На вопросы отвечает
Михаил Голдобин
Эксперт в области обеспечения безопасности КИИ
NEW! Ответственность: какие меры административной ответственности предусмотрены за нарушение законодательства о безопасности КИИ?

Ответ: федеральный закон от 26.03.2021 № 141-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» наделяет полномочиями по рассмотрению дел об административных правонарушениях ФСТЭК России и ФСБ России и определяет меры административной ответственности к субъектам КИИ. В соответствии со ст. 13.12.1 и 19.7.15 КоАП РФ, предусмотрены следующие меры административной ответственности:

ПравонарушительАдминистративный штрафПолномочный орган исполнительной власти Административное правонарушение
 Должностное лицо

От 10 тыс. руб.
до 50 тыс. руб.

    ФСТЭК России
  • Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ, если такие действия (бездействие) не содержат уголовно наказуемого деяния.
  • Непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объектов КИИ.
    ФСБ России
  • Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ.
  • Непредставление или нарушение порядка, либо сроков представления информации в ГосСОПКА.

От 20 тыс. руб.
до 50 тыс. руб.

ФСБ России

 
  • Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.

Юридическое лицо

От 50 тыс. руб.
до 100 тыс. руб.

ФСТЭК России

  • Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ, если такие действия (бездействие) не содержат уголовно наказуемого деяния.
  • Непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объектов КИИ.

От 100 тыс. руб.
до 500 тыс. руб.

ФСБ России

  • Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ.
  • Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.
  • Непредставление или нарушение порядка, либо сроков представления информации в ГосСОПКА.
NEW! Категорирование: каким образом создается Комиссия по категорированию и какие требования к ней предъявляются?

Ответ: комиссия создается приказом единоличного исполнительного органа организации. Приказ о создании Комиссии по категорированию может включать:

  • ссылки на нормативные правовые акты, в соответствии с которыми функционирует Комиссия (Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»; постановления Правительства Российской Федерации от 08.02.2018 № 127 (ПП-127); ведомственных нормативных правовых актов);
  • инициацию создания Комиссии с определением ее состава и ролей, а также с указанием на ее постоянное действие на протяжении существования организации в качестве субъекта КИИ;
  • границы действия Комиссии головной организации относительно обособленных подразделений (филиалов, представительств), порядок взаимодействия и осуществления контроля при осуществлении категорирования в обособленных подразделениях;
  • утверждение Положения о Комиссии по категорированию, либо описание действий комиссии (процесса категорирования с учетом особенностей технологических и бизнес-процессов организации) и определение ответственности ее участников в теле приказа;
  • назначение уполномоченного лица в части исполнения законодательства о безопасности КИИ и (или) порядок осуществления контроля за деятельностью комиссии.

Требования к составу Комиссии по категорированию определены в пп. 11, 11.1, 11.2, 11.3, 12, 13 Правил категорирования ОКИИ Российской Федерации, утв. ПП-127.

NEW! Категорирование: к каким организациям и в каком случае применим 3 показатель из Перечня показателей критериев значимости (Прекращение или нарушение функционирования объектов транспортной инфраструктуры)?

Ответ: 3 показатель Перечня показателей критериев значимости, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127, применим для организаций, эксплуатирующих или взаимодействующих с объектами транспортной инфраструктуры.

В соответствии с Федеральным законом от 09.02.2007 № 16-ФЗ «О транспортной безопасности»: «Объекты транспортной инфраструктуры - технологический комплекс, включающий в себя»:

  • железнодорожные вокзалы и станции, автовокзалы и автостанции;
  • объекты инфраструктуры внеуличного транспорта;
  • тоннели, эстакады, мосты;
  • морские терминалы, акватории морских портов;
  • порты;
  • аэропорты и аэродромы;
  • участки автомобильных дорог, железнодорожных и внутренних водных путей, вертодромы, посадочные площадки, здания, строения и сооружения, обеспечивающие управление транспортным комплексом и тд.

Соответственно, в случае если прекращение или нарушение функционирования критических процессов субъекта КИИ не приводит к последствиям, связанным с нарушением деятельности указанных выше объектов, показатель неприменим к категорируемым ОКИИ.

NEW! Категорирование: как корректно рассчитать 8 показатель из Перечня показателей критериев значимости (возникновение экономического ущерба субъекту КИИ)?

Ответ: рекомендации по оценке показателей критериев экономической значимости приведены в виде проекта методического документа на сайте ФСТЭК России. В общем виде порядок следующий:

Шаг 1. Определить применимость показателя к субъекту КИИ. В соответствии с Перечнем показателей критериев значимости, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127, показатель применим для:

  1. Государственных корпораций.
  2. Государственных унитарных предприятий.
  3. Государственных компаний.
  4. Стратегических акционерных обществ и стратегических предприятий.

Принадлежность организации к государственным корпорациям, государственным унитарным предприятиям и государственным компаниям определяется по Общероссийскому классификаторы организационно-правовых форм (ОКОПФ) исходя из выписки из Единого государственного реестра юридических лиц (ЕГРЮЛ) или открытых источников:

  • ОКОПФ 7 16 01 – государственные корпорации.
  • ОКОПФ 7 16 02 – государственные компании.
  • ОКОПФ 6 и вложенные уровни (коды), например: 6 51 41; 6 52 43 и тд. – государственные унитарные предприятия.

Принадлежность организации к стратегическим акционерным обществам и стратегическим предприятиям определяется исходя из факта включения организации в Перечень стратегических предприятий и стратегических акционерных обществ, утв. указом Президента Российской Федерации от 04.08.2004 № 1009 (необходимо использовать последнюю редакцию).

Шаг 2. Для определения годового объема доходов, усредненного за прошедший пятилетний период, необходимо использовать Отчеты о финансовых результатах организации (форма № 2 бухгалтерской отчетности).

Совокупный годовой доход организации можно определить по статьям: Выручка (2110), Доходы от участия в других организациях (2310), Проценты к получению (2320) и Прочие доходы (2340).

Годовой объем доходов, усредненный за прошедший пятилетний период, рассчитываем как сумму доходов по статьям, указанным выше, за последние пять лет деятельности организации, деленную на пять.

Шаг 3. Далее необходимо определить ущерб как сумму недополученных доходов от простоя (нарушения штатного функционирования) производственной деятельности организации, недоступности каналов дистрибуции, срыва запланированных сделок.

Для расчета соответствующего ущерба необходимо рассматривать сценарии, при которых инцидент на ОКИИ приводит к снижению показателей деятельности организации, либо к сценариям невозможности заключения сделок с контрагентами, невозможности или затруднению осуществления продаж по каналам дистрибуции. При этом, затраты на восстановление штатного режима функционирования и прочие расходы на предотвращение последствий компьютерных атак (инцидентов) в расчете показателя не учитываются.

Расчет потенциального ущерба осуществляется экспертным путем, в состав экспертной группы целесообразно включать специалистов ИТ- ИБ-подразделений, риск-менеджеров, специалистов по экономическому анализу. Для расчета потенциального ущерба могут быть использованы следующие показатели: время восстановления критического процесса до штатных режимов функционирования; время восстановления ОКИИ до штатных режимов функционирования; время недоступности канала дистрибуции; доход от реализации критического процесса; доход по направлениям деятельности (тарифы на электроснабжение, тарифы на теплоснабжение, доход от продажи товаров и услуг и тд.); доход по каналам дистрибуции и тд.

Шаг 4. Итоговым действием делим сумму ущерба (Шаг 3) на усредненный доход (Шаг 2) и умножаем на 100% – получаем значение показателя критерия значимости по п. 8 Перечня показателей критериев значимости, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127.

NEW! Сроки и формы: нужно ли в части 3 Сведений (о взаимодействии с сетями электросвязи) указывать взаимодействие ОКИИ со спутниковыми системами навигации (GPS, ГЛОНАСС), с системами спутниковой связи (Intelsat, Iridium)?
Ответ: да, в соответствии с п. 33 ст. 2 Федерального закона от 07.07.2003 № 126-ФЗ «О связи»: «Электросвязь – любые излучение, передача или прием знаков, сигналов, голосовой информации, письменного текста, изображений, звуков или сообщений любого рода по радиосистеме, проводной, оптической и другим электромагнитным системам». Если ОКИИ в процессе обработки информации взаимодействует со спутниковыми системами навигации и (или) с системами спутниковой связи, необходимо заполнить часть 3 «Сведений о результатах присвоения ОКИИ категории значимости…», указав:
  • категорию сети электросвязи (сеть электросвязи специального назначения, сеть спутниковой электросвязи, спутниковая система навигации и т.п.);
  • наименование оператора связи и (или) провайдера хостинга (наименование организации, оказывающей услуги связи, при наличии);
  • цель взаимодействия с сетью электросвязи (радионавигация, передача (прием) информации и т.п.);
  • способ взаимодействия с сетью электросвязи с указанием типа доступа к сети электросвязи (беспроводной).
NEW! Категорирование: допустимо ли объединение общей корпоративной сети передачи данных головного предприятия и филиалов в единый ОКИИ и освобождает ли такой подход руководство филиалов от проведения процедур категорирования и исполнения 187-ФЗ?

Ответ: в соответствии со ст. 2 Федерального закона от 26.07.2017 №187 «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ) к субъектам КИИ относятся организации, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления (ИС / ИТС / АСУ или обобщенно – ОКИИ), функционирующие, в определенных сферах и отраслях промышленности.

При этом, в ст. 55 ГК РФ определяется правовой статус филиалов и представительств юридических лиц, в частности в ч. 3 устанавливается: «Представительства и филиалы не являются юридическими лицами. Они наделяются имуществом создавшим их юридическим лицом и действуют на основании утвержденных им положений.

Руководители представительств и филиалов назначаются юридическим лицом и действуют на основании его доверенности.

Представительства и филиалы должны быть указаны в едином государственном реестре юридических лиц».

Директора филиалов действуют от имени юридического лица на основании выданной им доверенности. Имущество филиалов принадлежит юридическому лицу, а корпоративные отношения между головной организацией и филиалами устанавливаются в организационно-распорядительных документах юридического лица.

Таким образом, филиалы юридического лица не являются субъектом гражданско-правовых отношений и не являются субъектом права в контексте 187-ФЗ (не могут быть определены как субъекты КИИ). Вне зависимости, по какому признаку были образованы филиалы (территориальному, функциональному и т.п.), при проведении категорирования ОКИИ в филиалах процесс осуществляется от имени юридического лица и является частью процесса категорирования ОКИИ юридического лица.

Что касается допустимости отнесения корпоративной сети предприятия к ОКИИ, – порядок категорирования и последовательность отнесения ИС / ИТС / АСУ к ОКИИ определены в постановлении Правительства РФ от 08.02.2018 № 127 (Правила категорирования). Порядок категорирования в соответствии с Правилами категорирования включает в том числе:

  • определение процессов в рамках видов деятельности субъекта КИИ;
  • выявление процессов, нарушение или прекращение которых может привести к негативным последствиям, – критических процессов;
  • выявление объектов (ИС / ИТС / АСУ), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.

Учитывая, что нет строгих критериев к определению процессов в рамках видов деятельности субъекта КИИ, а также нет требований к декомпозиции таких процессов, – субъект КИИ вправе проводить категорирование в отношении верхнеуровневых процессов, например «Производство лекарственных средств» (сфера здравоохранения).

Аналогично, при выявлении множества критических процессов, субъект КИИ вправе выделять ОКИИ, автоматизирующие несколько процессов сразу, например корпоративную сеть предприятия.

Решение об отнесении ИС / ИТС / АСУ к ОКИИ в конечном итоге принимает руководитель организации на основании результатов категорирования, подготовленных комиссией (либо руководитель филиала, выступающий от имени юридического лица по доверенности). Недостаточная декомпозиция процессов организации или выделение «больших» ОКИИ, например, корпоративной сети, не противоречит законодательству РФ, в частности №187-ФЗ, но требует огромных усилий по созданию системы безопасности таких объектов и негативно влияет на управляемость систем безопасности ОКИИ.

NEW! СБ ЗОКИИ: допустимо ли возложение обязанностей по обеспечению безопасности ЗОКИИ на сотрудника, выполняющего функции системного администратора в филиале организации?
Ответ: в зависимости от ситуации.
  1. Если вопрос касается обеспечения информационной безопасности ОКИИ, которым не присвоена категория значимости, то допустимо, поскольку требования Приказа № 235 (с изменениями от 27.03.2019, внесенными приказом № 64), обязательны для ЗОКИИ. В отношении ОКИИ, которым не присвоена категория значимости, на настоящий день не существует требований по обеспечению информационной безопасности (ИБ), необходимость обеспечения ИБ в отношении таких объектов принимается самостоятельно субъектом КИИ.

  2. Если вопрос касается обеспечения ИБ ЗОКИИ применительно к юридическому лицу, а не к его филиалу (сотрудник в штате головной организации, в составе структурного подразделения по безопасности ЗОКИИ), то недопустимо.
    Допускается возлагать обязанности по обеспечению информационной безопасности (ИБ) ЗОКИИ на специалистов по ИБ в организации с учетом их соответствия установленным требованиям – п.12 Приказа № 235:

    • наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов);
    • прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению «Информационная безопасность».

    При этом обращаем внимание, что п. 13 Приказа № 235 запрещает совмещать функции обеспечения ИБ в отношении других объектов информационной инфраструктуры субъекта КИИ и ЗОКИИ, но как раз не допускает возложение обязанностей по ИБ для иных специалистов (например, ИТ-специалистов).


  3. Если рассматривать вопрос в отношении филиала субъекта КИИ, то ответ неоднозначный: зависит от наличия / отсутствия у филиала подразделения, ответственного за обеспечения безопасности ЗОКИИ.
  4. Учитывая правовой статус филиалов (они не являются субъектами гражданско-правовых отношений и не могут быть субъектами КИИ), а также следующие положения Приказа № 235 в отношении филиалов:

    • системы безопасности создаются в отношении всех ЗОКИИ субъекта КИИ с учетом ЗОКИИ, эксплуатируемых в филиалах;
    • по решению субъекта КИИ для одного или группы ЗОКИИ могут создаваться отдельные системы безопасности;
    • создаваемая система безопасности должна включать силы обеспечения безопасности ЗОКИИ филиалов;
    • по решению руководителя субъекта КИИ в филиалах субъекта КИИ, в которых эксплуатируются ЗОКИИ, создаются (определяются) структурные подразделения по безопасности или назначаются специалисты по безопасности.

    Создание отдельной системы безопасности для филиала право, а не обязанность субъекта КИИ. При этом, при принятии решения об отсутствии необходимости создания отдельной системы безопасности, субъект КИИ должен обеспечить кадровый ресурс филиала силами обеспечения безопасности, достаточными для обеспечения безопасности ЗОКИИ.

    Таким образом, если системный администратор относится к работникам, ответственным за обеспечение безопасности ЗОКИИ филиала (при отсутствии отдельного аналогичного подразделения в головной организации), то к нему предъявляются требования п. 12 и п. 13 Приказа № 235.

    Учитывая состав сил обеспечения безопасности ЗОКИИ, приведенный в п. 4 Приказа № 235, при условии единой системы безопасности юридического лица, включающей подразделение, ответственное за обеспечение безопасности ЗОКИИ, системный администратор, осуществляющий обслуживание вычислительной техники, может иметь статус: «иные работники, участвующие в обеспечении безопасности значимых объектов критической информационной инфраструктуры». В таком случае, требования п. 12 и п. 13 Приказа № 235 на системного администратора распространяться не будут. Отметим также, что в соответствии с Приказом № 235 состав сил обеспечения безопасности, их функции и порядок взаимодействия должны быть определены в организационно-распорядительных документах.

Субъекты КИИ: на кого распространяется Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ)?

Ответ: 187-ФЗ распространяется на следующие хозяйствующие субъекты:

  1. Государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальных предприниматели, которые:
    • функционируют в одной или нескольких из указанных в п. 8 ст. 2 187-ФЗ сферах: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность;
    • владеют на законном основании информационными системами (ИС), информационно-телекоммуникационными сетями (ИТКС) и (или) автоматизированными системами управления (АСУ).
  2. Российские юридических лица и (или) индивидуальных предпринимателей, которые обеспечивают взаимодействие ИС, ИТКС и (или) АСУ, принадлежащих государственным органам, государственным учреждениям, российским юридическим лицам и (или) индивидуальным предпринимателям которые функционируют в одной или нескольких из перечисленных в п. 8 ст. 2 187-ФЗ сферах.
Субъекты КИИ: как определить, что компания является субъектом КИИ?

Ответ: для этого необходимо проанализировать учредительные документы компании (Устав), виды деятельности, указанные в Едином государственном реестре юридических лиц (ЕГРЮЛ) и документы, дающие право на осуществление определенных видов деятельности (лицензии, сертификаты). Затем при помощи Общероссийского классификатора видов экономической деятельности (ОКВЭД-2) определить сферу функционирования компании. Далее необходимо проанализировать, имеет ли компания на праве собственности, аренды или ином законном основании ИС / ИТКС / АСУ, нарушение и (или) прекращение функционирования которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.


Субъекты КИИ: при определении того, что компания является субъектом КИИ нужно смотреть только на основной вид деятельности или также на дополнительные виды деятельности?

Ответ: учитываются все виды деятельности, фактически осуществляемые организацией (указанные в учредительных документах, имеющихся лицензиях и сертификатах).

Субъекты КИИ: является ли страховая компания субъектом КИИ?

Ответ: согласно ст. 76.1 Федерального закона от 10.07.2002 №86-ФЗ «О Центральном банке Российской Федерации (Банке России)» к некредитным финансовыми организациями относятся лица, являющиеся субъектами страхового дела.

Страховые организации являются субъектами страхового дела и признаются субъектами, функционирующими в сфере финансовых рынков.

В соответствии с п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» к субъектам КИИ относятся организации, которым на праве собственности, аренды или на ином законном основании принадлежат ИС/ИТКС/АСУ, функционирующие, в частности, в сферах финансового рынка.

Таким образом, страховые организации, в большинстве случаев являются субъектами КИИ.

Для более точного ответа на поставленный вопрос, является ли конкретная страховая организация субъектом КИИ, следует определить имеет ли организация на праве собственности, аренды или ином законном основании: ИС/ИТКС/АСУ, нарушение и (или) прекращение функционирования которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

Субъекты КИИ: являются органы местного самоуправления (ОМСУ) субъектами КИИ?

Ответ: органы местного самоуправления не являются субъектами КИИ: вид деятельности органов местного самоуправления (администраций) по ОКВЭД: 84.11.3 «Деятельность органов местного самоуправления по управлению вопросами общего характера».

Что касается муниципальных информационных систем: в соответствии с ч. 4 ст. 34 Федерального закона от 06.10.2003 № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации» органы местного самоуправления не входят в систему органов государственной власти, т.е. не являются государственными органами. При этом, следует иметь в виду, что муниципальные информационные системы не обязательно являются ОКИИ и не всегда принадлежат органу местного самоуправления. В соответствии с ч. 1 ст. 13 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» муниципальные информационные системы – это информационные системы, созданные на основании решения органа местного самоуправления.

Таким образом, де-юре, безусловно, единственным определяющим признаком муниципальной информационной системы является ее создание на основании решения органа местного самоуправления, а значит, муниципальная информационная система может принадлежать по сути любому российскому юридическому лицу, например: органу исполнительной власти; подведомственной организации или частной коммерческой организации в рамках государственно-частного партнерства или концессионного соглашения.
Субъекты КИИ: что предпринять, если ни один из осуществляемых видов деятельности организации не попал в сферы, указанные в п. 8 ст. 2 187-ФЗ?

Ответ: если ни один из осуществляемых видов деятельности организации не попадает в перечисленные в п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» сферы, то необходимо это документально зафиксировать. Для этого, в организации создается комиссия, которая проводит работу по определению принадлежности организации к субъектам КИИ и принимает мотивированное решение (см. ниже пример). Данный документ хранится у организации, направление его во ФСТЭК России не требуется.

АКТ

по результатам определения принадлежности организации к субъектам критической информационной инфраструктуры

Комиссия в составе:

Иванов И.И.

Петров П.П.

созданная приказом №_________ от ____._____. провела оценку принадлежности ООО «Наименование организации» к субъектам критической информационной инфраструктуры.

По результатам проведенного анализа комиссия установила:

  1. Основной вид деятельности ООО «Наименование организации» по Общероссийскому классификатору видов экономической деятельности (ОКВЭД) 84.11.3 «Деятельность органов местного самоуправления по управлению вопросами общего характера», следовательно, ООО «Наименование организации» не функционирует ни в одной из сфер, представленных в пункте 8 статьи 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ).

  2. Организации не принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сферах, представленных в пункте 8 статьи 2 187-ФЗ.

  3. Организация не осуществляет взаимодействие систем, перечисленных в пункте 8 стати 2 187-ФЗ.

Комиссия решила:

В соответствии с пунктом 8 статьи 2 № 187-ФЗ ООО «Наименование организации» не является субъектом критической информационной инфраструктуры.

Председатель комиссии

Члены комиссии

Субъекты КИИ: является является ли управляющая компания субъектом КИИ?

Ответ: для ответа на поставленный вопрос, следует проанализировать виды деятельности конкретной управляющей компании, которые она осуществляет, и определить имеет ли организация на праве собственности, аренды или ином законном основании соответствующие объекты: ИС/ИТКС/АСУ.

Рекомендуется следующий подход для определения сферы деятельности компании:

  • определить виды деятельности из учредительных документов, лицензий, сертификатов, Единого государственного реестра юридических лиц (ЕГРЮЛ);
  • воспользоваться общероссийским классификатором видов экономической деятельности (ОКВЭД-2).

Если хотя бы в одном из учредительных документов, лицензий, сертификатов, ЕГРЮЛ присутствует указание на упомянутые в п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» сферы деятельности, если управляющая компания имеет на праве собственности, аренды или ином законном основании: ИС/ИТКС/АСУ, нарушение и (или) прекращение функционирования которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка, можно сделать вывод об отнесении управляющей компании к субъектам КИИ.

Субъекты КИИ: какие предприятия относятся к сфере оборонно-промышленного комплекса: имеющие лицензии Минпромторга России (лицензия на выпуск, утилизацию, реализацию и т.п. военной техники) и включенные в перечень или достаточно только наличие лицензии?

Ответ: организации, включенные в сводный реестр организаций оборонно-промышленного комплекса.

Порядок ведения указанного реестра определяется Положением о ведении сводного реестра организаций оборонно-промышленного комплекса (утв. постановлением Правительства РФ от 20.02.2004 № 96). Информация указанного реестра является сведениями ограниченного доступа (п. 2 постановления Правительства РФ от 20.02.2004 № 96).

Субъекты КИИ: является ли теле/радио компания субъектом КИИ?

Ответ: основными видами деятельности большинства теле/радио компаний являются: 60.10 «Деятельность в области радиовещания» и 60.20 «Деятельность в области телевизионного вещания», входящие в укрупненную группу 60 ОКВЭД-2. Деятельность в области телевизионного и радиовещания, которая, в свою очередь, входит в раздел J «Деятельность в области информации и связи» ОКВЭД-2. Таким образом, теле/радиокомпания, в большинстве случаев, является субъектом КИИ, функционирующим в сфере связи.

Для более точного ответа на поставленный вопрос, является ли конкретная организация субъектом КИИ, следует проанализировать виды деятельности, которые она осуществляет, и определить имеет ли организация на праве собственности, аренды или ином законном основании: ИС/ИТКС/АСУ, нарушение и (или) прекращение функционирования которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

Субъекты КИИ: является ли лизинговая компания субъектом КИИ?

Ответ: несмотря на то, что среди видов деятельности, заявленных в уставных документах лизинговой компании, может встречаться 64.92 «Предоставление займов и прочих видов кредита» ОКВЭД-2, в большинстве случаев, лизинговая компания не будет относиться к субъектам финансового рынка и, соответственно, субъектам КИИ.

Финансовый рынок представляет собой систему торговли деньгами и их эквивалентом, через которую происходит постоянное движение денежных ресурсов между инвесторами, государством, предприятиями и прочими участниками.

В ст. 76.1 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» определены виды деятельности, осуществляемые некредитными финансовыми организациями. Лизинговая деятельность представляет собой деятельность по приобретению имущества, относящегося к непотребляемым вещам, с последующей передачей его за плату во временное владение и пользование. Лизинговая деятельность не соответствует перечню, приведенному в ст. 76.1.

Для более точного ответа на поставленный вопрос, является ли конкретная организация субъектом КИИ, следует проанализировать виды деятельности, которые она осуществляет, и определить имеет ли организация на праве собственности, аренды или ином законном основании: ИС/ИТКС/АСУ, нарушение и (или) прекращение функционирования которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

Субъекты КИИ: является ли аптека (торговля лекарственными средствами/фармацевтической продукцией) субъектом КИИ?

Ответ: аптечные организации бывают двух видов (п. 35 ст. 4 Федерального закона от 12.04.2010 № 61-ФЗ «Об обращении лекарственных средств»):

  1. Самостоятельные юридические лица.
  2. Структурные подразделения медицинских организаций.

В первом случае (самостоятельное юридическое лицо) основным (в т.ч. лицензируемым) видом деятельности такой организации является фармацевтическая деятельность (деятельность, включающая в себя оптовую торговлю лекарственными средствами, их хранение, перевозку и (или) розничную торговлю лекарственными препаратами, их отпуск, хранение, перевозку, изготовление лекарственных препаратов). Данная деятельность в соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» относится к сфере охраны здоровья (здравоохранения).

Во втором случае (структурное подразделение медицинской организации) аптека выступает как составной медицинской организации.

В Приложении 3 Методических рекомендаций по категорированию объектов критической информационной инфраструктуры сферы здравоохранения, утв. Заместителем Министра здравоохранения Российской Федерации от 05.04.2021, приведен Перечень организаций сферы здравоохранения, на которые распространяется область действия соответствующих рекомендаций.

Таким образом, в обоих случаях аптечная организация будет являться субъектом, функционирующим в сфере здравоохранения, т.е. потенциальным субъектом КИИ.

Для более точного ответа на поставленный вопрос, является ли конкретная организация субъектом КИИ, следует проанализировать виды деятельности, которые она осуществляет, и определить имеет ли организация на праве собственности, аренды или ином законном основании: ИС/ИТКС/АСУ, нарушение и (или) прекращение функционирования которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

Объекты КИИ: что является объектом КИИ (ОКИИ)?

Ответ: в соответствии с п. 7 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»: информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры; субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».

Объекты КИИ: что такое значимый объект КИИ (ЗОКИИ)?

Ответ: в соответствии с п. 3 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»: «значимый объект критической информационной инфраструктуры – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры».

Объекты КИИ: есть ли в лечебно-профилактических учреждениях (ЛПУ) ЗОКИИ?

Ответ: ЛПУ относятся к организациям, функционирующим в сфере здравоохранения, а следовательно, в случае, если ЛПУ на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, автоматизирующие производственные или технологические процессы в рамках деятельности в сфере здравоохранения, ЛПУ является субъектом КИИ.

Определить наличие или отсутствие ЗОКИИ можно по итогам проведения процедуры категорирования. В соответствии с ч. 1 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»: «Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения».

С целью получения методической поддержки комиссии по категорированию организации ЛПУ рекомендуется использовать Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения, утв. Заместителем Министра здравоохранения Российской Федерации от 05.04.2021.

Объекты КИИ: какие требования нужно выполнять для ОКИИ, в отношении которых не присвоена категория значимости?

Ответ:

  1. Требования, изложенные в ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (выполняются в соответствии с Правилами категорирования объектов Критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства от 08.02.2018 № 127), включая необходимость уточнения категории значимости в случае внесения изменений в состав ОКИИ или в состав автоматизируемых ими процессов, а также не реже чем один раз в 5 лет.

  2. Требования, изложенные в ч. 2 ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (выполняются в соответствии с нормативными правовыми актами ФСБ России):
    • «незамедлительно информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также Центральный банк Российской Федерации (в случае, если субъект критической информационной инфраструктуры осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в установленном указанным федеральным органом исполнительной власти порядке (в банковской сфере и в иных сферах финансового рынка указанный порядок устанавливается по согласованию с Центральным банком Российской Федерации);

    • оказывать содействие должностным лицам федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;

    • в случае установки на объектах критической информационной инфраструктуры средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность».
Объекты КИИ: относятся ли информационные системы (ИС) бухгалтерского и (или) управленческого учета к ОКИИ?

Ответ: в большинстве случаев такие системы не относятся к ОКИИ и не подлежат категорированию, т.к. не обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ в областях (сферах), установленных п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (Критические процессы).

Объекты КИИ: относятся ли информационные системы (ИС) управления персоналом к ОКИИ?

Ответ: в большинстве случаев такие системы не относятся к ОКИИ и не подлежат категорированию, т.к. не обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ в областях (сферах), установленных п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (Критические процессы).

Объекты КИИ: относятся ли системы пожарной сигнализации, пожаротушения, охранной сигнализации, системы контроля и управления доступом (СКУД), системы видеонаблюдения (в рамках комплекса инженерно-технических средств охраны) к ОКИИ?

Ответ: в большинстве случаев такие системы не относятся к ОКИИ и не подлежат категорированию, т.к. не обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ в областях (сферах), установленных п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (Критические процессы).

В случае если указанные системы не относятся к комплексу инженерно-технических средств охраны, а обеспечивают технологические и (или) производственные процессы субъекта КИИ, например:

  • видеонаблюдение за потенциально опасным технологическим процессом (с целью управления или контроля);
  • система пожаротушения опасного производственного объекта;
  • СКУД, ограничивающая пребывание людей на опасном производственном объекте в рамках реализации отдельных процедур технологического процесса (при необходимости ограничения пребывания эксплуатирующего и обслуживающего персонала в рамках режима промышленной безопасности).

Такие системы относятся к ОКИИ и подлежат категорированию.

Объекты КИИ: являются ли ОКИИ и подлежат ли категорированию системы обеспечения транспортной безопасности, развернутые в соответствии с Федеральным законом «О транспортной безопасности» от 09.02.2007 № 16-ФЗ (16-ФЗ)?

Ответ: информационные (автоматизированные) системы в области транспортной безопасности, созданные во исполнение ст. 11 16-ФЗ в большинстве случаев функционируют в сфере транспорта.

В соответствии с Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127, в Перечень ОКИИ включаются ОКИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.

Соответственно, если информационные (автоматизированные) системы в области транспортной безопасности автоматизируют процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка, то они являются ОКИИ и подлежат категорированию.

Объекты КИИ: в промышленной компании имеются станки с ЧПУ, будут ли они являться ОКИИ (автоматизированная система управления)?

Ответ: в соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»: «Объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры».

«Автоматизированная система управления – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами».

Станок с ЧПУ осуществляет контроль и управление производимыми им технологическими процессами, таким образом, действительно, представляет собой автоматизированную систему управления, и если он принадлежит организации, функционирующей в одной из сфер отнесенных к КИИ, то будет являться ОКИИ.

Объекты КИИ: является ли гематологический анализатор автоматизированной системой управления и ОКИИ? Анализатор делает анализ крови самостоятельно: оператор дает пробник, прибор отдает результат в РИАМС. С компьютера не управляется.

Ответ: гематологический анализатор представляет собой прибор (комплекс оборудования), предназначенный для проведения количественных исследований клеток крови в клинико-диагностических лабораториях. Иными словами, это комплекс программных и программно-аппаратных средств, предназначенный для управления и контроля за технологическим оборудованием и технологическими процессами по исследованию клеток крови, т.е. автоматизированная система управления (АСУ).

При условии, что прибор используется в организации сферы здравоохранения (или иных сферах субъектов КИИ) для автоматизации критических процессов, гематологический анализатор является ОКИИ.

Инциденты: что должен сделать субъект КИИ при возникновении компьютерного инцидента?

Ответ: в соответствии с ч. 2 ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и приказом ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…» (Порядок информирования) субъект КИИ обязан:

  • незамедлительно информировать о компьютерных инцидентах ФСБ России, а также Центральный банк Российской Федерации (в случае, если субъект КИИ осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в установленном Порядке информирования;
  • оказывать содействие должностным лицам ФСБ России, в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

Информирование осуществляется путем направления информации в НКЦКИ в соответствии с определенными НКЦКИ форматами с использованием технической инфраструктуры НКЦКИ, либо, в случае отсутствия подключения к данной технической инфраструктуре, информация передается субъектом КИИ посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети «Интернет» по адресу: http://cert.gov.ru.

В настоящий момент, на сайте НКЦКИ, для направления сообщений о компьютерных инцидентах, указан только адрес электронной почты: incident@cert.gov.ru.

Состав передаваемой информации определен в п. 5 Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утв. приказом ФСБ России от 24.07.2018 № 367:

  • «дата, время, место нахождения или географическое местоположение объекта критической информационной инфраструктуры, на котором произошел компьютерный инцидент;
  • наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой;
  • связь с другими компьютерными инцидентами (при наличии);
  • состав технических параметров компьютерного инцидента;
  • последствия компьютерного инцидента».
Инциденты: в чем разница между компьютерным инцидентом и компьютерной атакой?

Ответ: в соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»:

  • «Компьютерная атака – целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации».

  • «Компьютерный инцидент – факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки».

Таким образом, «компьютерный инцидент» – более широкое понятие, связанное с нарушением проектного (штатного) режима функционирования ОКИИ, в том числе в результате компьютерной атаки.

Инциденты: обязательно ли разрабатывать план реагирования на компьютерные инциденты и согласовывать его с ФСБ России?

Ответ: в соответствии с п. 6 Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСБ России от 19.06.2019 № 282 (Порядок информирования): «Для подготовки к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектом критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежит значимый объект критической информационной инфраструктуры, в срок до 90 календарных дней со дня включения данного объекта в реестр значимых объектов критической информационной инфраструктуры Российской Федерации разрабатывается план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (План)…».

Если в План включаются условия по привлечению к реагированию на инцидент должностных лиц ФСБ России, то сам план и изменения в него необходимо будет согласовывать с ФСБ России (п. 7 и п. 8 Порядка информирования). Для разработки проекта Плана необходимо обратиться в НКЦКИ для получения методической поддержки. Необходимость включения условий по привлечению к реагированию на инциденты подразделений и должностных лиц ФСБ России, нормативно не регламентирована.

При этом, следует отметить, что субъекты КИИ, функционирующие в банковской сфере и в иных сферах финансовых рынков, должны включать в План условия привлечения подразделений и должностных лиц Банка России к проведению мероприятий по реагированию на компьютерные инциденты.

Инциденты: является ли компьютерным инцидентом ряд многократных неудачных попыток ввода пароля, приведших к блокированию учетной записи пользователя в информационной система (автоматизированной системе управления) субъекта КИИ?

Ответ: да, является. 

В соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»: «Компьютерный инцидент – факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки».

В данном случае, многократные попытки ввода пароля являются причиной нарушения функционирования ОКИИ, а следовательно, являются инцидентом.

СБ ЗОКИИ: каковы требования к итоговому пакету документации по СБ ЗОКИИ?

Ответ: как таковой общий состав организационно-распорядительных документов (ОРД) СБ ЗОКИИ нигде не установлен.

При подготовке комплекта ОРД следует руководствоваться:

  • Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утв. приказом ФСТЭК России от 21.12.2017 № 235.
  • Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239, так называемыми «нулевыми мерами».
  • Порядком информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСБ России от 19.06.2019 № 282.

С учетом вышеизложенного, рекомендуемый состав ОРД можно представить следующим образом:

  • Политика обеспечения безопасности ЗОКИИ.
  • Техническая документация на ЗОКИИ (технические задания, технические проекты, эксплуатационная документация).
  • Порядок проведения испытаний или приемки средств защиты информации.
  • План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.
  • Порядок информирования и обучения работников.
  • Порядок взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.
  • Правила безопасной работы работников организации на ЗОКИИ.
  • Положение о структурном подразделении, отвечающим за безопасность ЗОКИИ.
  • Должностные инструкции сотрудников, обеспечивающих безопасность ЗОКИИ.
  • Регламенты процессов: планирования и разработки мероприятий по обеспечению безопасности ЗОКИИ; реализации (внедрения). мероприятий по обеспечению безопасности ЗОКИИ; контроля состояния безопасности ЗОКИИ; совершенствования безопасности ЗОКИИ.
  • Регламент обеспечения безопасности ЗОКИИ в ходе их создания, эксплуатации, и вывода из эксплуатации.
  • Регламент идентификации и аутентификации.
  • Регламент управления доступом.
  • Регламент управления конфигурацией информационной (автоматизированной) системы, управления обновлениями программного. обеспечения и ограничением программной среды.
  • Регламент защиты машинных носителей информации.
  • Регламент мониторинга и аудита информационной безопасности.
  • Регламент антивирусной защиты.
  • Регламент по организации обнаружения и предотвращения компьютерных атак.
  • Регламент по обеспечению целостности и доступности информации.
  • Регламент защиты технических средств и систем, информационной (автоматизированной) системы и ее компонентов.
  • Регламент реагирования на компьютерные инциденты.
  • Регламент по планированию мероприятий по обеспечению безопасности.
  • Регламент по организации действий в нештатных ситуациях.
  • Регламент информирования и обучения персонала.

Конечный состав и формы ОРД СБ ЗОКИИ определяются организацией с учетом ее размеров и особенностей деятельности.

СБ ЗОКИИ: допустимо ли меры из приказа ФСТЭК России № 239 реализовывать общим мероприятием для нескольких ОКИИ сразу или нужно их реализовывать для каждого ОКИИ отдельно?

Ответ: в соответствии с п. 6 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239 (Приказ № 239), безопасность ЗОКИИ обеспечивается в рамках функционирования системы безопасности ЗОКИИ (СБ ЗОКИИ). СБ ЗОКИИ представляет собой совокупность правовых, организационных, технических и иных мер, направленных на обеспечение информационной безопасности (защиты информации) субъектов КИИ (п. 2 Требований к созданию систем безопасности значимых объектов КИИ Российской Федерации и обеспечению их функционирования, утв. приказом ФСТЭК России от 21.12.2017 г. № 235 (Приказ № 235). Состав организационных и технических мер, которые необходимо реализовать субъекту КИИ в рамках создания и функционирования СБ ЗОКИИ, утвержден Приказом № 239.

В соответствии с п. 3 Требований к созданию систем безопасности значимых объектов КИИ Российской Федерации и обеспечению их функционирования, утв. Приказом № 235, СБ создаются в отношении всех ЗОКИИ субъектов КИИ.

По решению субъекта КИИ для одного или группы ЗОКИИ могут создаваться отдельные СБ.

Таким образом, субъект КИИ вправе решать будет ли он создавать отдельные СБ для каждого ЗОКИИ в рамках создания которых реализовывать организационные и технические меры, предусмотренные Приказом № 239, либо создавать такие системы для группы (нескольких) ЗОКИИ.

СБ ЗОКИИ: как выглядит общий порядок создания СБ ЗОКИИ?

Ответ: порядок создания СБ ЗОКИИ определяется разделом 2 (пп. 7-9) Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239 (Приказ № 239). Опираясь на указанные требования можно предложить следующую пошаговую последовательность действий при создании ЗОКИИ:

  1. Формирование модели нарушителей и угроз ИБ:
    • выявление уязвимостей ЗОКИИ на основе результатов обследования;
    • определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
    • определение возможных объектов воздействия угроз безопасности информации;
    • оценка возможности реализации (возникновения) угроз безопасности информации и определение их актуальности;
    • формирования перечня актуальных угроз ИБ;
    • разработка модели нарушителей и угроз ИБ.
  2. Установление требований к обеспечению безопасности ЗОКИИ:
  3. Разработка организационных и технических мер по обеспечению безопасности ЗОКИИ:
    • проектирование СБ ЗОКИИ;
    • разработка рабочей (эксплуатационной) документации на ЗОКИИ (в части обеспечения его безопасности).
  4. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие:
    • установка и настройка средств защиты информации, настройка программных и программно-аппаратных средств;
    • разработка организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности ЗОКИИ;
    • внедрение организационных мер по обеспечению безопасности ЗОКИИ;
    • предварительные испытания СБ ЗОКИИ;
    • опытная эксплуатация СБ ЗОКИИ;
    • анализ уязвимостей ЗОКИИ и принятие мер по их устранению;
    • приемочные испытания СБ ЗОКИИ.
  5. Ввод в действие СБ ЗОКИИ.
  6. Обмен информацией об инцидентах ИБ с НКЦКИ и интеграция с ГосСОПКА.
СБ ЗОКИИ: какое решение позволяет получать инвентаризационную информацию, события ИБ и сведения об уязвимостях, а также проводить оценку защищенности АСУ ТП, являющихся ЗОКИИ?
Ответ: для этого может быть использовано решение DATAPK.
СБ ЗОКИИ: какое решение позволяет автоматизировать процессы управления безопасностью ЗОКИИ?

Ответ: для этого может быть использовано решение ePlat4m, которое позволяет автоматизировать процессы оценки соответствия, категорирования, управления инцидентами, управления документацией, анализа угроз и информирования персонала.

СБ ЗОКИИ: нужно ли проводить аудит безопасности ЗО КИИ?

Ответ: согласно п. 35 и п. 36 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утв. приказом ФСТЭК России от 21.12.2017 № 235, в рамках контроля состояния безопасности ЗОКИИ должен осуществляться внутренний контроль организации работ по обеспечению их безопасности и эффективности принимаемых организационных и технических мер.

В ходе проведения контроля проверяется выполнение требований нормативных правовых актов в области обеспечения безопасности КИИ, а также организационно-распорядительных документов по безопасности ЗОКИИ, иными словами проводится «Комплаенс аудит».

Для оценки эффективности принятых организационных и технических мер по обеспечению безопасности ЗОКИИ могут применяться средства контроля (анализа) защищенности – это т.н. «Инструментальный аудит» (анализ защищенности).

Контроль проводится не реже, чем один раз в 3 года, комиссией, назначаемой субъектом КИИ. В случае проведения по решению руководителя субъекта КИИ внешней оценки (внешнего аудита) состояния безопасности ЗОКИИ внутренний контроль может не проводиться.

Замечания, выявленные по результатам внутреннего контроля или внешней оценки (внешнего аудита), подлежат устранению в порядке и сроки, установленные руководителем субъекта КИИ (уполномоченным лицом).

Таким образом, законодательно предусмотрена обязательность проведения аудита ИБ ЗОКИИ в форме внутреннего аудита, проводимого силами работников субъекта КИИ, либо внешнего аудита проводимого специализированной организацией, имеющей лицензию ФСТЭК России в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации.

СБ ЗОКИИ: каков порядок действий при модернизации ЗОКИИ, для которого уже была создана СБ ЗОКИИ?

Ответ: порядок действий в случае модернизации ЗОКИИ определяется разделом 2 (пп. 7-9) Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239 (Приказ № 239). Опираясь на указанные требования можно предложить следующую пошаговую последовательность действий при модернизации ЗОКИИ:

Шаг 1. Установление требований к обеспечению безопасности ЗОКИИ:

  • проведение аудита на соответствие требований Приказа № 239, выявление несоответствий и формирование рекомендаций по обеспечению безопасности с учетом планируемых изменений;
  • уточнение категории значимости в соответствии с п. 8 Правил категорирования, утв. постановлением Правительства от 08.02.2018 № 127 (Правила категорирования);
  • фиксация выводов по проведенным работам в отчетном документе, установление требований к модернизируемому ЗОКИИ в техническом задании на модернизацию;
  • направление «Сведений о результатах присвоения ОКИИ категории значимости…», по форме приказа ФСТЭК России от 22.12.2017 № 236, указанных в подпунктах «а» – «в» и «з» п. 17 Правил категорирования в ФСТЭК России (в течении 10 дней после утверждения технического задания).

Шаг 2. Разработка организационных и технических мер по обеспечению безопасности ЗОКИИ:

  • проведение анализа угроз безопасности информации и актуализация моделей угроз и нарушителей;
  • проектирование модернизируемой подсистемы безопасности ЗОКИИ;
  • разработка рабочей (эксплуатационной) документации на ЗОКИИ (в части обеспечения его безопасности).

Шаг 3. Внедрение организационных и технических мер по обеспечению безопасности ЗОКИИ и ввод его в действие:

  • установка и настройка средств защиты информации, настройка программных и программно-аппаратных средств;
  • разработка организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности ЗОКИИ;
  • внедрение организационных мер по обеспечению безопасности ЗОКИИ;
  • предварительные испытания ЗОКИИ и его подсистемы безопасности;
  • опытная эксплуатация ЗОКИИ и его подсистемы безопасности;
  • анализ уязвимостей ЗОКИИ и принятие мер по их устранению;
  • приемочные испытания ЗОКИИ и его подсистемы безопасности;
  • ввод в действие (в эксплуатацию) ЗОКИИ и направление «Сведений о результатах присвоения ОКИИ категории значимости…», по форме приказа ФСТЭК России от 22.12.2017 № 236, указанных в подпунктах «г» – «ж» и «и» п. 17 Правил категорирования в ФСТЭК России (в течении 10 дней после ввода в эксплуатацию).
СБ ЗОКИИ: имеется импортное оборудование, отнесенное к ЗОКИИ. К данному оборудованию подключаются для диагностических мероприятий представители разработчика. Как легитимно продолжать давать доступ иностранным разработчикам к данному объекту?

Ответ: в соответствии с п. 31 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239) в ЗОКИИ не допускается: «наличие удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе средствам зашиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры».

Если не допускается удаленный доступ напрямую, необходимо организовать удаленный доступ через промежуточную точку доступа, в которой организационными и (или) техническими мерами будут контролироваться действия иностранных разработчиков. Например, терминальный сервер с записью действий привилегированных пользователей, т.е. пользователей, имеющих возможность устанавливать обновления или управлять оборудованием ЗОКИИ.

СБ ЗОКИИ: могут ли использоваться Windows 7 и Windows Server 2008 в составе ЗОКИИ после окончания поддержки от Microsoft? Можно ли самостоятельно оказывать техническую поддержку данного ПО?

Ответ: в соответствии с п. 31 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239, применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.

В настоящий момент в законодательстве РФ нет однозначного определения технической поддержки и требований по организации ее осуществления. Запрета на осуществление технической поддержки собственными силами субъекта КИИ и силами сторонних организаций на текущий момент нет.

В информационном сообщении ФСТЭК России от 20.01.2020 № 240/24/250 «О применении сертифицированных операционных Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в связи с прекращением их технической поддержки» регулятор определяет условие применения соответствующих операционных систем. Если субъект КИИ использует функции Windows 7 и (или) Windows Server 2008 в качестве сертифицированных средств защиты информации ЗОКИИ, прекращение осуществления технической поддержки производителем (заявителем) означает, что данные средства не могут применятся в соответствующем качестве (пп. 11, 15 Положения о системе сертификации средств защиты информации, утв. приказом ФСТЭК России от 03.04.2018 № 55). До момента перехода на сертифицированные средства защиты (при необходимости их использования), Субъект КИИ должен применять дополнительные меры защиты, направленные на минимизацию рисков реализации угроз безопасности информации, рекомендуемые в информационном сообщении.

СБ ЗОКИИ: можно ли при моделировании угроз АСУ ТП опираться на MITRE ATT&CK for ICS?

Ответ: в соответствии с п. 11.1 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239 в качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России, а также источники, содержащие иные сведения об уязвимостях и угрозах безопасности информации. Таким образом, MITRE ATT&CK for ICS можно использовать в качестве дополнительного источника при моделировании угроз АСУ ТП и других видов ОКИИ.

Также в методическом документе Методика оценки угроз безопасности информации, утв. ФСТЭК России от 05.02.2021, в качестве исходных данных для оценки угроз безопасности информации, ФСТЭК России рекомендует использовать описания векторов (шаблонов) компьютерных атак, содержащихся в базах данных и иных источниках, опубликованных в сети Интернет (CAPEC, ATT&CK, OWASP, STIX, WASC и др.).

Категорирование: в чем заключается категорирование ОКИИ?

Ответ: в соответствии с ч. 1 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»: «Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения».

Порядок категорирования определен Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации и Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утв. постановлением Правительства РФ от 08.02.2018 №127 (Правила категорирования и Перечень показателей критериев значимости). Порядок категорирования включает следующие действия:

  1. Создать постоянно действующую комиссию по категорированию (процесс категорирования осуществляется на всем протяжении действия организации в качестве субъекта КИИ).

  2. Определить процессы в рамках видов деятельности субъекта КИИ (подп. «а» п. 5 Правил категорирования).

  3. Выявить процессы, нарушение или прекращение которых может привести к негативным последствиям – критические процессы (подп. «б» п. 5 Правил категорирования).

  4. Определить объекты (информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов (подп. «в» п. 5 Правил категорирования).

  5. В случае наличия таких объектов, следует сформировать Перечень ОКИИ, подлежащих категорированию и отправить перечень в ФСТЭК России. В случае отсутствия ОКИИ на этом этапе работа комиссии заканчивается (до создания новых ОКИИ, переоценки критичности процессов) (подп. «г» п. 5 Правил категорирования).

  6. Провести оценку выявленных ОКИИ: оценить в соответствии с Перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на ОКИИ и присвоить каждому из ОКИИ соответствующую категорию значимости или принять решение об отсутствии необходимости присвоения категории значимости. Решение комиссии оформляется соответствующим актом (актами) категорирования (подп. «д», «е» п. 5 Правил категорирования).

  7. Оформить и направить «Сведения о результатах присвоения ОКИИ категории значимости…» по форме, утв. приказом ФСТЭК России от 22.12.2017 № 236 в ФСТЭК России.

  8. Не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости ОКИИ или их значений осуществлять пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий. Оформить и направить в ФСТЭК России «Сведения о результатах присвоения ОКИИ категории значимости…». Повторное направление «Сведений о результатах присвоения ОКИИ категории значимости…» осуществляется только в случае изменения категории значимости ОКИИ.
Категорирование: сколько категорий значимости установлено?

Ответ: в практической деятельности получила распространение точка зрения о том, что категорий значимости четыре (0,1,2,3). Эта точка зрения ошибочна. Ч. 3 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливается три категории значимости ОКИИ – первая, вторая и третья.

Субъекты КИИ присваивают одну из категорий значимости ОКИИ в соответствии с Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127. Если ОКИИ не соответствует критериям значимости, показателям этих критериев и их значениям, Комиссией по категорированию принимается решение об отсутствии необходимости присвоения категории значимости. Иными словами, можно говорить о том, что существует два вида объектов КИИ: «значимые» и «не значимые», а значимые ОКИИ имеют три категории и особый порядок дальнейшего правоприменения.

Категорирование: как правильно организовать категорирование в случае наличия филиалов, представительств – достаточно одной комиссии или же нужно создавать несколько?

Ответ: постановлением Правительства Российской Федерации «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» от 13.04.2019 № 452, Правила категорирования были дополнены пунктом 11.2. следующего содержания:

«По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии для категорирования объектов критической информационной инфраструктуры в этих филиалах, представительствах.

Координацию и контроль деятельности комиссий по категорированию в филиалах, представительствах осуществляет комиссия по категорированию субъекта критической информационной инфраструктуры».

В виду того, что ответственность за исполнение законодательства о безопасности КИИ лежит на головной организации субъекта КИИ и в Перечень ОКИИ, подлежащих категорированию, должны включаться ОКИИ филиалов и представительств, целесообразно регламентировать деятельность комиссий по категорированию и осуществлять категорирование в рамках единого процесса, вне зависимости от принятия решения о создании отдельных комиссий или действия общей комиссии субъекта КИИ. При этом необходимо уделить особое внимание координации и контролю реализации процесса категорирования в обособленных подразделениях.

Категорирование: следует ли включить в состав Комиссии по категорированию юристов, экономистов, риск-менеджеров, специалистов системы менеджмента качества?

Ответ: постановлением Правительства Российской Федерации «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» от 13.04.2019 № 452, Правила категорирования были дополнены пунктом 11.1. следующего содержания: «По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены иные работники, в том числе работники финансово-экономического подразделения».

Указанное дополнение мотивирует руководителей субъектов КИИ включать в комиссии всех имеющихся у субъекта КИИ специалистов, знания и навыки которых необходимы для корректного расчета и оценки показателей критериев значимости, для корректного оформления полученных результатов. Прежде всего это касается специалистов:

  • финансово-экономических подразделений (отдел планирования, отдел экономического анализа, финансовый отдел), необходимых для расчета показателей экономической значимости (3 критерий значимости Перечня показателей критериев значимости) и представления их для рассмотрения членами комиссии по категорированию;
  • специалистов юридических подразделений для проверки корректности соблюдения процедуры и оформления документов;
  • специалистов системы менеджмента качества и риск-менеджеров для корректной формализации бизнес-процессов и участия в экспертизе при оценке критичности процессов и масштаба возможных последствий в случае возникновения компьютерных инцидентов на ОКИИ.
Категорирование: как корректно рассчитать 9 показатель из Перечня показателей критериев значимости (ущерб бюджетам РФ)?

Ответ: рекомендации по оценке показателей критериев экономической значимости приведены в виде проекта методического документа на сайте ФСТЭК России. В общем виде порядок следующий:

Шаг 1. В Федеральном законе «О федеральном бюджете на 2021 и на плановый период 2022 и 2023 годов» от 08.12.2020 № 385-ФЗ (соответствующий закон издается ежегодно) есть прогнозируемый общий объем доходов федерального бюджета за 2021, 2022, 2023 годы – берем среднее арифметическое из трех этих значений и получаем усредненный доход за планируемый трехлетний период.

Шаг 2. Считаем ущерб как сумму недополученных доходов в бюджеты всех уровней (по тем бюджетам, куда субъект КИИ платит налоги) в результате компьютерного инцидента. Снижение налоговых отчислений в результате инцидента на ОКИИ определяется экспертным путем.

Для расчета соответствующего ущерба необходимо рассматривать виды налоговых отчислений (либо других отчислений в бюджетную систему РФ), размер которых может зависеть от объема производственной деятельности организации:

  • налог на прибыль;
  • налог на добычу полезных ископаемых (НДПИ);
  • налог на добавленную стоимость (НДС);
  • дивиденды государственным участникам;
  • налог на дивиденды;
  • иные отчисления в бюджетную систему РФ в виде государственных пошлин, акцизов и сборов, объем которых зависит от объема производства;
  • налог на доходы физических лиц (НДФЛ) и отчисления во внебюджетные фонды (в случае оперативного найма (увольнения) персонала при изменении объема производства);
  • размер снижения выплат (отчислений) сторонних организаций в бюджеты РФ в следствие прекращения или нарушения функционирования ОКИИ;
  • размер снижения сборов в бюджеты РФ в случае прекращения или нарушения функционирования ОКИИ, предназначенного для организации сборов в бюджеты РФ.

Шаг 3. Делим сумму ущерба (Шаг 2) на усредненный доход (Шаг 1) и умножаем на 100% – получаем значение показателя критерия значимости по п. 9 Перечня показателей критериев значимости, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127.

Категорирование: в каком виде нужно направлять результаты категорирования ОКИИ?

Ответ: в соответствии с п. 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127, в ФСТЭК России направляются «Сведения о результатах присвоения ОКИИ одной из категорий значимости…» (Сведения). Форма данных Сведений утверждена приказом ФСТЭК России от 22.12.2017 № 236. Порядок направления сведений частично описан в информационном сообщении ФСТЭК России от 17.04.2020 № 240/84/611.

Порядок направления Сведений следующий:

  1. Сведения направляются в ФСТЭК России в бумажном и электронном виде по адресу: 105066, г. Москва, ул. Старая Басманная, д. 17.
  2. В бумажном виде Сведения направляются в одном экземпляре.
  3. В электронном виде Сведения записываются на электронный носитель (на диск или флеш-карта, файл в формате .ods), который направляется вместе с бумажным экземпляром Сведений.
  4. Отправление обязательно сопровождается письмом.
  5. Если Сведения отнесены в организации к конфиденциальной информации или к сведениям, составляющим государственную тайну, то гриф проставляется в соответствии с порядком делопроизводства, определенным в организации.
  6. Корреспонденция направляется законвертированной, при наличии двух реестров, с печатью организации отправителя.
Категорирование: нужно ли отправлять во ФСТЭК России акт категорирования?

Ответ: в соответствии с п. 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127 (Правила категорирования), в ФСТЭК России направляются только «Сведения о результатах присвоения ОКИИ одной из категорий значимости…». Акт хранится у субъекта КИИ до вывода из эксплуатации ОКИИ или до изменения категории значимости (п. 16 Правил категорирования).

Категорирование: как часто нужно пересматривать категорию ОКИИ?

Ответ: в соответствии с п. 21 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127: «субъект КИИ не реже чем один раз в пять лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий».

Категорирование: нужно ли проводить пересмотр категорий, ранее категорированных ОКИИ, после изменений в постановлении правительства № 127, внесенных постановлением правительства № 452?

Ответ: в соответствии с п. 21 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127, субъект КИИ в случае изменения показателей критериев значимости объектов КИИ или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий. Так как постановлением Правительства РФ от 13.03.2019 № 452 были внесены изменения в показатели критериев значимости ОКИИ и их значений, исходя из буквального толкования п. 21 Правил категорирования следует, что необходимо провести пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения категорий значимости ранее категорированных ОКИИ.

Категорирование: категория значимости может быть изменена в случае изменения значимого объекта (№ 187-ФЗ, ст. 7, ч. 12 п. 2). О какого рода изменениях идет речь?

Ответ: в соответствии с п. 2 ч. 12 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»: «В случае изменения значимого объекта критической информационной инфраструктуры, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости, к которой отнесен указанный объект критической информационной инфраструктуры, может быть изменена».

К таким изменениям могут относиться любые изменения, оказывающие влияние на масштаб возможных последствий по показателям критериев значимости ОКИИ, приведенных в Перечне показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утв. постановлением Правительства Российской Федерации от 08.02.2018 №127, в случае возникновения компьютерных инцидентов на ЗОКИИ.

Категорирование: с кем нужно согласовывать Перечень ОКИИ, подлежащих категорированию?

Ответ: в соответствии с п. 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127: «Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры».

Государственные органы, выполняющие функции по разработке, проведению и реализации государственной политики и (или) нормативно-правовому регулированию:

  • Министерство энергетики Российской Федерации – энергетика, топливно-энергетический комплекс, нефтехимическая промышленность.
  • Федеральная служба по экологическому, технологическому и атомному надзору – в области атомной энергии.
  • Министерство здравоохранения Российской Федерации – здравоохранение.
  • Министерство транспорта Российской Федерации – транспорт.
  • Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации – связь.
  • Министерство финансов Российской Федерации – банковская сфера и иные сферы финансового рынка.
  • Министерство науки и высшего образования Российской Федерации – наука.
  • Министерство промышленности и торговли Российской Федерации – оборонная и иная промышленность в ведении.

Обязательное согласования Перечня ОКИИ, подлежащих категорированию требуется только для подведомственных организаций. Реестр подведомственных организаций публикуется на сайте каждого из ведомств.

Категорирование: куда направлять Перечень объектов КИИ, подлежащих категорированию?

Ответ: процедура направления Перечней ОКИИ и «Сведений о результатах присвоения ОКИИ категории значимости…», по форме приказа ФСТЭК России № 236, разъяснена в информационном сообщением ФСТЭК России от 17.04.2020 № 240/84/611 «По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

Перечень ОКИИ, подлежащих категорированию и «Сведения о результатах присвоения ОКИИ категории значимости…», по форме приказа ФСТЭК России № 236, необходимо направить в печатном и электронном виде (рекомендуемый формат .ods или .odt) по адресу:

ФСТЭК России, 105066, г. Москва, ул. Старая Басманная, д. 17.

Корреспонденция принимается законвертированной, при наличии двух реестров, с печатью организации отправителя.

Категорирование: как актуализировать Перечень ОКИИ, подлежащих категорированию, если после его отправки произошли изменения?

Ответ: в соответствии с п. 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127: «по мере необходимости Перечень ОКИИ, подлежащих категорированию может быть изменен в порядке, предусмотренном для его разработки и утверждения». Рекомендуем направить новый Перечень ОКИИ, подлежащих категорированию в ФСТЭК России, при этом в сопроводительном письме указывать наименования исключенных ОКИИ и причины исключения, описание причин иных изменений и реквизиты сопроводительного письма, с которым был отправлен утвержденный ранее Перечень ОКИИ, подлежащих категорированию.

Категорирование: в каком виде нужно направлять Перечень ОКИИ, подлежащих категорированию?

Ответ: законодательно форма представления перечня объектов КИИ, подлежащих категорированию не утверждена. Информационным сообщением ФСТЭК России от 17.04.2020 № 240/84/611 «По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» указано: «…перечни объектов критической информационной инфраструктуры, подлежащих категорированию, направляются в ФСТЭК России в печатном и электронном виде (формат .ods и (или) .odt)», а также предложена следующая рекомендуемая форма перечня ОКИИ, подлежащих категорированию:

 
рп.png
Категорирование: нужно ли отправлять Перечень ОКИИ, подлежащих категорированию в ФСТЭК России, если он пустой?

Ответ: в соответствии с информационным сообщением ФСТЭК России от 17.04.2020 № 240/84/611: «…предоставление информации об отсутствии в организации объектов критической информационной инфраструктуры или о том, что организация не является субъектом критической информационной инфраструктуры Российской Федерации в ФСТЭК России в соответствии с законодательством о безопасности критической информационной инфраструктуры Российской Федерации не требуется».

Категорирование: нужно ли включать в Перечень ОКИИ, подлежащих категорированию, ОКИИ, пользователем которых является наша организация?

Ответ: в п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры» (187-ФЗ) определено «субъекты КИИ – организации, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления…».

В гл. 13 ГК РФ определены составляющие права собственности и другие законные основания на принадлежность собственности и вещные права лиц, не являющихся собственниками, к таким правам в т.ч. отнесены:

  • право владения;
  • право пользования;
  • право распоряжения;
  • право хозяйственного ведения;
  • право оперативного управления.

Из формулировки 187-ФЗ следует, что при наличии любого законного основания на принадлежность ОКИИ к субъекту КИИ, ОКИИ должен быть включен в Перечень ОКИИ. В качестве законного основания может выступать право собственности юридических лиц, право хозяйственного ведения и (или) оперативного управления государственных организаций, договоры купли-продажи, аренды, лизинга и т.п.

Учитывая вышеизложенное, при наличии законных оснований на принадлежность информационной системы, информационно-телекоммуникационной сети и (или) автоматизированной системы управления к субъекту КИИ и при соответствии объекта п. 7. ст. 2 187-ФЗ, ОКИИ необходимо включить в Перечень ОКИИ, подлежащих категорированию.

Категорирование: можно ли поручить какому-либо лицу утверждение документов по категорированию и обеспечению безопасности КИИ или утверждать такие документы может только руководитель организации?

Ответ: в п. 16 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127, установлено: «Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта критической информационной инфраструктуры».

Руководитель организации может назначить приказом лицо, уполномоченное на решение вопросов в сфере обеспечения безопасности КИИ, и оформить соответствующую доверенность на право действовать от имени юридического лица при рассмотрении таких вопросов.

Категорирование: вправе ли уполномоченное руководителем субъекта КИИ лицо утвердить акт по результатам категорирования?

Ответ: в соответствии с п. 16 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127 (Правила категорирования): «Акт по результатам категорирования подписывается членами комиссии по категорированию и утверждается руководителем субъекта критической информационной инфраструктуры».

Таким образом, уполномоченное руководителем субъекта КИИ лицо в вправе утвердить акт по результатам категорирования только в случае наличия соответствующей доверенности, позволяющей действовать от имени юридического лица.

Уполномоченное лицо выполняет следующие функции:

  • возглавляет постоянно действующей комиссии по категорированию или входит в ее состав в качестве членов комиссии (подп. «а», п. 11 Правил категорирования);
  • имеет право подписывать «Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости…» (приказ ФСТЭК России от 22.12.2017 № 236);
  • иные функции, определенные в приказе единоличного исполнительного органа о назначении уполномоченного лица.
Категорирование: когда делать модель угроз безопасности ОКИИ: до или после категорирования?

Ответ: в рамках категорирования проводится только рассмотрение возможных действий нарушителей и анализ угроз безопасности по отношению к имеющимся у организации объектам КИИ, это следует из буквального толкования подп. «г» п. 14 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127. Данный анализ может проводиться как на основании уже имеющихся для ОКИИ моделей угроз и нарушителей, например, подготовленных ранее в рамках мероприятий по обеспечения безопасности персональных данных или автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, так и на основании описания возможных действий нарушителей и угроз безопасности объектам информатизации организации, содержащегося, например в Политике информационной безопасности организации.

Разработка моделей угроз и нарушителей необходима перед проектированием системы обеспечения безопасности объектов, имеющих категорию значимости, в рамках исполнения приказа ФСТЭК России от 25.12.2017 № 239 и в рамках выполнения обязательных мероприятий приказа ФСТЭК России от 21.12.2017 № 235.

Категорирование: как повлиял Федеральный закон от 02.08.2019 № 264-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе» и Федеральный закон «О Центральном банке Российской Федерации (Банке России)» на категорирование ОКИИ?

Ответ: никак не повлиял.

Федеральный закон от 02.08.2019 № 264-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе» и Федеральный закон «О Центральном банке Российской Федерации (Банке России)» дополнил статью 9.1 Федерального закона «О национальной платежной системе» нормой следующего содержания: «Информационные системы операторов по переводу денежных средств, с использованием которых осуществляется прием электронных средств платежа и обмен информацией с иностранными поставщиками платежных услуг, информационные системы операторов услуг информационного обмена, с использованием которых осуществляется взаимодействие с иностранными поставщиками платежных услуг, должны соответствовать требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Согласно данной норме все информационные системы, задействованные в процессе обмена информацией с иностранными поставщиками платежных услуг, должны соответствовать требованиям по обеспечению безопасности ЗОКИИ, независимо от того, прошли они процедуру категорирования или нет, и независимо от того, принадлежат они субъектам КИИ или нет. Требования по обеспечению безопасности ЗОКИИ утверждены приказом ФСТЭК России от 25.12.2017 № 239. В соответствии с п. 6 приказа ФСТЭК № 239 безопасность ЗОКИИ обеспечивается субъектами КИИ в рамках функционирования систем безопасности ЗОКИИ, создаваемых субъектами КИИ. Создание и функционирование систем безопасности ЗОКИИ определяется приказом ФСТЭК России от 21.12.2017 № 235.

Таким образом, данная норма возлагает на операторов по переводу денежных средств (операторов услуг информационного обмена), независимо от их принадлежности к субъектам КИИ, обязанности по обеспечению безопасности информационных систем задействованных в процессе обмена информацией с иностранными поставщиками платежных услуг по требованиям предъявляемым к ЗОКИИ.

Категорирование: на ТЭЦ имеется несколько котлов, управляемых независимыми АСУТП. Можно ли принимать во внимание тот факт, что при выходе из строя одного котла, нагрузка распределится между остальными и прекращении теплоснабжения не произойдет?

Ответ: в соответствии с подп. «б» п. 5 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127, категорирование включает в себя: «Выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее – критические процессы». Учитывая то, что ОКИИ это объекты, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, АСУТП, участвующие в перераспределении нагрузки, однозначно относятся к ОКИИ.

ОКИИ присваивается одна из категорий значимости только в случае возникновения последствий, масштаб которых соответствует одной из категорий в соответствии с Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127, при этом учитываются:

  • наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на ОКИИ, результатом которых является прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба;
  • зависимость функционирования одного ОКИИ от функционирования другого при оценке масштаба возможных последствий.

Соответственно, если распределение нагрузки ТЭЦ осуществляется в автоматическом режиме, АСУТП управления котлами являются независимыми и не влияют на функционирования друг друга, то субъект КИИ может оценивать масштаб последствий от компьютерного инцидента на ОКИИ в рамках одной АСУТП, с учетом допустимости повышения общей нагрузки на иные АСУТП, участвующие в общем технологическом процессе.

Категорирование: нужно ли уведомлять ФСТЭК России о составе комиссии по категорированию ОКИИ и об изменении состава комиссии?

Ответ: не нужно.

Действующее законодательство не содержит требований об информировании ФСТЭК России о создании комиссии по категорированию, ее составе и изменениях в ее составе. Кроме того, следует иметь ввиду также и то, что в ФСТЭК России не требуется отправлять подписанный комиссией акт о категорировании.

Постановлением Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» предусмотрена обязанность субъекта КИИ перед началом категорирования создать постоянно действующую комиссию, определен перечень включаемых в нее лиц (пп. 11, 11(1), 11(2), 12), руководитель комиссии определяется в соответствии с п. 13; п. 11(3) определены случаи расформирования комиссии по категорированию.


Сроки и формы: какие сроки установлены на подготовку перечня ОКИИ?

Ответ: постановлением Правительства Российской Федерации от 13.04.2019 г. № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» определено:

  • п. 2: «Субъектам критической информационной инфраструктуры – государственным органам и государственным учреждениям утвердить до 1 сентября 2019 г. перечень объектов критической информационной инфраструктуры, подлежащих категорированию»;
  • п. 3: «Рекомендовать субъектам критической информационной инфраструктуры – российским юридическим лицам и (или) индивидуальным предпринимателям утвердить до 1 сентября 2019 г. перечень объектов критической информационной инфраструктуры, подлежащих категорированию».
Сроки и формы: какие сроки установлены на категорирование ОКИИ?

Ответ: в соответствии с п. 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. Постановлением Правительства РФ от 08.02.2018 № 127: «Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения дополнений, изменений)».

Сроки и формы: какие адреса указывать в части 1 «Сведений о результатах присвоения ОКИИ категории значимости…», если объект размещен в зданиях, не имеющих адреса, если объект перемещается?

Ответ: необходимо указать адреса обособленных подразделений (филиалов, представительств) субъекта КИИ, в которых размещаются сегменты распределенного ОКИИ; можно указать кадастровый номер участка либо указать географические координаты; описать местонахождение ОКИИ (место базирования), в случае если ОКИИ не имеет постоянного адреса.

Сроки и формы: нужно ли в части 3 «Сведений о результатах присвоения ОКИИ категории значимости…» (сведения о взаимодействии с сетями электросвязи), указывать собственные/корпоративные сети передачи данных субъекта КИИ?

Ответ: в п. 3.1 «Сведений о результатах присвоения ОКИИ категории значимости…» необходимо указать категорию собственной сети электросвязи в соответствии с приведенным в форме примером и главой 3 Федерального закона от 07.07.2003 № 126-ФЗ «О связи»: «(общего пользования, выделенная, технологическая, присоединенная к сети связи общего пользования, специального назначения, другая сеть связи для передачи информации при помощи электромагнитных систем)». Федеральный закон «О связи» можно использовать для определения типа сети электросвязи с которой осуществляется взаимодействие ОКИИ.

Если сеть связи входит в состав локальной архитектуры ОКИИ, указывать категорию сети электросвязи в п. 3.1 нет необходимости (указать отметку об отсутствии взаимодействия ОКИИ с сетями электросвязи).

Сроки и формы: нужно ли в части 5 «Сведений о результатах присвоения ОКИИ категории значимости…» указывать активное сетевое оборудование?

Ответ: активное сетевое оборудование необходимо указывать при его наличии в составе ОКИИ, т.к. оно относится к программно-аппаратным средствам, соответствующая отметка стоит в форме, утв. приказом ФСТЭК России от 22.12.2017 № 236.

Сроки и формы: какие угрозы нужно указывать в части 6 «Сведений о результатах присвоения ОКИИ категории значимости…»? Нужно ли рассматривать все угрозы из БДУ ФСТЭК России?

Ответ: в части 6 «Сведений о результатах присвоения ОКИИ категории значимости…» указываются актуальные угрозы безопасности информации согласно БДУ ФСТЭК России и иные угрозы безопасности информации, в случае их отсутствия в БДУ ФСТЭК России. В случае отсутствия актуальных угроз, необходимо привести соответствующее обоснование.

Сроки и формы: какие меры нужно описывать в части 9 «Сведений о результатах присвоения ОКИИ категории значимости…»? Нужно ли что-то писать в части 9, если объект не значимый?

Ответ: в соответствии с подпунктом «и» пункта 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127 (Правила категорирования), «Сведения о результатах присвоения ОКИИ категории значимости…» должны включать: «Организационные и технические меры, применяемые для обеспечения безопасности объекта критической информационной инфраструктуры, либо сведения об отсутствии необходимости применения указанных мер».

Учитывая изложенное, вне зависимости от того, присвоена ли ОКИИ категория значимости или нет, в пункте 9.1 «Сведений о результатах присвоения ОКИИ категории значимости…» в соответствии с Правилами категорирования и «Формой направления сведений о результатах присвоения ОКИИ одной из категорий значимости…», утв. приказом ФСТЭК России от 22.12.2017 № 236, указываются организационные меры (установление контролируемой зоны, контроль физического доступа к объекту, разработка документов (регламентов, инструкций, руководств) по обеспечению безопасности объекта), а в пункте 9.2 – технические меры по идентификации и аутентификации, управлению доступом, ограничению программной среды, антивирусной защите и иные меры в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239.

Сроки и формы: установлена ли форма акта категорирования?

Ответ: установленной формы акта категорирования нет. При этом п. 16 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 № 127, устанавливает, что акт должен содержать сведения об ОКИИ, сведения о присвоенной ОКИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Допускается оформление единого акта по результатам категорирования нескольких ОКИИ, принадлежащих одному субъекту КИИ.

Сроки и формы: в какой срок необходимо реализовать систему безопасности ЗОКИИ, соответствующую требованиям приказов ФСТЭК России?

Ответ: в разумный срок.

Конкретного, нормативно закрепленного срока создания системы безопасности ЗОКИИ – нет. Но важно учитывать следующие моменты:

  • обязанность по созданию системы безопасности возникает с момента включения объекта в реестр ЗОКИИ ФСТЭК России (ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»);
  • одним из оснований для включения в план проверок соблюдения субъектом КИИ требований по обеспечению безопасности, является истечение трех лет со дня внесения сведений об ОКИИ в реестр ЗОКИИ ФСТЭК России (п. 12 Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры российской федерации, утв. постановлением Правительства Российской Федерации от 17.02.2018 № 162);
  • нарушение требований к созданию систем безопасности ЗОКИИ и обеспечению их функционирования либо требований по обеспечению безопасности ЗОКИИ, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния, влечет наложение административного штрафа: на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей (ч. 1 ст. 13.12.1 КоАП РФ).
Контакты: куда и кому направлять во ФСТЭК России Перечень объектов КИИ, подлежащих категорированию?
Ответ: ФСТЭК России, 105066, г. Москва, ул. Старая Басманная, д. 17.
Контакты: куда и кому направлять во ФСТЭК России результаты категорирования?

Ответ: процедура направления Перечней ОКИИ и «Сведений о результатах присвоения ОКИИ категории значимости…», по форме приказа ФСТЭК России № 236, разъяснена в Информационном сообщением ФСТЭК России от 17.04.2020 г. № 240/84/611 «По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

Перечень ОКИИ, подлежащих категорированию и «Сведения о результатах присвоения ОКИИ категории значимости…», по форме приказа ФСТЭК России от 22.12.2017 № 236, необходимо направить в печатном и электронном виде (рекомендуемый формат .ods или .odt) по адресу:

ФСТЭК России, 105066, г. Москва, ул. Старая Басманная, д. 17.

Корреспонденция принимается законвертированной, при наличии двух реестров, с печатью организации отправителя.

Контакты: кому во ФСТЭК России можно задать вопрос?
Ответ: во ФСТЭК России есть горячая линия по вопросам организации обеспечения безопасности объектов КИИ (тел. +7 (499) 246-11-89).
Контакты: как получить консультацию по вопросам категорирования ОКИИ и узнать статус отправленных во ФСТЭК России документов (Перечня ОКИИ, Сведений о результатах присвоения ОКИИ категории значимости…)?

Ответ: для получения консультации от ФСТЭК России по вопросам категорирования ОКИИ, в том числе для уточнения статуса направленной документации, необходимо обратиться по телефонам, указанным на сайте службы:

Координация обеспечения безопасности объектов КИИ в сферах оборонного комплекса, ракетно-космического комплекса, горнодобывающей и металлургической промышленности – +7 (495) 605-33-84.

Координация обеспечения безопасности объектов КИИ в сферах науки, связи, транспорта, здравоохранения, банковской сфере и иных сферах финансового рынка – +7 (499) 252-49-68.

Координация обеспечения безопасности объектов КИИ в сферах энергетического комплекса, атомной энергии, химической промышленности – +7 (499) 252-51-01.

Ответственность: за что можно понести уголовную ответственность по статье 274.1 Уголовного кодекса РФ?
Ответ: статья 274.1 УК РФ предусматривает пять составов преступления:
ЧастьСодержание правовой нормыЗа что можно понести уголовную ответственностьОсобенностиОтветственность
1 Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации. Создание, Использование, Распространение компьютерных программ или иной информации которые могут оказать негативное воздействие на КИИ. Состав формальный: достаточно лишь выполнения указанных действий, наличие вреда не обязательно. Возможно прекращение уголовного преследования по данному составу лица, впервые совершившего уголовное преступление, если после совершения оно добровольно явилось с повинной, способствовало раскрытию преступления, возместило причиненный ущерб или вред (при наличии). Например, Решение Петропавловск-Камчатского городского суда Камчатского края по делу № 1-345/2019.
  • Принудительные работы на срок до 5 лет с ограничением свободы на срок до 2 лет или без такового.
  • Лишение свободы на срок от 2 до 5 лет со штрафом в размере от 500 000 до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.
2 Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации. Доступ к информации содержащейся в КИИ с нарушением установленных правил, в результате которого был причинен вред. Материальный состав: должен быть факт наличия вреда. Подобным фактом может быть:
  • нарушение работоспособности;
  • хищение финансовых средств;
  • уничтожение информации и т.п.
  • Принудительные работы на срок до 5 лет со штрафом в размере от 500 000 до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 3 лет и с ограничением свободы на срок до 2 лет или без такового.
  • Лишение свободы на срок от 2 до 6 лет со штрафом в размере от 500 000 до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.
3 Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации. Нарушение правил доступа к информации в КИИ, либо правил эксплуатации средств обработки информации в КИИ повлекшее причинение вреда. Состав нацелен прежде всего на работников субъектов КИИ или лиц, имеющих легальный доступ к информации, обрабатываемой объектами КИИ. Состав материальный: должен быть факт наличия вреда. Подобным фактом может быть:
  • нарушение работоспособности;
  • хищение финансовых средств;
  • уничтожение информации и т.п.
  • Принудительные работы на срок до 5 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
  • Лишение свободы на срок до 6 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
4 Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения. Совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения. Квалифицированный состав – группа лиц по предварительному сговору (например, хакерская группировка) или лицо с использованием служебного положения (например, администратор системы). Лишение свободы на срок от 3 до 8 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
5 Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия. Деяние повлекшее тяжкие последствия. Тяжкие последствия – оценочный показатель. Возможные варианты:
  • причинение тяжкого вреда здоровью;
  • человеческие жертвы;
  • существенное ухудшение качества окружающей среды или состояния ее объектов, устранение которого требует длительного времени и больших финансовых и материальных затрат;
  • уничтожение отдельных объектов;
  • деградация земель и иные негативные изменения окружающей среды, препятствующие ее сохранению и правомерному использованию;
  • крупные аварии;
  • длительная остановка транспорта или производственного процесса;
  • нарушение деятельности организации;
  • причинение значительного материального ущерба.
Лишение свободы на срок от 5 до 10 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.
ГосСОПКА: какие методические документы выпустила ФСБ?

Ответ: ФСБ России выпустила следующие методические документы:

В открытом доступе:

  • Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСБ России от 19.06.2019 № 282.

  • Порядок представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утв. приказом ФСБ России от 24.07.2018 № 367.

  • Перечень информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утв. приказом ФСБ России от 24.07.2018 № 367.

  • Порядок обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, утв. приказом ФСБ России от 24.07.2018 № 368.

  • Порядок получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения, утв. приказом ФСБ России от 24.07.2018 № 368.

  • Порядок, технические условия установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСБ России от 19.06.2019 № 281.

  • Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак.

  • Регламент взаимодействия подразделений Федеральной службы безопасности Российской Федерации и организации при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак.

С грифом «Для служебного пользования»:

  • Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы Российской Федерации.

  • Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.

  • Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

  • Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
ГосСОПКА: какие лицензии нужны центру ГосСОПКА?

Ответ: для собственных нужд (только в рамках своего юридического лица) – лицензия ФСБ России на работу с гостайной, если нужен доступ к методическим документам ФСБ России по обнаружению, предотвращению и ликвидации последствий компьютерных атак.

В рамках организации корпоративных центров ГосСОПКА для нужд холдинга или для предоставления коммерческих услуг: лицензия ФСТЭК России на деятельность по технической защите информации для оказания услуг по мониторингу информационной безопасности средств и систем информатизации (п. «в»).

При обработке сведений, составляющих государственную тайну:

  • лицензия ФСБ России (на криптографию);
  • лицензия ФСБ России на работу с гостайной – если нужен доступ к методическим документам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак.
ГосСОПКА: какие лицензии нужны для подключения к ГосСОПКА?

Ответ: для подключения к ГосСОПКА лицензии не требуются. Подключение к ГосСОПКА осуществляется в рамках исполнения обязанностей, возложенных на субъекта КИИ ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры», либо в рамках соглашения по взаимодействию между ФСБ России и корпоративным (ведомственным) центром ГосСОПКА.

ГосСОПКА: как получить методические документы НКЦКИ по взаимодействию с ГосСОПКА и какие документы они предоставляют?

Ответ: в состав методических документов по взаимодействию с ГосСОПКА входят:

  • Требования к подразделениям и должностным лицам субъекта ГосСОПКА.
  • Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА.
  • Регламент взаимодействия НКЦКИ и организации-центра ГосСОПКА при информировании ФСБ России о компьютерных инцидентах, реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак.
  • Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы.
  • Методические рекомендации по устранению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов.
  • Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак.

Документы имеют гриф «Для служебного пользования», для их получения необходимо направить письменный запрос на имя Директора НКЦКИ по адресу: 107031, г. Москва, ул. Большая Лубянка, д. 1/3.

В запросе необходимо указать:

  • цель получения документов;
  • сведения о наличии лицензий ФСБ России;
  • предполагаемую зону ответственности.
ГосСОПКА: нужно ли субъекту КИИ подключаться к ГосСОПКА?

Ответ: в соответствии с ч. 2 ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ), субъекты КИИ обязаны незамедлительно информировать о компьютерных инцидентах ФСБ России в лице НКЦКИ. В п. 4, ч. 2, ст. 10 187-ФЗ в качестве одной из основных задач системы безопасности ЗОКИИ определено: «Непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».

При этом в «Порядке информирования ФСБ России о компьютерных инцидентах …», утв. приказом ФСБ России от 19.06.2019 № 282, установлена возможность представления информации о компьютерных инцидентах в ГосСОПКА с использованием технической инфраструктуры НКЦКИ либо с помощью почтовой, факсимильной или электронной связи.

Учитывая необходимость предоставления сложной технической информации о компьютерном инциденте при взаимодействии с НКЦКИ (наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой; связь с другими компьютерными инцидентами (при наличии); состав технических параметров компьютерного инцидента; последствия компьютерного инцидента), можно сделать вывод:

  • де-юре не установлено требование к созданию собственного центра ГосСОПКА для взаимодействия с технической инфраструктурой НКЦКИ;
  • де-факто необходимость представления сложной технической информации для всех ОКИИ, и реализация задачи непрерывного взаимодействия с ГосСОПКА для ЗОКИИ, с трудом реализуется без организации собственного центра ГосСОПКА с подключением к технической инфраструктуре НКЦКИ, либо без аутсорсинга соответствующей функции поставщику услуг.
ГосСОПКА: нужно ли субъекту КИИ создавать свой центр ГосСОПКА?

Ответ: принятие решения о подключении к технической инфраструктуре НКЦКИ является правом субъекта КИИ. Подготовка Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, создание системы реагирования на компьютерные инциденты и её обеспечение кадровым ресурсом является обязательством для субъектов, которым принадлежат ЗОКИИ. Таким образом, субъекты КИИ, которым принадлежат ЗОКИИ, должны создать систему реагирования на инциденты.

ГосСОПКА: каким способом субъекты КИИ могут передавать информацию об инцидентах в НКЦКИ?

Ответ: приказом ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…» установлено, что информирование осуществляется путем направления информации в НКЦКИ в соответствии с определенными НКЦКИ форматами с использованием технической инфраструктуры НКЦКИ, либо, в случае отсутствия подключения к данной технической инфраструктуре, информация передается субъектом КИИ посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети «Интернет» по адресу: http://cert.gov.ru.

В настоящий момент на сайте НКЦКИ для направления сообщений о компьютерных инцидентах указан только адрес электронной почты: incident@cert.gov.ru.

ГосСОПКА: банки должны передавать информацию об инцидентах в НКЦКИ или в ФинЦЕРТ?

Ответ: согласно приказу ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…», информация о компьютерном инциденте в организации, осуществляющей деятельность в банковской сфере и иных сферах финансового рынка, направляется как в НКЦКИ, так и в Банк России (ФинЦЕРТ).

На практике автоматизированная система обработки информации ФинЦЕРТ в автоматическом режиме направляет информацию об инцидентах в отношении ОКИИ в НКЦКИ.

ГосСОПКА: в какие сроки нужно сообщить об инциденте и о результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак в НКЦКИ?

Ответ: согласно п. 4 приказа ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…»: «Информация о компьютерном инциденте, связанном с функционированием значимого объекта критической информационной инфраструктуры, направляется субъектом критической информационной инфраструктуры в НКЦКИ в срок не позднее 3 часов с момента обнаружения компьютерного инцидента, а в отношении иных объектов критической информационной инфраструктуры – в срок не позднее 24 часов с момента его обнаружения».

Согласно п. 14: «О результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, информирует НКЦКИ в срок не позднее 48 часов после завершения таких мероприятий».

Аналогичные сроки и для информирования Банка России финансовыми организациями через Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ).

Персонал: какие курсы профессиональной переподготовки и (или) повышения квалификации необходимо пройти сотрудникам, ответственным за безопасность ЗОКИИ, для соблюдения требований ФСТЭК России?

Ответ: приказом ФСТЭК России от 27.03.2019 № 64 «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21.12.2017 № 235» введены следующие требования к квалификации и стажу работы для сотрудников структурного подразделения по обеспечению безопасности субъекта КИИ:

  • наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению «Информационная безопасность» (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;

  • наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов);

  • прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению «Информационная безопасность».
Персонал: имеется ли возможность (нет ли юридического запрета) удаленного обучения специалистов, ответственных за безопасность ЗОКИИ?

Ответ: в соответствии с приказом ФСТЭК России от 27.03.2019 № 64 «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утв. приказом Федеральной службы по техническому и экспортному контролю от 21.12.2017 № 235» для работников структурного подразделения по безопасности (специалистов по безопасности) установлены следующие требования:

  • наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению «Информационная безопасность» (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;

  • наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов)4

  • прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению «Информационная безопасность».

Требования о том, что часы обучения должны быть аудиторными (как, например в Положении о лицензировании деятельности по технической защите конфиденциальной информации, утв. постановлением Правительства Российской Федерации от 03.02.2012 № 79) не установлено, следовательно прохождение удаленного обучения возможно.

Персонал: чему конкретно необходимо обучать пользователей ЗОКИИ?

Ответ: в соответствии с п. 15 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утв. приказом ФСТЭК России от 21.12.2017 № 235 (Требования к созданию систем безопасности ЗОКИИ): «…до работников должны быть доведены положения организационно-распорядительных документов по безопасности значимых объектов в части, их касающейся.

Субъект критической информационной инфраструктуры должен проводить не реже одного раза в год организационные мероприятия, направленные на повышение уровня знаний работников по вопросам обеспечения безопасности критической информационной инфраструктуры и о возможных угрозах безопасности информации».

В соответствии с п.п. «в» п. 25 Требований к созданию систем безопасности ЗОКИИ: «Организационно-распорядительные документы по безопасности значимых объектов должны определять: правила безопасной работы работников субъекта критической информационной инфраструктуры на значимых объектах критической информационной инфраструктуры, действия работников субъекта критической информационной инфраструктуры при возникновении компьютерных инцидентов и иных нештатных ситуаций» (Правила безопасной работы).

Таким образом, в рамках обучения пользователей ЗОКИИ, субъекту КИИ необходимо провести следующие мероприятия:

  1. Ознакомить под подпись пользователей с организационно-распорядительными документами в части безопасности КИИ.
  2. Обеспечить возможность ознакомления пользователей ЗОКИИ с Правилами безопасной работы при необходимости (организовать хранение на рабочих местах либо в структурном подразделении пользователя).
  3. Составить годовой план обучения пользователей в части безопасности КИИ, с учетом п. 13.6, 13.7 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25.12.2017 № 239, в котором предусмотреть обучение по следующим тематикам:
    • общие вопросы обеспечения безопасности ОКИИ;
    • угрозы безопасности, актуальные принадлежащим субъекту ЗОКИИ;
    • обучение и отработка действий персонала по обеспечению безопасности ЗОКИИ в случае возникновения нештатных ситуаций (компьютерных инцидентов);
    • обучение персонала правилам эксплуатации отдельных средств защиты информации, включая проведение практических занятий;
    • контроль осведомленности персонала об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения безопасности КИИ.
Персонал: требуется ли круглосуточное дежурство персонала, ответственного за безопасность ЗОКИИ?

Ответ: не требуется.

Требование об осуществлении круглосуточного дежурства работников, ответственных за обеспечение безопасности ЗОКИИ, в действующем законодательстве отсутствует.

П. 4 приказа ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…» предписывает информировать о компьютерном инциденте на ЗОКИИ не позднее 3 часов с момента обнаружения, т.е. с момента, когда сотруднику, ответственному за обеспечение безопасности, стало о нем известно.

Документация: какой должен быть состав ОРД по обеспечению безопасности ЗОКИИ?

Ответ: как таковой состав организационно-распорядительных документов (ОРД), регламентирующих меры по обеспечению безопасности ЗОКИИ, нигде не утвержден.

При подготовке комплекта ОРД следует руководствоваться:

С учетом вышеизложенного рекомендуемый состав ОРД можно представить следующим образом:

  • Положение о комиссии по категорированию.
  • Политика обеспечения безопасности ЗОКИИ.
  • Порядок проведения испытаний или приемки средств защиты информации.
  • План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.
  • Порядок информирования и обучения работников.
  • Порядок взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.
  • Правила безопасной работы работников организации на ЗОКИИ.
  • Положение о структурном подразделении, отвечающим за безопасность ЗОКИИ.
  • Должностные инструкции сотрудников, обеспечивающих безопасность ЗОКИИ.
  • Регламенты процессов: планирования и разработки мероприятий по обеспечению безопасности ЗОКИИ; реализации (внедрения) мероприятий по обеспечению безопасности ЗОКИИ; контроля состояния безопасности ЗОКИИ; совершенствования безопасности ЗОКИИ.
  • Регламент обеспечения безопасности ЗОКИИ в ходе их создания, эксплуатации, и вывода из эксплуатации.
  • Регламент идентификации и аутентификации.
  • Регламент управления доступом.
  • Регламент управления конфигурацией информационной (автоматизированной) системы, управления обновлениями программного обеспечения и ограничением программной среды.
  • Регламент защиты машинных носителей информации.
  • Регламент мониторинга и аудита информационной безопасности.
  • Регламент антивирусной защиты.
  • Регламент по организации обнаружения и предотвращения компьютерных атак.
  • Регламент по обеспечению целостности и доступности информации.
  • Регламент защиты технических средств и систем, информационной (автоматизированной) системы и ее компонентов.
  • Регламент реагирования на компьютерные инциденты.
  • Регламент по планированию мероприятий по обеспечению безопасности.
  • Регламент по организации действий в нештатных ситуациях.
  • Регламент информирования и обучения персонала.

Конечный состав и формы ОРД по безопасности ЗОКИИ определяются организацией с учетом ее размеров и особенностей деятельности.

Проверки: выполнение требований каких документов проверяет ФСТЭК России в рамках государственного контроля (надзора) в области обеспечения безопасности ЗОКИИ?

Ответ: ФСТЭК России осуществляет контроль в соответствии с постановлением Правительства Российской Федерации от 17.02.2018 № 162, только в отношении ЗОКИИ. Перечень нормативных правовых актов или их отдельных частей, оценка соблюдения которых является предметом государственного контроля (надзора) в области обеспечения безопасности ЗОКИИ, утв. приказом ФСТЭК России от 16.07.2019 № 135.

Проверяются части 1, 2, 4, 5, 9, 12 ст. 7, ст. 9, ст. 10 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и соблюдение процедуры категорирования в соответствии с пунктами 1-18, 20, 21 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства Российской Федерации от 08.02.2018 № 127.

Также проверяется выполнение требований, утв. приказами ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239.

Проверки: может ли ФСТЭК России проводить внеплановые проверки субъектов КИИ?

Ответ: да, может. В соответствии с:

  • п. 3 Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры российской федерации, утв. постановлением Правительства Российской Федерации от 17.02.2018 № 162 (Правила осуществления государственного контроля): «Государственный контроль в области обеспечения безопасности КИИ осуществляется путем проведения плановых и внеплановых выездных проверок»;
  • п. 20 Правил осуществления государственного контроля: «Основаниями для осуществления внеплановой проверки являются:
    1. истечение срока выполнения субъектом КИИ выданного органом государственного контроля предписания об устранении выявленного нарушения требований по обеспечению безопасности;
    2. возникновение компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия;
    3. приказ органа государственного контроля, изданный в соответствии с поручением Президента Российской Федерации или Правительства Российской Федерации либо на основании требования прокурора об осуществлении внеплановой проверки в рамках проведения надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям».