соответствии с п. 2 ч. 12 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»: «В случае изменения значимого объекта критической информационной инфраструктуры, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости, к которой отнесен указанный объект критической информационной инфраструктуры, может быть изменена».

К таким изменениям могут относиться любые изменения, оказывающие влияние на масштаб возможных последствий по показателям критериев значимости ОКИИ, приведенных в Перечне показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утв. постановлением Правительства Российской Федерации от 08.02.2018 №127, в случае возникновения компьютерных инцидентов на ЗОКИИ.

Ответ: в соответствии с п. 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127: «Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры».

Государственные органы, выполняющие функции по разработке, проведению и реализации государственной политики и (или) нормативно-правовому регулированию:

• Министерство энергетики Российской Федерации – энергетика, топливно-энергетический комплекс, нефтехимическая промышленность.
• Федеральная служба по экологическому, технологическому и атомному надзору – в области атомной энергии.
• Министерство здравоохранения Российской Федерации – здравоохранение.
• Министерство транспорта Российской Федерации – транспорт.
• Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации – связь.
• Министерство финансов Российской Федерации – банковская сфера и иные сферы финансового рынка.
• Министерство науки и высшего образования Российской Федерации – наука.
• Министерство промышленности и торговли Российской Федерации – оборонная и иная промышленность в ведении.

Обязательное согласования Перечня ОКИИ, подлежащих категорированию требуется только для подведомственных организаций. Реестр подведомственных организаций публикуется на сайте каждого из ведомств.

Ответ: процедура направления Перечней ОКИИ и «Сведений о результатах присвоения ОКИИ категории значимости…», по форме приказа ФСТЭК России № 236, разъяснена в информационном сообщением ФСТЭК России от 17.04.2020 № 240/84/611 «По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

Перечень ОКИИ, подлежащих категорированию и «Сведения о результатах присвоения ОКИИ категории значимости…», по форме приказа ФСТЭК России № 236, необходимо направить в печатном и электронном виде (рекомендуемый формат .ods или .odt) по адресу:

ФСТЭК России, 105066, г. Москва, ул. Старая Басманная, д. 17.

Корреспонденция принимается законвертированной, при наличии двух реестров, с печатью организации отправителя.

Ответ: в соответствии с п. 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127: «по мере необходимости Перечень ОКИИ, подлежащих категорированию может быть изменен в порядке, предусмотренном для его разработки и утверждения». Рекомендуем направить новый Перечень ОКИИ, подлежащих категорированию в ФСТЭК России, при этом в сопроводительном письме указывать наименования исключенных ОКИИ и причины исключения, описание причин иных изменений и реквизиты сопроводительного письма, с которым был отправлен утвержденный ранее Перечень ОКИИ, подлежащих категорированию.

Ответ: законодательно форма представления перечня объектов КИИ, подлежащих категорированию не утверждена. Информационным сообщением ФСТЭК России от 17.04.2020 № 240/84/611 «По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» указано: «…перечни объектов критической информационной инфраструктуры, подлежащих категорированию, направляются в ФСТЭК России в печатном и электронном виде (формат .ods и (или) .odt)», а также предложена следующая рекомендуемая форма перечня ОКИИ, подлежащих категорированию:

 

Ответ: в п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры» (187-ФЗ) определено «субъекты КИИ – организации, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления…».

В гл. 13 ГК РФ определены составляющие права собственности и другие законные основания на принадлежность собственности и вещные права лиц, не являющихся собственниками, к таким правам в т.ч. отнесены:

• право владения;
• право пользования;
• право распоряжения;
• право хозяйственного ведения;
• право оперативного управления.

Из формулировки 187-ФЗ следует, что при наличии любого законного основания на принадлежность ОКИИ к субъекту КИИ, ОКИИ должен быть включен в Перечень ОКИИ. В качестве законного основания может выступать право собственности юридических лиц, право хозяйственного ведения и (или) оперативного управления государственных организаций, договоры купли-продажи, аренды, лизинга и т.п.

Учитывая вышеизложенное, при наличии законных оснований на принадлежность информационной системы, информационно-телекоммуникационной сети и (или) автоматизированной системы управления к субъекту КИИ и при соответствии объекта п. 7. ст. 2 187-ФЗ, ОКИИ необходимо включить в Перечень ОКИИ, подлежащих категорированию.

Ответ: в п. 16 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127, установлено: «Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта критической информационной инфраструктуры».

Руководитель организации может назначить приказом лицо, уполномоченное на решение вопросов в сфере обеспечения безопасности КИИ, и оформить соответствующую доверенность на право действовать от имени юридического лица при рассмотрении таких вопросов.

Ответ: в соответствии с п. 16 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127 (Правила категорирования): «Акт по результатам категорирования подписывается членами комиссии по категорированию и утверждается руководителем субъекта критической информационной инфраструктуры».

Таким образом, уполномоченное руководителем субъекта КИИ лицо в вправе утвердить акт по результатам категорирования только в случае наличия соответствующей доверенности, позволяющей действовать от имени юридического лица.

Уполномоченное лицо выполняет следующие функции:

• возглавляет постоянно действующей комиссии по категорированию или входит в ее состав в качестве членов комиссии (подп. «а», п. 11 Правил категорирования);
• имеет право подписывать «Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости…» (приказ ФСТЭК России от 22.12.2017 № 236);
• иные функции, определенные в приказе единоличного исполнительного органа о назначении уполномоченного лица.

Ответ: в рамках категорирования проводится только рассмотрение возможных действий нарушителей и анализ угроз безопасности по отношению к имеющимся у организации объектам КИИ, это следует из буквального толкования подп. «г» п. 14 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127. Данный анализ может проводиться как на основании уже имеющихся для ОКИИ моделей угроз и нарушителей, например, подготовленных ранее в рамках мероприятий по обеспечения безопасности персональных данных или автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, так и на основании описания возможных действий нарушителей и угроз безопасности объектам информатизации организации, содержащегося, например в Политике информационной безопасности организации.

Разработка моделей угроз и нарушителей необходима перед проектированием системы обеспечения безопасности объектов, имеющих категорию значимости, в рамках исполнения приказа ФСТЭК России от 25.12.2017 № 239 и в рамках выполнения обязательных мероприятий приказа ФСТЭК России от 21.12.2017 № 235.

Ответ: не нужно.

Действующее законодательство не содержит требований об информировании ФСТЭК России о создании комиссии по категорированию, ее составе и изменениях в ее составе. Кроме того, следует иметь ввиду также и то, что в ФСТЭК России не требуется отправлять подписанный комиссией акт о категорировании.

Постановлением Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» предусмотрена обязанность субъекта КИИ перед началом категорирования создать постоянно действующую комиссию, определен перечень включаемых в нее лиц (пп. 11, 11(1), 11(2), 12), руководитель комиссии определяется в соответствии с п. 13; п. 11(3) определены случаи расформирования комиссии по категорированию.

Ответ: комиссия создается приказом единоличного исполнительного органа организации. Приказ о создании Комиссии по категорированию может включать:

• ссылки на нормативные правовые акты, в соответствии с которыми функционирует Комиссия (Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»; постановления Правительства Российской Федерации от 08.02.2018 № 127 (ПП-127); ведомственных нормативных правовых актов);
• инициацию создания Комиссии с определением ее состава и ролей, а также с указанием на ее постоянное действие на протяжении существования организации в качестве субъекта КИИ;
• границы действия Комиссии головной организации относительно обособленных подразделений (филиалов, представительств), порядок взаимодействия и осуществления контроля при осуществлении категорирования в обособленных подразделениях;
• утверждение Положения о Комиссии по категорированию, либо описание действий комиссии (процесса категорирования с учетом особенностей технологических и бизнес-процессов организации) и определение ответственности ее участников в теле приказа;
• назначение уполномоченного лица в части исполнения законодательства о безопасности КИИ и (или) порядок осуществления контроля за деятельностью комиссии.

Требования к составу Комиссии по категорированию определены в пп. 11, 11.1, 11.2, 11.3, 12, 13 Правил категорирования ОКИИ Российской Федерации, утв. ПП-127.

Ответ: 3 показатель Перечня показателей критериев значимости, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127, применим для организаций, эксплуатирующих или взаимодействующих с объектами транспортной инфраструктуры.

В соответствии с Федеральным законом от 09.02.2007 № 16-ФЗ «О транспортной безопасности»: «Объекты транспортной инфраструктуры - технологический комплекс, включающий в себя»:

• железнодорожные вокзалы и станции, автовокзалы и автостанции;
• объекты инфраструктуры внеуличного транспорта;
• тоннели, эстакады, мосты;
• морские терминалы, акватории морских портов;
• порты;
• аэропорты и аэродромы;
• участки автомобильных дорог, железнодорожных и внутренних водных путей, вертодромы, посадочные площадки, здания, строения и сооружения, обеспечивающие управление транспортным комплексом и тд.

Соответственно, в случае если прекращение или нарушение функционирования критических процессов субъекта КИИ не приводит к последствиям, связанным с нарушением деятельности указанных выше объектов, показатель неприменим к категорируемым ОКИИ.

Ответ: п. 29.4 приказа ФСТЭК России от 25.12.2017 № 239 (далее –Приказ № 239) установлено 3 роли по реализации требований к безопасной разработке прикладного программного обеспечения (далее – ПО) значимых объектов критической информационной инфраструктуры (далее – КИИ):

• разработчик прикладного ПО – осуществляет непосредственную реализацию требований к безопасной разработке прикладного ПО в соответствии с п. 29.3 Приказа № 239;

• лицо, выполняющее работы по созданию (модернизации, реконструкции или ремонту) значимого объекта КИИ и (или) обеспечению его безопасности – осуществляет оценку соответствия материалов и документов, представляемых разработчиком, требованиям технического задания (частного технического задания) на соответствующие работы;

• субъект КИИ – получает оценку соответствия прикладного ПО требованиям технического задания (частного технического задания), в том числе в части соответствия п. 29.3 Приказа № 239, от лица, осуществляющего работы по созданию (модернизации, реконструкции или ремонту) значимого объекта КИИ.

Разработчиком прикладного ПО может быть как субъект КИИ, так и сторонняя организация, обладающая достаточным опытом, в том числе в части реализации процессов безопасной разработки. Субъект КИИ может снизить регуляторные- (комплаенс-) риски за счет привлечения к процессам создания (модернизации, реконструкции или ремонта) лицензиата ФСТЭК России (в части обеспечения безопасности), в таком случае гражданско-правовая ответственность за качество проведения оценки соответствия прикладного ПО и достаточность мер для исполнения п. 29.3 будет на лицензиате.

Ответ: в соответствии с п. 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. Постановлением Правительства РФ от 08.02.2018 № 127: «Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения дополнений, изменений)».

Ответ: необходимо указать адреса обособленных подразделений (филиалов, представительств) субъекта КИИ, в которых размещаются сегменты распределенного ОКИИ; можно указать кадастровый номер участка либо указать географические координаты; описать местонахождение ОКИИ (место базирования), в случае если ОКИИ не имеет постоянного адреса.

Ответ: активное сетевое оборудование необходимо указывать при его наличии в составе ОКИИ, т.к. оно относится к программно-аппаратным средствам, соответствующая отметка стоит в форме, утв. приказом ФСТЭК России от 22.12.2017 № 236.

Ответ: в части 6 «Сведений о результатах присвоения ОКИИ категории значимости…» указываются актуальные угрозы безопасности информации согласно БДУ ФСТЭК России и иные угрозы безопасности информации, в случае их отсутствия в БДУ ФСТЭК России. В случае отсутствия актуальных угроз, необходимо привести соответствующее обоснование.

Ответ: установленной формы акта категорирования нет. При этом п. 16 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127, устанавливает, что акт должен содержать сведения об ОКИИ, сведения о присвоенной ОКИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Допускается оформление единого акта по результатам категорирования нескольких ОКИИ, принадлежащих одному субъекту КИИ.

Ответ: постановлением Правительства Российской Федерации от 13.04.2019 г. № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» определено:

• п. 2: «Субъектам критической информационной инфраструктуры – государственным органам и государственным учреждениям утвердить до 1 сентября 2019 г. перечень объектов критической информационной инфраструктуры, подлежащих категорированию»;
• п. 3: «Рекомендовать субъектам критической информационной инфраструктуры – российским юридическим лицам и (или) индивидуальным предпринимателям утвердить до 1 сентября 2019 г. перечень объектов критической информационной инфраструктуры, подлежащих категорированию».

Ответ: в п. 3.1 «Сведений о результатах присвоения ОКИИ категории значимости…» необходимо указать категорию собственной сети электросвязи в соответствии с приведенным в форме примером и главой 3 Федерального закона от 07.07.2003 № 126-ФЗ «О связи»: «(общего пользования, выделенная, технологическая, присоединенная к сети связи общего пользования, специального назначения, другая сеть связи для передачи информации при помощи электромагнитных систем)». Федеральный закон «О связи» можно использовать для определения типа сети электросвязи с которой осуществляется взаимодействие ОКИИ.

Если сеть связи входит в состав локальной архитектуры ОКИИ, указывать категорию сети электросвязи в п. 3.1 нет необходимости (указать отметку об отсутствии взаимодействия ОКИИ с сетями электросвязи).

Ответ: в соответствии с подпунктом «и» пункта 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127 (Правила категорирования), «Сведения о результатах присвоения ОКИИ категории значимости…» должны включать: «Организационные и технические меры, применяемые для обеспечения безопасности объекта критической информационной инфраструктуры, либо сведения об отсутствии необходимости применения указанных мер».

Учитывая изложенное, вне зависимости от того, присвоена ли ОКИИ категория значимости или нет, в пункте 9.1 «Сведений о результатах присвоения ОКИИ категории значимости…» в соответствии с Правилами категорирования и «Формой направления сведений о результатах присвоения ОКИИ одной из категорий значимости…», утв. приказом ФСТЭК России от 22.12.2017 № 236, указываются организационные меры (установление контролируемой зоны, контроль физического доступа к объекту, разработка документов (регламентов, инструкций, руководств) по обеспечению безопасности объекта), а в пункте 9.2 – технические меры по идентификации и аутентификации, управлению доступом, ограничению программной среды, антивирусной защите и иные меры в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239.

Ответ: в разумный срок.

Конкретного, нормативно закрепленного срока создания системы безопасности ЗОКИИ – нет. Но важно учитывать следующие моменты:

• обязанность по созданию системы безопасности возникает с момента включения объекта в реестр ЗОКИИ ФСТЭК России (ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»);
• одним из оснований для включения в план проверок соблюдения субъектом КИИ требований по обеспечению безопасности, является истечение трех лет со дня внесения сведений об ОКИИ в реестр ЗОКИИ ФСТЭК России (п. 12 Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры российской федерации, утв. постановлением Правительства Российской Федерации от 17.02.2018 № 162);
• нарушение требований к созданию систем безопасности ЗОКИИ и обеспечению их функционирования либо требований по обеспечению безопасности ЗОКИИ, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния, влечет наложение административного штрафа: на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей (ч. 1 ст. 13.12.1 КоАП РФ).

Ответ: да, в соответствии с п. 33 ст. 2 Федерального закона от 07.07.2003 № 126-ФЗ «О связи»: «Электросвязь – любые излучение, передача или прием знаков, сигналов, голосовой информации, письменного текста, изображений, звуков или сообщений любого рода по радиосистеме, проводной, оптической и другим электромагнитным системам». Если ОКИИ в процессе обработки информации взаимодействует со спутниковыми системами навигации и (или) с системами спутниковой связи, необходимо заполнить часть 3 «Сведений о результатах присвоения ОКИИ категории значимости…», указав:

• категорию сети электросвязи (сеть электросвязи специального назначения, сеть спутниковой электросвязи, спутниковая система навигации и т.п.);
• наименование оператора связи и (или) провайдера хостинга (наименование организации, оказывающей услуги связи, при наличии);
• цель взаимодействия с сетью электросвязи (радионавигация, передача (прием) информации и т.п.);
• способ взаимодействия с сетью электросвязи с указанием типа доступа к сети электросвязи (беспроводной).

Ответ: ФСТЭК России, 105066, г. Москва, ул. Старая Басманная, д. 17.

Ответ: во ФСТЭК России есть горячая линия по вопросам организации обеспечения безопасности объектов КИИ (тел. +7 (499) 246-11-89).

Ответ: процедура направления Перечней ОКИИ и «Сведений о результатах присвоения ОКИИ категории значимости…», по форме приказа ФСТЭК России № 236, разъяснена в Информационном сообщением ФСТЭК России от 17.04.2020 г. № 240/84/611 «По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

Перечень ОКИИ, подлежащих категорированию и «Сведения о результатах присвоения ОКИИ категории значимости…», по форме приказа ФСТЭК России от 22.12.2017 № 236, необходимо направить в печатном и электронном виде (рекомендуемый формат .ods или .odt) по адресу:

ФСТЭК России, 105066, г. Москва, ул. Старая Басманная, д. 17.

Корреспонденция принимается законвертированной, при наличии двух реестров, с печатью организации отправителя.

Ответ: для получения консультации от ФСТЭК России по вопросам категорирования ОКИИ, в том числе для уточнения статуса направленной документации, необходимо обратиться по телефонам, указанным на сайте службы:

Координация обеспечения безопасности объектов КИИ в сферах оборонного комплекса, ракетно-космического комплекса, горнодобывающей и металлургической промышленности – +7 (495) 605-33-84.

Координация обеспечения безопасности объектов КИИ в сферах науки, связи, транспорта, здравоохранения, банковской сфере и иных сферах финансового рынка – +7 (499) 252-49-68.

Координация обеспечения безопасности объектов КИИ в сферах энергетического комплекса, атомной энергии, химической промышленности – +7 (499) 252-51-01.

Ответ: статья 274.1 УК РФ предусматривает пять составов преступления:

Часть	Содержание правовой нормы	За что можно понести уголовную ответственность	Особенности	Ответственность
1	Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации.	Создание, Использование, Распространение компьютерных программ или иной информации которые могут оказать негативное воздействие на КИИ.	Состав формальный: достаточно лишь выполнения указанных действий, наличие вреда не обязательно. Возможно прекращение уголовного преследования по данному составу лица, впервые совершившего уголовное преступление, если после совершения оно добровольно явилось с повинной, способствовало раскрытию преступления, возместило причиненный ущерб или вред (при наличии). Например, Решение Петропавловск-Камчатского городского суда Камчатского края по делу № 1-345/2019.	Принудительные работы на срок до 5 лет с ограничением свободы на срок до 2 лет или без такового. Лишение свободы на срок от 2 до 5 лет со штрафом в размере от 500 000 до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.
2	Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации.	Доступ к информации содержащейся в КИИ с нарушением установленных правил, в результате которого был причинен вред.	Материальный состав: должен быть факт наличия вреда. Подобным фактом может быть: нарушение работоспособности; хищение финансовых средств; уничтожение информации и т.п.	Принудительные работы на срок до 5 лет со штрафом в размере от 500 000 до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 3 лет и с ограничением свободы на срок до 2 лет или без такового. Лишение свободы на срок от 2 до 6 лет со штрафом в размере от 500 000 до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.
3	Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации.	Нарушение правил доступа к информации в КИИ, либо правил эксплуатации средств обработки информации в КИИ повлекшее причинение вреда.	Состав нацелен прежде всего на работников субъектов КИИ или лиц, имеющих легальный доступ к информации, обрабатываемой объектами КИИ. Состав материальный: должен быть факт наличия вреда. Подобным фактом может быть: нарушение работоспособности; хищение финансовых средств; уничтожение информации и т.п.	Принудительные работы на срок до 5 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового. Лишение свободы на срок до 6 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
4	Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения.	Совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения.	Квалифицированный состав – группа лиц по предварительному сговору (например, хакерская группировка) или лицо с использованием служебного положения (например, администратор системы).	Лишение свободы на срок от 3 до 8 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
5	Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия.	Деяние повлекшее тяжкие последствия.	Тяжкие последствия – оценочный показатель. Возможные варианты: причинение тяжкого вреда здоровью; человеческие жертвы; существенное ухудшение качества окружающей среды или состояния ее объектов, устранение которого требует длительного времени и больших финансовых и материальных затрат; уничтожение отдельных объектов; деградация земель и иные негативные изменения окружающей среды, препятствующие ее сохранению и правомерному использованию; крупные аварии; длительная остановка транспорта или производственного процесса; нарушение деятельности организации; причинение значительного материального ущерба.	Лишение свободы на срок от 5 до 10 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.

Ответ: федеральный закон от 26.03.2021 № 141-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» наделяет полномочиями по рассмотрению дел об административных правонарушениях ФСТЭК России и ФСБ России и определяет меры административной ответственности к субъектам КИИ. В соответствии со ст. 13.12.1 и 19.7.15 КоАП РФ, предусмотрены следующие меры административной ответственности:

Правонарушитель	Административный штраф	Полномочный орган исполнительной власти	Административное правонарушение
Должностное лицо	От 10 тыс. руб. до 50 тыс. руб.	ФСТЭК России	Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ, если такие действия (бездействие) не содержат уголовно наказуемого деяния. Непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объектов КИИ.
		ФСБ России	Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ. Непредставление или нарушение порядка, либо сроков представления информации в ГосСОПКА.
	От 20 тыс. руб. до 50 тыс. руб.	ФСБ России	Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.
Юридическое лицо	От 50 тыс. руб. до 100 тыс. руб.	ФСТЭК России	Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ, если такие действия (бездействие) не содержат уголовно наказуемого деяния. Непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объектов КИИ.
	От 100 тыс. руб. до 500 тыс. руб.	ФСБ России	Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ. Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты. Непредставление или нарушение порядка, либо сроков представления информации в ГосСОПКА.

Ответ: ФСБ России выпустила следующие методические документы:

В открытом доступе:

• Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСБ России от 19.06.2019 № 282.


• Порядок представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утв. приказом ФСБ России от 24.07.2018 № 367.


• Перечень информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утв. приказом ФСБ России от 24.07.2018 № 367.


• Порядок обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, утв. приказом ФСБ России от 24.07.2018 № 368.


• Порядок получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения, утв. приказом ФСБ России от 24.07.2018 № 368.


• Порядок, технические условия установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСБ России от 19.06.2019 № 281.


• Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак.


• Регламент взаимодействия подразделений Федеральной службы безопасности Российской Федерации и организации при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак.

С грифом «Для служебного пользования»:

• Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы Российской Федерации.


• Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.


• Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.


• Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Ответ: в соответствии с ч. 2 ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ), субъекты КИИ обязаны незамедлительно информировать о компьютерных инцидентах ФСБ России в лице НКЦКИ. В п. 4, ч. 2, ст. 10 187-ФЗ в качестве одной из основных задач системы безопасности ЗОКИИ определено: «Непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».

При этом в «Порядке информирования ФСБ России о компьютерных инцидентах …», утв. приказом ФСБ России от 19.06.2019 № 282, установлена возможность представления информации о компьютерных инцидентах в ГосСОПКА с использованием технической инфраструктуры НКЦКИ либо с помощью почтовой, факсимильной или электронной связи.

Учитывая необходимость предоставления сложной технической информации о компьютерном инциденте при взаимодействии с НКЦКИ (наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой; связь с другими компьютерными инцидентами (при наличии); состав технических параметров компьютерного инцидента; последствия компьютерного инцидента), можно сделать вывод:

• де-юре не установлено требование к созданию собственного центра ГосСОПКА для взаимодействия с технической инфраструктурой НКЦКИ;
• де-факто необходимость представления сложной технической информации для всех ОКИИ, и реализация задачи непрерывного взаимодействия с ГосСОПКА для ЗОКИИ, с трудом реализуется без организации собственного центра ГосСОПКА с подключением к технической инфраструктуре НКЦКИ, либо без аутсорсинга соответствующей функции поставщику услуг.

Ответ: для подключения к ГосСОПКА лицензии не требуются. Подключение к ГосСОПКА осуществляется в рамках исполнения обязанностей, возложенных на субъекта КИИ ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры», либо в рамках соглашения по взаимодействию между ФСБ России и корпоративным (ведомственным) центром ГосСОПКА.

Ответ: принятие решения о подключении к технической инфраструктуре НКЦКИ является правом субъекта КИИ. Подготовка Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, создание системы реагирования на компьютерные инциденты и её обеспечение кадровым ресурсом является обязательством для субъектов, которым принадлежат ЗОКИИ. Таким образом, субъекты КИИ, которым принадлежат ЗОКИИ, должны создать систему реагирования на инциденты.

Ответ: для собственных нужд (только в рамках своего юридического лица) – лицензия ФСБ России на работу с гостайной, если нужен доступ к методическим документам ФСБ России по обнаружению, предотвращению и ликвидации последствий компьютерных атак.

В рамках организации корпоративных центров ГосСОПКА для нужд холдинга или для предоставления коммерческих услуг: лицензия ФСТЭК России на деятельность по технической защите информации для оказания услуг по мониторингу информационной безопасности средств и систем информатизации (п. «в»).

При обработке сведений, составляющих государственную тайну:

• лицензия ФСБ России (на криптографию);
• лицензия ФСБ России на работу с гостайной – если нужен доступ к методическим документам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак.

Ответ: в состав методических документов по взаимодействию с ГосСОПКА входят:

• Требования к подразделениям и должностным лицам субъекта ГосСОПКА.
• Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА.
• Регламент взаимодействия НКЦКИ и организации-центра ГосСОПКА при информировании ФСБ России о компьютерных инцидентах, реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак.
• Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы.
• Методические рекомендации по устранению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов.
• Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак.

Документы имеют гриф «Для служебного пользования», для их получения необходимо направить письменный запрос на имя Директора НКЦКИ по адресу: 107031, г. Москва, ул. Большая Лубянка, д. 1/3.

В запросе необходимо указать:

• цель получения документов;
• сведения о наличии лицензий ФСБ России;
• предполагаемую зону ответственности.

Ответ: приказом ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…» установлено, что информирование осуществляется путем направления информации в НКЦКИ в соответствии с определенными НКЦКИ форматами с использованием технической инфраструктуры НКЦКИ, либо, в случае отсутствия подключения к данной технической инфраструктуре, информация передается субъектом КИИ посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети «Интернет» по адресу: http://cert.gov.ru.

В настоящий момент на сайте НКЦКИ для направления сообщений о компьютерных инцидентах указан только адрес электронной почты: incident@cert.gov.ru.

Ответ: согласно приказу ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…», информация о компьютерном инциденте в организации, осуществляющей деятельность в банковской сфере и иных сферах финансового рынка, направляется как в НКЦКИ, так и в Банк России (ФинЦЕРТ).

На практике автоматизированная система обработки информации ФинЦЕРТ в автоматическом режиме направляет информацию об инцидентах в отношении ОКИИ в НКЦКИ.

Ответ: согласно п. 4 приказа ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…»: «Информация о компьютерном инциденте, связанном с функционированием значимого объекта критической информационной инфраструктуры, направляется субъектом критической информационной инфраструктуры в НКЦКИ в срок не позднее 3 часов с момента обнаружения компьютерного инцидента, а в отношении иных объектов критической информационной инфраструктуры – в срок не позднее 24 часов с момента его обнаружения».

Согласно п. 14: «О результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, информирует НКЦКИ в срок не позднее 48 часов после завершения таких мероприятий».

Аналогичные сроки и для информирования Банка России финансовыми организациями через Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ).

Ответ: в соответствии с приказом ФСТЭК России от 27.03.2019 № 64 «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утв. приказом Федеральной службы по техническому и экспортному контролю от 21.12.2017 № 235» для работников структурного подразделения по безопасности (специалистов по безопасности) установлены следующие требования:

• наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению «Информационная безопасность» (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;


• наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов)4


• прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению «Информационная безопасность».

Требования о том, что часы обучения должны быть аудиторными (как, например в Положении о лицензировании деятельности по технической защите конфиденциальной информации, утв. постановлением Правительства Российской Федерации от 03.02.2012 № 79) не установлено, следовательно прохождение удаленного обучения возможно.

Ответ: в соответствии с п. 15 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утв. приказом ФСТЭК России от 21.12.2017 № 235 (Требования к созданию систем безопасности ЗОКИИ): «…до работников должны быть доведены положения организационно-распорядительных документов по безопасности значимых объектов в части, их касающейся.

Субъект критической информационной инфраструктуры должен проводить не реже одного раза в год организационные мероприятия, направленные на повышение уровня знаний работников по вопросам обеспечения безопасности критической информационной инфраструктуры и о возможных угрозах безопасности информации».

В соответствии с п.п. «в» п. 25 Требований к созданию систем безопасности ЗОКИИ: «Организационно-распорядительные документы по безопасности значимых объектов должны определять: правила безопасной работы работников субъекта критической информационной инфраструктуры на значимых объектах критической информационной инфраструктуры, действия работников субъекта критической информационной инфраструктуры при возникновении компьютерных инцидентов и иных нештатных ситуаций» (Правила безопасной работы).

Таким образом, в рамках обучения пользователей ЗОКИИ, субъекту КИИ необходимо провести следующие мероприятия:

1. Ознакомить под подпись пользователей с организационно-распорядительными документами в части безопасности КИИ.
2. Обеспечить возможность ознакомления пользователей ЗОКИИ с Правилами безопасной работы при необходимости (организовать хранение на рабочих местах либо в структурном подразделении пользователя).
3. Составить годовой план обучения пользователей в части безопасности КИИ, с учетом п. 13.6, 13.7 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239, в котором предусмотреть обучение по следующим тематикам:
   • общие вопросы обеспечения безопасности ОКИИ;
   • угрозы безопасности, актуальные принадлежащим субъекту ЗОКИИ;
   • обучение и отработка действий персонала по обеспечению безопасности ЗОКИИ в случае возникновения нештатных ситуаций (компьютерных инцидентов);
   • обучение персонала правилам эксплуатации отдельных средств защиты информации, включая проведение практических занятий;
   • контроль осведомленности персонала об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения безопасности КИИ.

Ответ: приказом ФСТЭК России от 27.03.2019 № 64 «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21.12.2017 № 235» введены следующие требования к квалификации и стажу работы для сотрудников структурного подразделения по обеспечению безопасности субъекта КИИ:

• наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению «Информационная безопасность» (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;


• наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов);


• прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению «Информационная безопасность».

Ответ: не требуется.

Требование об осуществлении круглосуточного дежурства работников, ответственных за обеспечение безопасности ЗОКИИ, в действующем законодательстве отсутствует.

П. 4 приказа ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…» предписывает информировать о компьютерном инциденте на ЗОКИИ не позднее 3 часов с момента обнаружения, т.е. с момента, когда сотруднику, ответственному за обеспечение безопасности, стало о нем известно.

Ответ: как таковой состав организационно-распорядительных документов (ОРД), регламентирующих меры по обеспечению безопасности ЗОКИИ, нигде не утвержден.

При подготовке комплекта ОРД следует руководствоваться:

• Постановлением Правительства Российской Федерации от 08.02.2018 № 127.
• Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утв. приказом ФСТЭК России от 21.12.2017 № 235.
• Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239, так называемыми «нулевыми мерами».
• Порядком информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСБ России от 19.06.2019 № 282.

С учетом вышеизложенного рекомендуемый состав ОРД можно представить следующим образом:

• Положение о комиссии по категорированию.
• Политика обеспечения безопасности ЗОКИИ.
• Порядок проведения испытаний или приемки средств защиты информации.
• План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.
• Порядок информирования и обучения работников.
• Порядок взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.
• Правила безопасной работы работников организации на ЗОКИИ.
• Положение о структурном подразделении, отвечающим за безопасность ЗОКИИ.
• Должностные инструкции сотрудников, обеспечивающих безопасность ЗОКИИ.
• Регламенты процессов: планирования и разработки мероприятий по обеспечению безопасности ЗОКИИ; реализации (внедрения) мероприятий по обеспечению безопасности ЗОКИИ; контроля состояния безопасности ЗОКИИ; совершенствования безопасности ЗОКИИ.
• Регламент обеспечения безопасности ЗОКИИ в ходе их создания, эксплуатации, и вывода из эксплуатации.
• Регламент идентификации и аутентификации.
• Регламент управления доступом.
• Регламент управления конфигурацией информационной (автоматизированной) системы, управления обновлениями программного обеспечения и ограничением программной среды.
• Регламент защиты машинных носителей информации.
• Регламент мониторинга и аудита информационной безопасности.
• Регламент антивирусной защиты.
• Регламент по организации обнаружения и предотвращения компьютерных атак.
• Регламент по обеспечению целостности и доступности информации.
• Регламент защиты технических средств и систем, информационной (автоматизированной) системы и ее компонентов.
• Регламент реагирования на компьютерные инциденты.
• Регламент по планированию мероприятий по обеспечению безопасности.
• Регламент по организации действий в нештатных ситуациях.
• Регламент информирования и обучения персонала.

Конечный состав и формы ОРД по безопасности ЗОКИИ определяются организацией с учетом ее размеров и особенностей деятельности.

Ответ: ФСТЭК России осуществляет контроль в соответствии с постановлением Правительства Российской Федерации от 17.02.2018 № 162, только в отношении ЗОКИИ. Перечень нормативных правовых актов или их отдельных частей, оценка соблюдения которых является предметом государственного контроля (надзора) в области обеспечения безопасности ЗОКИИ, утв. приказом ФСТЭК России от 16.07.2019 № 135.

Проверяются части 1, 2, 4, 5, 9, 12 ст. 7, ст. 9, ст. 10 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и соблюдение процедуры категорирования в соответствии с пунктами 1-18, 20, 21 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127.

Также проверяется выполнение требований, утв. приказами ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239.

Ответ: да, может. В соответствии с:

• п. 3 Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры российской федерации, утв. постановлением Правительства Российской Федерации от 17.02.2018 № 162 (Правила осуществления государственного контроля): «Государственный контроль в области обеспечения безопасности КИИ осуществляется путем проведения плановых и внеплановых выездных проверок»;
• п. 20 Правил осуществления государственного контроля: «Основаниями для осуществления внеплановой проверки являются:
  1. истечение срока выполнения субъектом КИИ выданного органом государственного контроля предписания об устранении выявленного нарушения требований по обеспечению безопасности;
  2. возникновение компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия;
  3. приказ органа государственного контроля, изданный в соответствии с поручением Президента Российской Федерации или Правительства Российской Федерации либо на основании требования прокурора об осуществлении внеплановой проверки в рамках проведения надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям».