Ответ: изменения, вносимые в Федеральный закон от 28.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» в соответствии с Федеральным законом от 07.04.2025 № 58-ФЗ, вступают в силу с 01.09.2025.

Ответ: Федеральным законом от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» дополняются полномочия Правительства Российской Федерации (далее – РФ) в части установления:

• требований, включая порядок и сроки перехода, к программно-аппаратным средствам, используемым на значимых объектах критической информационной инфраструктуры (далее – КИИ). На данный момент, такие требования установлены постановлением Правительства РФ от 14.11.2023 № 1912 (далее – ПП-1912);
• порядка и сроков перехода субъектов КИИ на использование программного обеспечения (далее – ПО), включенного в реестр российского ПО, на значимых объектах КИИ. На данный момент, такие требования установлены постановлением Правительства РФ от 22.08.2022 № 1478 (далее – ПП-1478).

Таким образом, изменения, вводимые в Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ), закрепляют и расширяют на уровне федерального законодательства условия и нормы по импортозамещению, установленные Указом Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации». Стоит отметить, что положения ПП-1478 распространяются на субъектов КИИ, осуществляющих закупочную деятельность в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц», а действие ПП-1912 – на всех субъектов КИИ. Соответственно, после вступления в силу изменений обязанности по использованию реестрового российского ПО на значимых объектах КИИ будут распространяться на всех субъектов КИИ.

Также предлагаемые изменения уточняют, что требования, включая сроки и порядок перехода, к использованию российского ПО и программно-аппаратных средств на значимых объектах КИИ, функционирующих в банковской сфере и иных сферах финансового рынка, подлежат согласованию с Центральным банком РФ (далее – Банк России). Соответствующие полномочия Банка России в области импортозамещения были закреплены Федеральным законом от 13.06.2023 № 243-ФЗ.

Прямое соотношение между вносимыми в 187-ФЗ изменениями и требованиями Указа Президента РФ от 01.05.2022 №  250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» не установлено, однако изменения не отменяют данные требования и не противоречат им.

Таким образом, законодательно закрепляются требования к организации и осуществлению импортозамещения в области безопасности КИИ РФ, а также закрепляются соответствующие нормативные правовые акты (ПП-1478, ПП-1912 и пр.) на уровне федерального закона.

Ответ: нет. В Федеральном законе от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» не рассматриваются телекоммуникационное оборудование и прочая радиоэлектронная продукция как самостоятельные категории. При этом в рамках изменений законодательства Правительство Российской Федерации уполномочено устанавливать требования к смежной категории – программно-аппаратным средствам.

Ответ: Федеральным законом от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» вводится ряд изменений в существующие нормы регулирования сферы критической информационной инфраструктуры (далее – КИИ). Перечислим тезисно ключевые из них:

1. На уровень Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ) вынесены изменения, ранее внесенные в Правила категорирования объектов КИИ Российской Федерации (далее – РФ), утвержденные постановлением Правительства РФ от 08.02.2018 № 127. Вносимые изменения касаются ведения отраслевых перечней объектов КИИ и методик категорирования с учетом отраслевых особенностей. При этом данная функция теперь за Правительством РФ.
2. На уровень 187-ФЗ вынесены и расширены нормы по импортозамещению, установленные Указом Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации». При этом для всех субъектов КИИ введены обязанности по использованию реестрового программного обеспечения (далее – ПО) на принадлежащих им значимых объектах КИИ.
3. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – ГосСОПКА) теперь включает силы иных органов и организаций, не являющихся субъектами КИИ (например, операторов персональных данных). При этом 187-ФЗ нормирует деятельность ГосСОПКА (как государственной системы) для всех введенных категорий субъектов в целом.
4. Расширены полномочия Правительства РФ, в том числе в части установления отраслевых норм категорирования, требований к используемому ПО и программно-аппаратным средствам, определения порядка и мониторинга за соответствующей деятельностью.
5. Расширена область государственного контроля исполнения 187-ФЗ ФСТЭК России на деятельность субъектов КИИ по отнесению объектов КИИ к значимым.
6. Индивидуальные предприниматели исключены из определения субъекта КИИ.

Ответ: да. Средства защиты информации (далее – СрЗИ) могут входить в категории «программное обеспечение» или «программно-аппаратный комплекс (средства)», при этом сведения о таких СрЗИ, при соответствии установленным критериям и прохождении процедуры правообладателем в отношении таких СрЗИ, включаются в Реестр российского программного обеспечения (далее – ПО, Реестр).

Федеральный закон от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» касается использования на значимых объектах критической информационной инфраструктуры (далее – КИИ) ПО, включенного в Реестр. Также в рамках закона установлены полномочия Правительства Российской Федерации в части установления требований к ПО и программно-аппаратным средствам значимых объектов КИИ.

С учетом вышеизложенного, требования и порядок использования СрЗИ (ПО СрЗИ) распространяются на СрЗИ значимых объектов КИИ в общем порядке.

Ответ: нет. В рамках Федерального закона от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» упрощается процедура категорирования силами субъектов критической информационной инфраструктуры (далее – КИИ) за счет определения и ведения на уровне Правительства Российской Федерации перечней типовых отраслевых объектов КИИ (определяет номенклатуру возможных объектов КИИ с признаками значимости таких объектов) и отраслевых особенностей категорирования (методические рекомендации в рамках сферы деятельности субъекта КИИ).

Предполагается, что данные процедуры упростят категорирование объектов КИИ в части определения таких объектов, применения к ним обозначенных критериев и показателей значимости.

Ответ: на данном этапе нет. В соответствии с пунктом 21 Правил категорирования объектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации (далее – РФ), утвержденных постановлением Правительства РФ от 08.02.2018 № 127 (далее – Правила категорирования), пересмотр результатов категорирования требуется при изменении показателей критериев значимости или их значений, а соответствующие изменения могут произойти только на уровне субъекта КИИ или при актуализации Правил категорирования.

Однако при издании (переиздании на уровне Правительства РФ) перечней типовых отраслевых объектов КИИ и отраслевых особенностей категорирования может измениться подход к оценке показателей и (или) к категорированию в целом. Данные изменения могут учитываться субъектами КИИ как дополнительные комплаенс-риски в рамках государственного контроля и мониторинга, мы рекомендуем их (изменения) учитывать при плановом пересмотре результатов категорирования.

Ответ: Федеральным законом от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» расширяется состав и уточняется область деятельности Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА). В рамках внесенных изменений субъектам ГосСОПКА, не являющимся субъектами критической информационной инфраструктуры, потребуется в общем порядке осуществить исполнение норм подзаконных актов, регулирующих деятельность ГосСОПКА, как участникам общей системы. При этом на текущем этапе данные нормативные правовые акты находятся в неактуальном состоянии по отношению к вводимым изменениям, а значит в будущем потребуется их актуализации со стороны ФСБ России с уточнением ролей участников и нормативного регулирования в отношении конкретных ролей и направлений регулирования.

Ответ: на данном этапе нет однозначного понимания, что подразумевается под непрерывным взаимодействием с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА). При этом, как и прежде, порядок такого взаимодействия определяется ФСБ России (актуальная редакция утверждена приказом ФСБ России от 19.06.2019 № 282). Соответственно, способ взаимодействия с ГосСОПКА будет установлен в рамках указанного нормативного правового акта (возможно, останется без изменений, с вариантом взаимодействия без подключения к технической инфраструктуре Национального координационного центра по компьютерным инцидентам).

Ответ: Федеральным законом от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» расширяется состав и уточняется область деятельности Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА), создавая условия для более эффективного функционирования ГосСОПКА. Значимые изменения на уровне субъектов КИИ законом не вносятся. Однако в рамках актуализации Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», возможно, будут обновлены и дополнены нормативные правовые акты ФСБ России, что может отразиться на субъектах КИИ и их процессах сбора событий безопасности и реагирования на компьютерные инциденты и атаки. В том числе возможен пересмотр:

• Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (приказ ФСБ России от 19.06.2019 № 281);
• Порядка информирования ФСБ России о компьютерных инцидентах (приказ ФСБ России от 19.06.2019 № 282);
• Порядка представления информации в ГосСОПКА (приказ ФСБ России от 24.07.2018 № 367);
• Порядка обмена информацией о компьютерных инцидентах (приказ ФСБ России от 24.07.2018 № 368).

Ответ: для субъектов критической информационной инфраструктуры (далее – КИИ), в том числе являющихся финансовыми организациями, требования к импортозамещению установлены в следующих нормативных правовых актах:

• Указ Президента Российской Федерации (далее – РФ) от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (запрет на использование иностранного программного обеспечения (далее – ПО) в значимых объектах КИИ для отдельных категорий субъектов КИИ);
• Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (запрет для всех субъектов КИИ на использование средств защиты информации из недружественных стран, а также запрет на пользование услугами по информационной безопасности, предоставляемыми организациями из недружественных стран);
• постановление Правительства РФ от 22.08.2022 № 1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому…» (требования к использованию российского или евразийского ПО в значимых объектах КИИ для отдельных категорий субъектов КИИ);
• постановление Правительства РФ от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных…» (требования к использованию доверенных программно-аппаратных комплексов в значимых объектах КИИ для всех субъектов КИИ).

Ранее в нашей рубрике мы рассматривали вопросы по требованиям к импортозамещению. Так, например, можно выделить ответы на следующие вопросы, содержащие описание общих установленных требований:

• Импортозамещение: на какие организации распространяются требования постановления Правительства Российской Федерации от 14.11.2023 № 1912?
• Импортозамещение: могут ли организации подпадать как под ПП-1478, так и под ПП-1912? Каким образом обеспечить одновременное исполнение соответствующих нормативных правовых актов?
• Указ Президента РФ № 166: как определить, распространяется ли на нашу организацию УП-166?
• Указ Президента РФ № 250: что означает запрет на использование сервисов, услуг и работ по обеспечению ИБ, предоставляемых иностранными государствами?
• СБ ЗОКИИ: подпадают ли под запрет использования иностранные средства защиты информации союзных государств (Республика Беларусь) на значимых объектах КИИ?

Однако помимо требований, утвержденных постановлениями Правительства РФ и указами Президента РФ, финансовым организациям необходимо учитывать отраслевые требования к импортозамещению. Некредитные и кредитные финансовые организации (то есть субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка) обязаны обеспечить переход на преимущественное использование российского ПО, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах КИИ. Соответствующие требования о переходе на отечественные программные, аппаратные и программно-аппаратные средства в рамках значимых объектов КИИ установлены в статьях 57.5-1 (для кредитных организаций) и 76.4-3 (для некредитных организаций) Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».

Таким образом, организациям, функционирующим в банковской сфере и иных сферах финансового рынка, как субъектам КИИ:

• запрещено использовать средства защиты информации из недружественных стран;
• запрещено пользоваться услугами по обеспечению информационной безопасности, предоставляемыми организациями из недружественных стран;
• необходимо осуществить переход на доверенные программно-аппаратные комплексы на значимых объектах КИИ;
• необходимо осуществить переход на российское ПО, отечественную радиоэлектронную продукцию и телекоммуникационное оборудование на значимых объектах КИИ.

Ответ: виды деятельности субъектов сферы науки определены в рамках положений Федерального закона от 23.08.1996 № 127-ФЗ «О науке и государственной научно-технической политике» (далее – 127-ФЗ). Так, согласно статье 2 127-ФЗ, выделено 3 вида научной деятельности:

1.   Научная (научно-исследовательская) деятельность – деятельность, направленная на получение и применение новых знаний, в том числе:

• фундаментальные научные исследования – экспериментальная или теоретическая деятельность, направленная на получение новых знаний об основных закономерностях строения, функционирования и развития человека, общества, окружающей среды;
• прикладные научные исследования – исследования, направленные преимущественно на применение новых знаний для достижения практических целей и решения конкретных задач;
• поисковые научные исследования – исследования, направленные на получение новых знаний в целях их последующего практического применения (ориентированные научные исследования) и (или) на применение новых знаний (прикладные научные исследования) и проводимые путем выполнения научно-исследовательских работ.

2.   Научно-техническая деятельность – деятельность, направленная на получение, применение новых знаний для решения технологических, инженерных, экономических, социальных, гуманитарных и иных проблем, обеспечения функционирования науки, техники и производства как единой системы.

3.   Экспериментальные разработки – деятельность, которая основана на знаниях, приобретенных в результате проведения научных исследований или на основе практического опыта, и направлена на сохранение жизни и здоровья человека, создание новых материалов, продуктов, процессов, устройств, услуг, систем или методов и их дальнейшее совершенствование.

Соответственно, определить принадлежность организаций к сфере науки можно исходя из определений видов деятельности. Так, если организация осуществляет перечисленные деятельности (одну из перечисленных), то организация обладает признаками субъекта критической информационной инфраструктуры сферы науки.

Также, согласно части 1 статьи 3 127-ФЗ, научная и (или) научно-техническая деятельность осуществляется и юридическими лицами при условии, если такая деятельность предусмотрена их учредительными документами. При корректном отражении субъектом критической информационной инфраструктуры своих видов экономической деятельности, в качестве признака выполнения научной деятельности также может использоваться общероссийский классификатор видов экономической деятельности. Таким образом, одним из признаков осуществления научной деятельности могут являться декларированные виды экономической деятельности. В частотности, коды общероссийского классификатора видов экономической деятельности группировки 72:

• 72.1 – научные исследования и разработки в области естественных и технических наук;
• 72.11 – научные исследования и разработки в области биотехнологии;
• 72.19 – научные исследования и разработки в области естественных и технических наук прочие;
• 72.19.1 – научные исследования и разработки в области естественных наук;
• 72.19.2 – научные исследования и разработки в области технических наук;
• 72.19.3 – научные исследования и разработки в области нанотехнологий;
• 72.2 – научные исследования и разработки в области общественных и гуманитарных наук;
• 72.20 – научные исследования и разработки в области общественных и гуманитарных наук;
• 72.20.1 – научные исследования и разработки в области общественных наук;
• 72.20.2 – научные исследования и разработки в области гуманитарных наук.

Ответ: инициатором пересмотра категории значимости объектов критической информационной инфраструктуры (далее – КИИ) может быть любой член постоянно действующей комиссии по категорированию объектов КИИ (далее – Комиссия), если соответствующее право закреплено в утвержденном положении о Комиссии. Целесообразно предоставлять такое право каждому члену Комиссии, поскольку члены Комиссии являются владельцами информации о протекающих производственных и бизнес-процессах, а также о выявленных критических процессах и эксплуатируемых объектах КИИ. Соответственно, члены Комиссии владеют актуальной информацией о возможных негативных последствиях, возникающих вследствие нарушения функционирования объектов КИИ, и могут предоставить данную информацию для перерасчетов значений критериев значимости с последующей корректировкой установленной категории значимости. Согласно пункту 21 Правил категорирования объектов КИИ, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Правила категорирования), субъекты КИИ обязаны осуществлять пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения таких категорий объектам КИИ:

• не реже чем один раз в 5 лет;
• в случае изменения показателей критериев значимости объектов КИИ или их значений.

Соответственно, если член Комиссии обладает информацией об изменениях уровня возможных негативных последствий, которые могут возникнуть на объекте КИИ, то необходимо инициировать пересмотр значений показателей критериев значимости для соблюдения требований Правил категорирования. Таким образом, рекомендуется предоставлять право инициации пересмотра установленных категорий значимости (решений об отсутствии необходимости их присвоения) каждому члену Комиссии.

Также рекомендуется возложить на членов Комиссии обязанности по информированию об изменениях возможных рисков и по проведению соответствующих изменений в результатах категорирования через принятие коллективного решения: выносить вопрос об изменениях на обсуждение Комиссии либо передавать соответствующую информацию ответственному за организацию заседаний Комиссии (как правило, такую роль выполняет секретарь Комиссии).

Ответ: при проведении процедуры категорировании объектов критической информационной инфраструктуры (далее – КИИ) рекомендуется формировать перечень процессов, которые осуществляются организацией в рамках реализации видов деятельности, установленных статьей 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ), а также формировать перечень критических процессов – процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка. Определение данных процессов предусмотрено Правилами категорирования объектов КИИ, утвержденными постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Правила категорирования), а формирование перечней процессов обеспечивает прозрачность процедуры категорирования.

Однако стоит отметить, что Правилами категорирования явно не установлено требование по формированию, утверждению и (или) изданию перечней процессов. Поэтому одним из вариантов выявления объектов КИИ может быть определение видов деятельности, для реализации которых функционируют такие объекты. В том числе потенциальный объект КИИ может быть выявлен путем анализа перечней типовых отраслевых объектов КИИ, утвержденных министерствами Российской Федерации для определенных сфер экономической деятельности.

Стоит отметить, что формирование перечней процессов, в рамках которых субъекты КИИ осуществляют свою деятельность в соответствии с определением 187-ФЗ, и критических процессов может быть предусмотрено отраслевыми методическими рекомендациями по категорированию объектов КИИ. Так, например, формирование реестра бизнес-процессов и перечня критических бизнес-процессов предусмотрено Методическими рекомендациями по категорированию объектов КИИ сферы здравоохранения (утверждены Заместителем Министра здравоохранения 05.04.2021), а также формирование перечней процессов и критических процессов предусмотрено Методическими рекомендациями по категорированию объектов КИИ, функционирующих в сфере транспорта (утверждены Минтрансом России 24.01.2024).

Ответ: для ответа на данный вопрос необходимо рассмотреть категории ответственных лиц, которых назначают в рамках обеспечения информационной безопасности (далее – ИБ) и безопасности критической информационной инфраструктуры (далее – КИИ).

1.     В соответствии с требованиями Указа Президента Российской Федерации (далее – РФ) от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – УП-250), на руководителей субъектов КИИ возлагается персональная ответственность за обеспечение ИБ организации. Информировать контролирующие органы о возложении ответственности на руководителя организации не требуется.

2.     Также в соответствии с требованиями УП-250, в организационно-штатной структуре субъекта КИИ должен быть выделен заместитель руководителя организации, на которого необходимо возложить полномочия по обеспечению ИБ организации (так называемый заместитель руководителя по ИБ). Информировать контролирующие органы о выделении должности «Заместитель руководителя по ИБ» (о возложении обязанностей по обеспечению ИБ на соответствующее лицо) не требуется.

3.     В соответствии с Требованиями к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования, утвержденными приказом ФСТЭК России от 21.12.2017 № 235, субъектом КИИ должно быть создано структурное подразделение, ответственное за обеспечение безопасности значимых объектов КИИ, или назначены отдельные ответственные специалисты по безопасности. В том числе необходимо выделить отдельного специалиста, на которого возлагаются функции обеспечения безопасности значимых объектов КИИ. Информация о структурном подразделении и специалисте (специалистах) направляется в Сведениях о результатах категорирования (по форме приказа ФСТЭК России от 22.12.2017 № 236 «Об утверждении формы направления…»).

В соответствии с Правилами категорирования объектов КИИ, утвержденными постановлением Правительства РФ от 08.02.2018 № 127, Сведения о результатах категорирования необходимо поддерживать в актуальном и достоверном состоянии. В случае изменения данных, изложенных в Сведениях о результатах категорирования, субъект КИИ обязан в течение 20 рабочих дней со дня появления изменений направить актуальные Сведения во ФСТЭК России. За несвоевременное или непредоставление Сведений о результатах категорирования предусмотрена административная ответственность в соответствии со статьей 19.7.15 Кодекса об административных правонарушениях РФ.

Ответ: да, допускается. В соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации (далее – РФ), утвержденными приказом ФСТЭК России от 25.12.2017 № 239, набор мер для обеспечения безопасности объектов КИИ должен дополняться иными мерами защиты информации в соответствии с требованиями законодательства РФ, например:

• требованиями о защите информации, содержащейся в государственных информационных системах,
• требованиями к защите персональных данных при их обработке в информационных системах персональных данных,
• требованиями к криптографической защите информации
• иными требованиями в области защиты информации и обеспечения безопасности КИИ.

Соответственно, для обеспечения информационной безопасности объекта защиты можно проектировать интегрированную систему, обеспечивающую реализацию всех установленных требований по защите информации.

Ранее в нашей рубрике был рассмотрен схожий вопрос: «Обязательно ли создание отдельной системы менеджмента (управления) безопасности объектов КИИ или допускается интегрированная СМИБ, включающая процессы управления безопасностью как объектов КИИ, так и других объектов защиты?».

Ответ: при возникновении организационно-штатных изменений (например, должностные изменения, увольнения) в отношении сотрудников в составе постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры (далее – Комиссия, КИИ), соответствующие изменения можно зафиксировать двумя способами:

1.   Издать новый приказ о Комиссия, в рамках которого зафиксировать актуальную информацию о составе Комиссии и отмену действия предыдущего приказа о Комиссии.

2.   Издавать приказы, вносящие корректировки в прежние редакции приказа о Комиссии.

Первый вариант рекомендуется использовать при существенном изменении порядка и (или) области деятельности Комиссии или изменении ее структуры и пр. При реализации такого варианта рекомендуется сохранять неактуальный приказ или его реквизиты (для последующего запроса в подразделение делопроизводства) для минимизации риска возникновения вопросов со стороны контролирующих органов о нарушении сроков категорирования. То есть представителям контролирующего органа или организации, осуществляющей мониторинг актуальности сведений о результатах категорирования, можно будет предоставить все приказы (действующий и устаревший) в качестве свидетельств выполнения требований.

Ответ: если средство защиты информации (далее – СрЗИ) приобретено как единый программно-аппаратный комплекс, в составе которого присутствуют модули иных СрЗИ, то такое изделие должно обладать условиями технической поддержкой на все комплектующие (как единая техническая поддержка на комплекс в целом, так и техническая поддержка на каждый компонент – СрЗИ, но предоставляемая с общей поставкой).

В случае если СрЗИ закупаются по отдельности с целью последующей их интеграцией и создания системы защиты информации, то необходимо обеспечить техническом поддержкой каждое средство при их приобретении.

Наличие технической поддержки СрЗИ является обязательным требованием для обеспечения безопасности значимых объектов критической информационной инфраструктуры (в соответствии с требованиями приказа ФСТЭК России от 21.12.2017 № 235 «Об утверждении требования к созданию системы…» и приказа ФСТЭК России от 25.12.2017 № 239 «Об утверждении требования по обеспечению…»), а также условием для использования сертифицированных СрЗИ в рамках заданных производителем функций безопасности и уровнем доверия.

Ответ: да, в нормативных правовых актах Российской Федерации, регламентирующих обеспечение безопасности критической информационной инфраструктуры (далее – КИИ), отсутствуют требования к отдельной разработке модели угроз безопасности информации (далее – УБИ) объектов КИИ и модели угроз безопасности программного обеспечения (далее – ПО). Однако необходимо учитывать, что анализ угроз с точки зрения безопасной разработки ПО проводит разработчик ПО и, соответственно, разрабатывает документальную модель угроз безопасности. Ввиду того, что моделирование УБИ и анализ угроз ПО являются разными направлениями обеспечения безопасности, рекомендуется формировать отдельные документы, обеспечивающие реализацию соответствующих областей информационной безопасности.

Рекомендуем проводить моделирование УБИ объектов КИИ в объеме (в рамках уровня детализации) и в соответствии с порядком, определенными методикой оценки УБИ ФСТЭК России (утверждена от 05.02.2021).

Ответ: необходимость реализации тех или иных мер информационной безопасности на каждом уровне инфраструктуры информационных технологий определяется исходя из актуальных угроз безопасности информации. Если для значимого объекта критической информационной инфраструктуры (далее – КИИ) актуальны угрозы, связанные с определенными объектами защиты (например, операционная система, система управления базами данных, прикладное программное обеспечение), то необходимо реализовать меры защиты, направленные на нейтрализацию или минимизацию возникновения соответствующих актуальных угроз. В случае отсутствия актуальных угроз, воздействующих на отдельные объекты защиты (в том числе ввиду отсутствия соответствующих объектов воздействия), допускается не реализовывать отдельные меры защиты, установленные Требованиями по обеспечению безопасности значимых объектов КИИ Российской Федерации, утвержденными приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ), в отношении соответствующих объектов защиты (уровней инфраструктуры информационных технологий). При этом стоит отметить, что в соответствии с Требованиями к СБ, для обеспечения безопасности значимых объектов КИИ в приоритетном порядке используются механизмы безопасности, встроенные в прикладное программное обеспечение и (или) программно-аппаратные средства объекта КИИ.

Ответ: да, могут, если межсетевой экран (далее – МЭ) Check Point используется для обеспечения сетевой безопасности общей инфраструктуры информационных технологий (далее – ИТ-инфраструктура) организации, но не используется для обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ). Например, допускается использование МЭ Check Point для защиты корпоративной системы передачи данных, в контурах которой эксплуатируются объекты КИИ без установленной категории значимости.

В соответствии с пунктом 6 Указа Президента Российской Федерации (далее – РФ) от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», субъектам КИИ запрещено использовать средства защиты информации (далее – СрЗИ), странами происхождения которых являются недружественные иностранные государства. Израиль не включен в перечень недружественных стран и является страной-производителем технических решений Check Point. Соответственно, субъекты КИИ могут использовать МЭ Check Point для обеспечения информационной безопасности ИТ-инфраструктуры. Однако необходимо учитывать требования, предъявляемые к СрЗИ и к программно-аппаратным комплексам (далее – ПАК) в составе значимых объектов КИИ.

Так, согласно определению ПАК, утвержденному постановлением Правительства РФ от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры…» (далее – ПП-1912), МЭ является ПАК, и, соответственно, необходимо учитывать требования о применении доверенных ПАК в составе значимых объектов КИИ. МЭ Check Point не соответствует критериям доверенного ПАК, установленным ПП-1912, в частности МЭ ПАК Check Point не включен в реестр российской радиоэлектронной продукции.

В том числе, статьями 57.5-1 и 76.4-3 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» установлены требования для кредитных и некредитных организаций об осуществлении перехода на использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе ПАК, на принадлежащих им значимых объектах КИИ. Таким образом, субъектам КИИ, функционирующим в банковской сфере или иных сферах финансового рынка, запрещено использовать МЭ ПАК Check Point на значимых объектах КИИ.

В случае использования МЭ как СрЗИ значимого объекта КИИ, с указанием реализуемых функций защиты в рамках технического проекта подсистемы безопасности, необходимо учитывать Требования по обеспечению безопасности значимых объектов КИИ РФ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239. В частности, необходимо учитывать требование к уровням доверия применяемых СрЗИ: СрЗИ должны соответствовать 6 или более высокому уровню доверия. Согласно Требованиям по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденным приказом ФСТЭК России от 02.06.2020 № 76, для получения оценки соответствия 5 уровню доверия и выше сведения об аппаратной платформе (процессорах, микроконтроллерах, элементах памяти, сетевых картах, графических адаптерах) СрЗИ должны быть включены в единый реестр российской радиоэлектронной продукции. Соответственно, МЭ ПАК Check Point также не может быть использован как СрЗИ объектов КИИ, в отношении которых присвоена 2 или 1 категория значимости.

Таким образом, запрещается использовать МЭ ПАК Check Point в составе значимых объектов КИИ, в том числе в качестве СрЗИ таких объектов, но допускается использовать МЭ для обеспечения сетевой безопасности иных информационных активов субъектов КИИ.

Ответ: при проектировании общей системы безопасности для информационной системы персональных данных (далее – ИСПДн, ПДн) и значимого объекта критической информационной инфраструктуры (далее –КИИ) необходимо учитывать следующие моменты:

1.   Требования к проектированию системы обеспечения информационной безопасности (далее – СОИБ) определены в Требованиях по обеспечению безопасности значимых объектов КИИ Российской Федерации, утвержденных приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ), но не учтены в Составе и содержании организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, утвержденных приказом ФСТЭК России от 18.02.2013 № 21 (далее – Требования к ИБ ИСПДн). Соответственно, рекомендуется при проектировании и внедрении СОИБ руководствоваться мероприятиями, описанными в Требованиях к СБ (например, проведение предварительных испытаний и иных мероприятий).

2.   В соответствии с пунктами 5, 23 и 24 Требований к СБ, при проектировании СОИБ значимого объекта КИИ, в котором обрабатываются ПДн и который, соответственно, является ИСПДн, необходимо учитывать Требования к ИБ ИСПДн и Требования к защите ПДн при их обработке в ИСПДн, утвержденные постановлением Правительства Российской Федерации от 01.11.2012 № 1119.

3.   При проектировании СОИБ необходимо определить объекты защиты в рамках границ значимого объекта КИИ и ИСПДн – определить различия между ИСПДн и значимым объектом КИИ как объектами защиты, а также обозначить критерии определения границ.

4.   Границы ИСПДн и значимого объекта КИИ необходимо в четком виде зафиксировать в техническом задании, пояснительной записке к техническому проекту на создание СОИБ, технических паспортах на системы и иных документах, разрабатываемых при проектировании и внедрении СОИБ.

Основные проблемы возникают в связи с разными подходами при определении границ ИСПДн и объектов КИИ. Так, для ИСПДн границы формируются в рамках информационных потоков при выполнении одной или нескольких целей обработки ПДн, а для объекта КИИ – ассоциированными с объектом критическими процессами. Например, в контексте законодательства о КИИ допустимо выделение в отдельный объект совокупности общекорпоративных инфраструктурных сервисов сети передачи данных по признаку критического процесса «Управление сервисами информационной инфраструктуры». При этом в контур ИСПДн попадет только отдельный сервис – служба каталогов.

Ответ: в первую очередь необходимо определить потребность в реализации функционала гарантированного уничтожения информации, обрабатываемой в значимом объекте критической информационной инфраструктуры (далее – КИИ), ввиду того что не в каждом объекте КИИ может обрабатываться конфиденциальная информация. Необходимость использования средств гарантированного уничтожения информации определяется на этапе моделирования угроз безопасности, исходя из критерия конфиденциальности информации и перечней актуальных сценариев реализации угроз и актуальных угроз безопасности.

Для уничтожения конфиденциальной информации могут использоваться следующие встроенные функции защиты:

• встроенный функционал систем управления базами данных (далее – СУБД) для уничтожения структурированных данных;
• встроенный функционал операционных систем для уничтожения неструктурированных данных (например, электронные документы, отдельные файлы), в том числе для данных, хранящихся на машинных носителях информации.

При этом, для подтверждения гарантированного уничтожения в рамках технического проекта подсистемы безопасности значимого объекта КИИ, необходимо учитывать требования к проведению оценки соответствия используемых функций защиты, а также запрет на использование средств защиты из недружественных стран.

Стоит отметить, что для сертифицированных СУБД и операционных систем реализация функций гарантированного уничтожения информации является обязательной в рамках профилей сертификации:

• требования по безопасности информации к СУБД, утвержденные приказом ФСТЭК России от 14.04.2023 № 64 (пункт 13 требований);
• профили защиты операционных систем типа Б и В, утвержденные ФСТЭК России от 11.05.2017;
• профили защиты операционных систем типа А, утвержденные ФСТЭК России от 08.02.2017.

Ответ: нет, не допускается эксплуатация сертифицированных систем управления базами данных, систем виртуализации и контейнеризации в среде несертифицированных операционных систем.

Соответствующие правила эксплуатации утверждены в следующих требованиях, используемых при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий:

• требования по безопасности информации к системам управления базами данных, утвержденные приказом ФСТЭК России от 14.04.2023 № 64 (пункт 6 требований);
• требования по безопасности информации к средствам виртуализации, утвержденные приказом ФСТЭК России от 27.10.2022 № 187 (пункт 7 требований);
• требования по безопасности информации к средствам контейнеризации, утвержденные приказом ФСТЭК России от 04.07.2022 № 118 (пункт 7 требований).

Ответ: нет, не установлены требования к обязательному применению сертифицированных операционных систем (далее – ОС) и систем управления базами данных (далее – СУБД) на значимых объектах критической информационной инфраструктуры (далее – КИИ).

Однако необходимо учитывать запрет на использование средств защиты информации, в том числе встроенные функции защиты программного обеспечения, из недружественных стран (пункт 6 указа Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»). Соответственно, если странами производителей используемых ОС и СУБД являются недружественные иностранные государства, то для обеспечения безопасности значимого объекта КИИ запрещается использовать встроенные функции защиты таких ОС и СУБД (в рамках проекта подсистемы безопасности).

Стоит отметить, что если используются встроенные функции защиты иностранных (из недружественных стран) ОС и СУБД для нейтрализации актуальных угроз безопасности информации значимого объекта КИИ, то необходимо учитывать следующее:

• для замещения отдельных функций защиты таких ОС могут быть использованы средства защиты от несанкционированного доступа или иные средства защиты информации, в отношении которых проводится оценка соответствия в виде сертификации, испытаний или приемки;
• для защиты баз данных без использования функций защиты иностранных СУБД может быть осуществлена изоляция информационной системы в целом (локализация угроз на уровне объекта КИИ).

Стоит отметить, что альтернативным способом защиты баз данных является использование механизмов безопасности отечественных СУБД, сертифицированных на соответствие требованиям по защите информации.

Ответ: средства защиты информации от несанкционированного доступа могут применяться в случае невозможности замещения операционных систем семейства Windows на значимых объектах критической информационной инфраструктуры (далее – КИИ). До вступления в силу Указа Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», допускалось использование встроенных механизмов операционных систем Windows и иных иностранных систем для реализации функций безопасности объектов КИИ, например:

• идентификация и аутентификация пользователей;
• управление доступом к объектам доступа;
• создание замкнутой программной среды;
• контроль целостности;
• регистрация событий безопасности и мониторинг безопасности.

В случае невозможности импортозамещения операционных систем соответствующие функции безопасности могут быть реализованы с использованием средств защиты информации от несанкционированного доступа, то есть с использование наложенных средств защиты.

Ответ: если использование электронных подписей или иных типов шифрования данных предусмотрено в рамках реализации критического процесса, то соответствующие технические средства и системы должны быть указаны в техническом проекте на внедрение подсистемы обеспечения безопасности значимого объекта критической информационной инфраструктуры (далее – КИИ). При этом необходимо зафиксировать, для защиты каких компонентов объекта КИИ и для реализации каких мер безопасности (с обозначением и номером меры в соответствии с Требованиями по обеспечению безопасности значимых объектов КИИ Российской Федерации, утвержденными приказом ФСТЭК России от 25.12.2017 № 239) будут использоваться криптопровайдеры и носители ключевой информации (средства криптографической защиты информации).

Ответ: да, предусмотрена административная ответственность в соответствии с частью 2 статьи 13.12.1 Кодекса Российской Федерации об административных нарушениях (далее – КоАП РФ) за нарушение сроков разработки Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (далее – План). Соответствующими частью и статьей КоАП РФ предусмотрена ответственность за нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры (далее – КИИ), утвержденного приказом ФСБ России от 19.06.2019 № 282 (далее – Порядок). Утвержденным Порядком установлено требование о необходимости разработки Плана в срок до 90 дней со дня включения значимого объекта КИИ в реестр значимых объектов КИИ РФ. Соответственно, нарушение сроков разработки Плана потенциально влечет наложение мер административной ответственности на субъекта КИИ в виде штрафа от 100 тыс. до 500 тыс. руб.

Ответ: согласно пункту 11 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации (далее – РФ) и обеспечению их функционирования, утвержденных приказом ФСТЭК России от 21.12.2017 № 235, допускается привлечение сторонних организаций для реализации функций по обеспечению безопасности значимых объектов КИИ – передача процессов обеспечения информационной безопасности (далее – ИБ) объектов КИИ на аутсорсинг. Привлекаемые аутсорсинговые компании должны иметь лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации (в зависимости от типа информации, обрабатываемой объектом КИИ).

Однако необходимо учитывать требования, установленные Указом Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». В соответствии с требованиями данного указа, на стороне субъекта КИИ должны быть определены полномочия, обязанности и ответственность по обеспечению ИБ, а именно:

• возложение на заместителя руководителя субъекта КИИ полномочий по обеспечению ИБ организации;
• создание структурного подразделения, осуществляющего функции по обеспечению ИБ субъекта КИИ;
• возложение на руководителя субъекта КИИ персональной ответственности за обеспечение ИБ организации.

Соответственно, в организационной структуре субъекта КИИ необходимо выделение отдельной штатной единицы в виде заместителя руководителя по ИБ, а также выделение структурного подразделения по ИБ. Таким образом, несмотря на возможность передачи процессов обеспечения ИБ на аутсорсинг, в штатной численности субъекта КИИ необходимы специалисты по ИБ, как минимум в лице заместителя руководителя по ИБ.

Ответ: для ответа на данный вопрос необходимо обратиться к определениям программно-аппаратного комплекса (далее – ПАК), которые представлены в нормативных актах. Ранее в нашей рубрике мы разбирали определения ПАК, исходя из которых можно сделать вывод, что ПАК – это неразрывная совокупность программного обеспечения (далее – ПО) и аппаратной платформы, функционал которых невозможно реализовать при их разделении.

Соответственно, ПАК являются комплексы, изготавливаемые и предоставляемые производителем для решения определенного функционала. Например, ПАК может быть совокупность серверного оборудования и предустановленного на него ПО, которое продается единым комплектом и решает заранее определенные задачи и функции.

На данный момент нормативными правовыми актами не определен процесс формирования и ведения единого реестра доверенных ПАК. Однако существует реестр ПАК в рамках единого реестра российских программ для электронных вычислительных машин и баз данных. Правила ведения соответствующего реестра утверждены постановлением Правительства Российской Федерации от 16.11.2015 № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд». Стоит отметить, что критерии включения в реестр ПАК частично совпадают с критериями отнесения ПАК к доверенным ПАК. Соответственно, можно использовать существующий реестр ПАК для выбора доверенных ПАК при создании (модернизации) значимых объектов КИИ.

Ответ: нет, мониторинг представления субъектами критической информационной инфраструктуры (далее – КИИ) актуальных и достоверных сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее – Сведения о результатах категорирования) является отдельным мероприятием, осуществляемым в соответствии с пунктом 19.2 Правил категорирования объектов КИИ, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Правила категорирования), и в соответствии с иными отраслевыми нормативными правовыми актами министерств и ведомств.

Мониторинг осуществляется в целях оценки актуальности и достоверности Сведений о результатах категорирования, представляемых субъектами КИИ ФСТЭК России по результатам проведенного категорирования и в случае изменения соответствующих сведений (пункты 17 и 19.1 Правил категорирования), а также направлен на проверку соблюдения субъектами КИИ сроков отправки таких сведений. Государственный контроль, проводимый ФСТЭК России в соответствии со статьей 13 Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», направлен на оценку соблюдения субъектами КИИ требований по обеспечению безопасности значимых объектов КИИ. Соответственно, мониторинг и государственный контроль – это два разных мероприятия, направленных на оценку выполнения разных требований нормативных правовых актов. Однако стоит отметить, что в рамках проведения мониторинга могут быть запрошены внутренние документы субъекта КИИ, являющиеся свидетельствами достоверности заполненных Сведений о результатах категорирования, в том числе в части подтверждения мероприятий по созданию системы обеспечения информационной безопасности объектов КИИ (например, сведения о составе средств защиты информации, их оценке соответствия, приказы об утверждении ответственных лиц и пр.).

Ответ: субъект критической информационной инфраструктуры (далее – КИИ) вправе использовать предоставляемые в рамках договорных отношений с поставщиком услуг – центром обработки данных (далее – ЦОД) уровни (слои) информационной инфраструктуры или физическую среду для размещения принадлежащих ему программных и (или) программно-аппаратных средств. Соответствующая схема может быть реализована как для значимых объектов КИИ, так и для объектов без категории значимости.

 При этом государственный контроль проводится ФСТЭК России в отношении конкретных, уведомляемых в рамках регламентированной процедуры, субъектов критической КИИ. Государственный контроль осуществляется путем проведения плановых и внеплановых проверок, предметом плановых проверок является соблюдение субъектом КИИ требований по обеспечению безопасности. Соответственно, при проведении проверок в отношении субъекта КИИ в рамках оценки безопасности значимых объектов КИИ в среде сторонних ЦОД:

1. Осуществляются проверочные мероприятия в отношении внутреннего режима обеспечения безопасности субъекта КИИ, в том числе в части реализации правил и процедур безопасности на значимых объектах КИИ, размещенных в сторонних ЦОД.
2. Осуществляются проверочные мероприятия в отношении уровней (слоев) информационной инфраструктуры (в том числе средств защиты информации), принадлежащих субъекту КИИ. В рамках таких мероприятий также может проводиться оценка эффективности мер безопасности.
3. Осуществляется проверка реализации правовых мер обеспечения безопасности путем оценки договоров с поставщиками услуг ЦОД на предмет наличия требований безопасности, требований к качеству предоставляемых услуг (SLA), а также процедур обеспечения контроля их выполнения (например, требования к проведению внутренних (внешних) аудитов и предоставлению свидетельств их проведения по запросу субъекта КИИ) и (или) иных гарантий. В качестве гарантий выполнения требований безопасности на стороне поставщика услуг ЦОД может быть аттестат соответствия по необходимому профилю требований, размещенный на сайте и (или) предоставляемый субъекту КИИ по запросу в рамках договорных отношений.

Состав мер обеспечения безопасности, реализуемых на стороне поставщика услуг ЦОД, должен определяться в рамках технического проектирования подсистемы безопасности значимого объекта КИИ, с учетом:

• декларации безопасности на стороне поставщика услуг (например: аттестат соответствия; публичная оферта с информацией о реализованных мерах безопасности; информация, размещенная на сайте поставщика услуг и пр.);
• оценки рисков информационной безопасности при аутсорсинге;
• модели угроз безопасности информации, включающей моделирование угроз на уровнях (слоях) информационной инфраструктуры и источники угроз, как на стороне субъекта КИИ, так и на стороне поставщика услуг;
• возможности реализации компенсирующих мер безопасности.

Субъект КИИ должен создать условия для возможности посещения сотрудниками ФСТЭК России ЦОД, но только в случае, если условия договора с поставщиком услуг и внутриобъектовый режим ЦОД допускают посещение мест размещения оборудования сотрудниками потребителя услуг и (или) иными лицами, действующими в его интересах в рамках установленных процедур и ограничений.

Ответ: издание приказа руководителя субъекта критической информационной инфраструктуры (далее – КИИ) об устранении недостатков (нарушений, несоответствий), выявленных в ходе государственного контроля, является лучшей практикой в части способа контроля исполнения указаний и инструментов назначения персональной ответственности. Также стоит отметить, что государственный контроль является внешней оценкой (внешним аудитом) соответствия требованиям нормативных правовых актов в области безопасности КИИ. В соответствии с пунктом 36 Требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, утвержденных приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ), замечания, выявленные по результатам внутреннего контроля или внешней оценки, подлежат устранению в порядке и сроки, установленные руководителем субъекта КИИ (ответственным лицом). Так, установить сроки устранения недостатков (несоответствий) можно приказом руководителя организации или распоряжением руководителя (ответственного, уполномоченного лица). При этом соблюдение сроков является важным моментом, требующим контроля, поскольку ФСТЭК России вправе выдать предписание об устранении выявленных недостатков с указанием сроков дли их устранения. Невыполнение в установленный срок законного предписания органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства является основанием для наложения мер административной ответственности в соответствии со статьей 19.5 Кодекса Российской Федерации об административных правонарушениях.

Издание планов об устранении недостатков (нарушений, несоответствий) подразумевается в рамках реализации мер по обеспечению безопасности значимых объектов КИИ в соответствии с Требованиями к СОИБ и Требованиями по обеспечению безопасности значимых объектов КИИ, утвержденными приказом ФСТЭК России от 25.12.2017 № 239. В рамках установленных требований необходимо планировать мероприятия по обеспечению безопасности значимых объектов КИИ. Устранение недостатков (несоответствий), выявленных в ходе государственного контроля или иного способа контроля (внутренний, внешний), тоже является мероприятием по обеспечению безопасности.

Ответ: с 27 сентября вступает в силу постановление Правительства Российской Федерации от 19.09.2024 № 1281, которое вносит изменения в Правила категорирования объектов критической информационной инфраструктуры (далее – КИИ), утвержденные постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Правила категорирования). В соответствии с внесенными изменениями теперь не установлен максимальный срок категорирования, ранее составлявший не более одного года со дня утверждения перечня объектов КИИ (внесения дополнений, изменений).

Однако сохранился срок категорирования вновь создаваемых объектов КИИ – в течение 10 рабочих дней после утверждения требований к создаваемому объекту КИИ оформляются и направляются частично заполненные сведения о результатах присвоения объекту одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (пункт 18 Правил категорирования).

С момента вступления в силу Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и установления обязанности по проведению процедуры категорирования объектов КИИ прошло более 6 лет. На момент вступления в силу изменений в Правила категорирования предполагается, что субъекты КИИ провели категорирование и утвердили категории значимости для своих объектов КИИ. На данный момент нет установленного срока, в рамках которого необходимо провести категорирование. Однако тем государственным органам, государственным учреждениям, юридическим лицам и индивидуальным предпринимателям, которые обладают признаками субъектов КИИ и ранее не провели категорирование объектов КИИ, рекомендуется в срочном порядке осуществить категорирование объектов КИИ и направить в ФСТЭК России сведения о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий. В случае непредоставления сведений, а ровно – не проведения категорирования, ФСТЭК России вправе привлечь орган, юридическое лицо или индивидуального предпринимателя, обладающих признаками субъекта КИИ, к административной ответственности в соответствии со статьей 19.7.15 Кодекса Российской Федерации об административных правонарушениях.

Ответ: согласно методике оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации, утвержденной ФСТЭК России от 02.05.2024 (далее – Методика), данный документ может применяться ФСТЭК России для мониторинга текущего состояния защиты информации и обеспечения безопасности объектов КИИ в организациях (субъекты КИИ, операторы персональных данных и пр.). По тексту Методики поясняется, что мониторинг проводится путем направления ФСТЭК России запросов в адрес организаций о предоставлении результатов оценки показателя защищенности. Предполагается, что организации будут самостоятельно проводить оценку показателя защищенности в соответствии с Методикой и направлять результаты в ФСТЭК России по запросу (пункт 15 Методики). Соответственно, мониторинг состояния обеспечения безопасности объектов КИИ и государственный контроль являются двумя разными мероприятиями.

Стоит отметить, что, согласно информационному сообщению ФСТЭК России, применение Методики осуществляется по решению организации до введения в действие нормативных правовых актов, устанавливающих требования по оценке показателя, характеризующего текущее состояние технической защиты информации и обеспечения безопасности объектов КИИ. То есть на данный момент Методика носит рекомендательно-подготовительный характер. Соответственно, ФСТЭК России не может проводить мониторинг и запрашивать результаты оценки показателя защищенности до утверждения требований об обязательном применении Методики для организаций.

Ответ: наличие аттестата на соответствие требований о защите информации объекта информатизации и его подсистемы обеспечения информационной безопасности (далее – ИБ) не может являться полноценным свидетельством о реализации требований и не может являться основанием для прекращения проведения государственного контроля в отношении проверяемой организации (субъекта критической информационной инфраструктуры (далее – КИИ).

Наличие аттестата соответствия может указывать на то, что подсистема обеспечения безопасности значимого объекта КИИ реализована в соответствии с требованиями приказа ФСТЭК России от 25.12.2017 № 239 и (или) иных нормативных правовых актов (аттестационных профилей). Однако для проведения полной оценки выполнения субъектами КИИ требований ФСТЭК России вправе провести все мероприятия, предусмотренные Правилами осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ, утвержденными Постановлением Правительства Российской Федерации от 17.02.2018 № 162, а именно ознакомиться с необходимой документацией в области обеспечения ИБ (политики, регламенты, инструкции и пр.) и провести оценку эффективности реализованных мер, в том числе с использованием сертифицированных средств защиты информации и иных инструментов и способов.

Ответ: в случае несогласия с результатами проведения государственного контроля (выявленными недостатками, несоответствиями) субъект критической информационной инфраструктуры (далее – КИИ) может оформить обращение с мотивированной позицией, подкрепленной свидетельствами, и направить соответствующие документы в территориальный орган ФСТЭК России, представители которого проводили проверку.

Правила осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ Российской Федерации утверждены постановлением Правительства Российской Федерации от 17.02.2018 № 162. Так, согласно пункту 50 соответствующих правил, в случае несогласия с фактами, изложенными в акте проверки и (или) предписании об устранении выявленного нарушения, руководитель субъекта КИИ (уполномоченное им должностное лицо) вправе представить возражения в письменной форме в отношении акта и (или) предписания в целом или их отдельных положений. Возражения необходимо направить в течение 15 дней с даты получения акта и (или) предписания в орган государственного контроля, проводивший проверку (территориальное управление ФСТЭК России). При этом субъект КИИ вправе приложить к возражениям документы, подтверждающие обоснованность таких возражений, или их заверенные копии либо в согласованный срок передать их в ФСТЭК России.

Ответ: в случае невозможности определения точных границ объекта критической информационной инфраструктуры (далее – КИИ) (например, при большом количестве постоянно меняющихся клиентских компонентов) допускается не указывать данные о клиентских компонентах программно-аппаратной части средств вычислительной техники и сведения об эксплуатирующих организациях, использующих соответствующую клиентскую часть, в сведениях о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее – Сведения о результатах категорирования). Однако необходимо добиться выполнения следующих условий в целях обеспечения безопасности объекта КИИ и корректного заполнения Сведений о результатах категорирования:

1. Должно осуществляться легальное использование ресурсов объекта КИИ на основе договорных отношений и в рамках внутреннего режима, утвержденного организационно-распорядительной документацией субъекта КИИ.
2. В разделе 4 Сведений о результатах категорирования необходимо указать субъекты доступа и (или) их обобщенные группы (например, клиенты субъекта КИИ).
3. Организационными, техническими и правовыми мерами обеспечить защиту подключения субъектов доступа к объекту КИИ на уровне используемых технологий и механизмов, а также путем предъявления требований к конечным устройствам подключения.

Ответ: Правилами осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), утвержденными постановлением Правительства Российской Федерации от 17.02.2018 № 162 (далее – Правила госконтроля), не установлен запрет на осуществление представителями ФСТЭК России фото- и видеосъемки при проведении государственного контроля. Однако пунктом 27 соответствующих правил установлено, что должностные лица ФСТЭК России допускаются на территорию субъекта КИИ с учетом требований пропускного режима, установленных организационно-распорядительной документацией субъекта КИИ. Соответственно, при наличии ограничения на использование фото- и видеокамер в пределах контролируемой зоны субъекта КИИ, руководитель субъекта КИИ вправе запретить представителям ФСТЭК России осуществлять фото- и видеосъемку. Однако рекомендуется заранее уведомить территориальный орган ФСТЭК России об установленных требованиях внутриобъектового режима субъекта КИИ.

Ответ: нет, отсутствие финансовой возможности не является основанием для неисполнения обязанностей субъекта критической информационной инфраструктуры (далее – КИИ) по обеспечению безопасности значимых объектов КИИ и основанием для невозможности создания системы (подсистемы) обеспечения информационной безопасности (далее – СОИБ) таких объектов.

При отсутствии финансовых возможностей субъект КИИ вправе разработать и внедрить компенсирующие меры, обеспечивающие безопасность объектов КИИ и нейтрализацию актуальных угроз безопасности информации. Соответствующее допущение установлено в пункте 26 Требований по обеспечению безопасности значимых объектов КИИ Российской Федерации, утвержденных приказом ФСТЭК России от 25.12.2017 № 239. При этом необходимо обосновать применение компенсирующих мер, а при приемочных испытаниях (аттестации) необходимо оценить достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.

Но, несмотря на финансовую составляющую в вопросах создания системы безопасности, субъект КИИ должен обеспечить реализацию основных требований для обеспечения безопасности значимых объектов: наличие специалистов (структурного подразделения) по безопасности, реализация организационных мер (регламентация правил и процедур), реализация технических мер с проведением оценки соответствия в отношении используемых средств защиты информации (в том числе встроенных в операционные системы и прикладное программное обеспечение).

Ответ: отсутствие специалиста, ответственного за обеспечение информационной безопасности (далее – ИБ) и (или) за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), не является основанием для переноса или отмены проведения государственного контроля.

В соответствии с подпунктом «а» пункта 29 Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ, утвержденных постановлением Правительства Российской Федерации от 17.02.2018 № 162, должностные лица ФСТЭК России не вправе проводить проверку в случае отсутствия при ее проведении руководителя субъекта КИИ или уполномоченного им должностного лица, за исключением случая проведения проверки по факту возникновения компьютерного инцидента. Соответственно, при осуществлении государственного контроля обязательно присутствие руководителя субъекта КИИ или присутствие лица, уполномоченного действовать от имени юридического лица по общим вопросам или по вопросам ИБ (например, заместитель руководителя по ИБ, уполномоченный в соответствии с требованиями Указа Президента Российской Федерации от 01.05.2022 № 250).

Ответ: субъект критической информационной инфраструктуры (далее – КИИ) обязан устранить выявленные ФСТЭК России недостатки в процедуре категорирования и направить исправленные документы в течение 10 дней с момента получения замечаний (часть 9 статьи 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»). Непредоставление скорректированных результатов категорирования влечет наложение мер административной ответственности на юридическое лицо (субъекта КИИ) в соответствии со статьей 19.7.15 Кодекса Российской Федерации об административных правонарушениях. Однако стоит отметить, что субъект КИИ может подготовить мотивированное обоснование корректности проведенной процедуры категорирования и отсутствие потребности устранения замечаний путем направления соответствующих обращений и свидетельств в адрес ФСТЭК России.

Ответ: на данный момент порядок осуществления мониторинга представления субъектами критической информационной инфраструктуры (далее – КИИ) актуальных и достоверных сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (так называемый отраслевой мониторинг) определен в пунктах 19.2 и 19.3 Правил категорирования объектов КИИ, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127.

Также Министерство промышленности и торговли Российской Федерации приказом от 31.05.2023 № 1981 утвердило порядок проведения оценки актуальности и достоверности сведений в отношении субъектов КИИ, осуществляющих деятельность в области оборонной, металлургической и химической промышленности.

Ответ: Прокуратура Российской Федерации (далее – Прокуратура) может инициировать проверку при наличии запросов, жалоб от государственных органов и иных заинтересованных лиц, а также в рамках проведения общего надзора за исполнением законов, в том числе за исполнением требований Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Зачастую Прокуратура проводит проверки путем направления запросов в адрес субъектов критической информационной инфраструктуры (далее – КИИ) о предоставлении документации, подтверждающей выполнение требований. Непредоставление сведений, запрашиваемых Прокуратурой, может являться основанием для проведения внеплановой проверки, осуществляемой ФСТЭК России на основании требования прокурора (подпункт «в» пункта 20 Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ, утвержденных Постановлением Правительства Российской Федерации от 17.02.2018 № 162). Список документов, которые необходимо подготовить для ответа на запросы Прокуратуры о соблюдении законодательства о безопасности КИИ, ранее рассматривался в нашей рубрике.

Также представители Прокуратуры могут осуществлять совместно с должностными лицами территориальных органов ФСТЭК России выездные обследования объектов КИИ.

Ответ: с 27 сентября вступает в силу постановление Правительства Российской Федерации от 19.09.2024 № 1281, которое вносит изменения в Правила категорирования объектов критической информационной инфраструктуры (далее – КИИ), утвержденные постановлением Правительства Российской Федерации от 08.02.2018 № 127. В соответствии с внесенными изменениями теперь нет требования о необходимости формирования перечня объектов КИИ, подлежащих категорированию, и о последующем направлении утвержденного перечня в ФСТЭК России.

Однако мы рекомендуем разрабатывать общий перечень объектов КИИ, функционирующих у субъекта КИИ, и актуализировать его при создании и внедрении новых объектов КИИ. Перечень объектов КИИ носит информативный характер и является документом оперативного уровня, содержащий сведения об активах субъекта КИИ, в отношении которых установлены отдельные требованию по информационной безопасности, а также является инструментом для инвентаризации объектов КИИ и их компонентов в рамках процессов ИТ-подразделений и (или) подразделений, ответственных за информационную безопасность.

Ответ: для того, чтобы ответить на данный вопрос, необходимо обратиться к определению программно-аппаратного комплекса (далее – ПАК):

·          ПАК – это комплекс технических и программных средств (программного обеспечения, далее – ПО), работающих совместно для выполнения одной или нескольких специальных задач, являющийся электронной вычислительной машиной или специализированным электронным устройством (устройствами), функционально-технические характеристики которого (которых) определяются исключительно совокупностью ПО и технических средств и не могут быть реализованы при их разделении. ПАК является самостоятельно используемым, законченным техническим изделием, имеющим серийный номер (пункт 2 Правил формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных…, утвержденных постановлением Правительства Российской Федерации (далее – РФ) от 16.11.2015 № 1236);

·          ПАК – это радиоэлектронная продукция, в том числе телекоммуникационное оборудование, ПО и технические средства, работающие совместно для выполнения одной или нескольких сходных задач (пункт 2 Правил перехода субъектов критической информационной инфраструктуры (далее – КИИ) РФ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ РФ, утвержденных постановлением Правительства РФ 14.11.2023 № 1912, далее – Правила перехода).

Соответственно, ПАК – это неразрывная совокупность ПО и аппаратной платформы, которые невозможно разъединить для реализации заложенного в ПАК функционала.

Согласно пункту 2 Правил перехода, доверенный ПАК должен одновременно соответствовать всем следующим критериями:

·          сведения о ПАК содержатся в реестре российской радиоэлектронной продукции;

·          ПО, используемое в составе ПАК, соответствует требованиям, установленным постановлением Правительства РФ от 22.08.2022 № 1478 (включено в единый реестр российских программ для электронных вычислительных машин и баз данных или в единый реестр Евразийских программ для электронных вычислительных машин и баз данных);

·          в случае реализации в ПАК функций защиты информации, ПАК имеет сертификат соответствия требованиям по защите информации ФСТЭК России и (или) ФСБ России.

Таким образом, исходя из определения ПАК, самостоятельно сформированный ПАК, ПО и аппаратная часть которого соответствуют выше представленным критериям, не будет являться ПАК, поскольку каждая составляющая может функционировать независимо друг от друга и может реализовывать любой функционал. Соответственно, формирование доверенного ПАК из компонентов разных производителей, соответствующих критериям доверенного ПАК, невозможно.

Ответ: да, допускается использовать оборудование, не включенное в Единый реестр российской радиоэлектронной продукции (далее – Реестр РЭП) или Реестр российской промышленной продукции.

Однако оборудование, не включенное в Реестр РЭП, запрещено использовать в составе программно-аппаратного комплекса (далее – ПАК), поскольку данный ПАК не соответствует критериям доверенного ПАК, установленным постановлением Правительства Российской Федерации
(далее – РФ) от 14.11.2023 № 1912. Субъектам критической информационной инфраструктуры (далее – КИИ) до 2030 года необходимо осуществить переход на преимущественное применение доверенных ПАК, то есть необходимо будет заменить ПАК, аппаратная платформа которых не включена в Реестр РЭП (с учетом требований к программной части доверенного ПАК).

При этом отдельно отметим, что согласно абзацу 2 пункта 29.2 Требований по обеспечению безопасности значимых объектов КИИ РФ, утвержденных приказом ФСТЭК России от 25.12.2017 № 239, установлена необходимость оценки соответствия требованиям к уровню доверия для средств защиты информации (далее – СрЗИ), не встроенных в общесистемное и прикладное программное обеспечение и не имеющих сертификата соответствия. Абзацами 7 и 5 пунктов 12.2 и 12.3 Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденных приказом ФСТЭК России от 02.06.2020 № 76, установлено:

·          для 5 уровня доверия (2 категория значимости объектов КИИ), сведения об аппаратной платформе СрЗИ должны быть включены в Реестр РЭП;

·          для 4 уровня доверия (1 категория значимости объектов КИИ), сведения о процессорах или микросхемах, выполняющих функции процессоров (микроконтроллеры), элементах памяти, сетевых картах, графических адаптерах аппаратной платформы СрЗИ должны быть включены в Реестр РЭП.

Таким образом, запрещено использовать наложенные СрЗИ, аппаратная часть (оборудование) которых не включена в Реестр РЭП, для обеспечения безопасности значимых объектов КИИ, в отношении которых присвоены 1 и 2 категории значимости.

Ответ: с 1 января 2025 года запрещено использовать иностранное программное обеспечение, включая операционные системы семейства Windows, субъектам критической информационной инфраструктуры (далее – КИИ), которые осуществляют закупочную деятельность в рамках Федерального закона от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц».

Иным субъектам КИИ разрешается использовать операционные системы семейства Windows при соблюдении условия о том, что запрещено использовать функции защиты, встроенные в операционную систему (необходимо применение наложенных средств защиты информации).

Ответ: да, сертификат соответствия требованиям ФСТЭК России требуется, в том числе, для программно-аппаратного комплекса (далее – ПАК), основным функциональным назначением которого не является обеспечение информационной безопасности (далее – ИБ).

ПАК могут быть представлены как в виде единичного программно-аппаратного оборудования (например, маршрутизатор), так и в виде совокупности такого оборудования (например, комплекс, состоящий из совокупности серверного и сетевого оборудования). При реализации функций защиты информации, которые встроены в компоненты ПАК и могут применяться для обеспечения ИБ, необходимо подтвердить соответствие требованиям по безопасности в форме обязательной сертификации. При этом сертифицировать можно двумя способами:

• сертификация отдельного изделия (компонента), которое реализует функции защиты в рамках ПАК. При этом изделие (компонент) должно обладать комплектом конструкторской и эксплуатационной документации. Например, сертификация маршрутизатора, который входит в состав ПАК и реализует функции сетевой безопасности;
• сертификация всего ПАК: в случае невозможности выделения отдельного изделия (компонента) из состава ПАК. Например, сертификация маршрутизатора, который является полноценным ПАК.

 

Ответ: да, рекомендуется формировать комиссию по категорированию объектов критической информационной инфраструктуры (далее – КИИ) для вновь созданного юридического лица, если на этапе создания лица было определенно, что он обладает признаками субъекта КИИ.

Однако стоит учитывать, что у нового юридического лица могут отсутствовать объекты информатизации, потенциально относимые к объектам КИИ, ввиду тех или иных причин. Соответственно, при отсутствии объектов информатизации, а также проектов (технических заданий) на их создание целесообразнее будет отложить формирование комиссии до момента, пока не начнутся работы по созданию и внедрению информационных систем, информационно-телекоммуникационных сетей или автоматизированных систем управления.

Если в новом юридическом лице планируются работы по созданию объектов информатизации, но при этом полный штат персонала не набран, то рекомендуется сформировать комиссию из числа тех сотрудников, которые трудоустроены на момент создания и наличие которых требуется в соответствии с пунктом 11 Правил категорирования объектов КИИ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127. Далее допускается внесение корректировок в состав комиссии по категорированию в связи с кадровыми изменениями у субъекта КИИ.

Ответ: 13 июня 2024 вступил в силу Указ Президента Российской Федерации № 500, вносящий изменения в Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Согласно новым изменениям, субъектам критической информационной инфраструктуры (далее – КИИ) запрещено пользоваться сервисами, работами и услугами по информационной безопасности, которые предоставляются иностранными лицами, находящимся под юрисдикцией недружественных иностранных государств.

Соответственно, субъектам КИИ запрещено привлекать иностранные подрядные организации из недружественных стран для проведения работ или оказания услуг по обеспечению безопасности информации – проектирование, внедрение и испытание систем обеспечение информационной безопасности, разработка организационно-распорядительной организации, проведение анализа защищенности (тестирование на проникновение, pentest), мониторинг событий и реагирование на инциденты безопасности и т.д.

При этом стоит отметить, что субъектам КИИ также запрещено пользоваться облачными сервисами и иными сервисами (услугами) по типу IaaS (инфраструктура как сервис), SaaS (программное обеспечение как услуга), PaaS (платформа как услуга), поскольку для обеспечения информационной безопасности используются встроенные функции защиты, предоставляемые провайдерами сервисов.

Ответ: нет, перечень объектов критической информационной инфраструктуры (далее – КИИ), подлежащих категорированию (далее – Перечень объектов), не требуется направлять в Минтранс России, если субъект КИИ не является подведомственной министерству организацией.

Согласно пункту 15 Правил категорирования объектов КИИ, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127, до утверждения Перечня объектов субъекты КИИ должны согласовать его с государственным органом (юридическим лицом), которому подведомственны субъекты КИИ в установленной сфере деятельности. Соответствующий порядок установлен в разделе 5 Методических рекомендаций по категорированию объектов КИИ, функционирующих в сфере транспорта (утверждены Минтрансом России 24.01.2024):

·          «Подведомственные Министерству транспорта Российский Федерации Организации, направляют на согласование Перечень объектов, подлежащих категорированию в Министерство транспорта Российской Федерации».

Соответственно, если субъект КИИ не является подведомственной организацией, то не требуется согласовывать Перечень объектов с Минтрансом России перед его отправкой в ФСТЭК России. Перечень предприятий и учреждений, подведомственных Минтрансу России, можно посмотреть на сайте министерства.

Ответ: согласно Правилам категорирования объектов критической информационной инфраструктуры (далее – КИИ), утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127, роль секретаря комиссии по категорированию объектов КИИ не определена. Соответственно, наличие секретаря в комиссии определяется решением руководителя субъекта КИИ.

При определении роли секретаря в составе комиссии, его функции и обязанности определяются в положении о комиссии по категорированию объектов КИИ. Например, на практике на секретаря комиссии возлагаются обязанности по подготовке повестки, которая будет обсуждаться членами комиссии на собрании, а также по подготовке протокола заседания комиссии и иных отчетных материалов.

Ответ: в нормативных правовых актах в области обеспечения безопасности объектов критической информационной инфраструктуры (далее – КИИ) отсутствуют требования о необходимости подключения к определенному классу центров Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА). Соответственно, субъект КИИ может выбрать любой класс центра ГосСОПКА, исходя из потребности в получении определенных услуг от центра.

Три класса центров ГосСОПКА определены в документе ограниченного доступа. Класс центра ГосСОПКА зависит от объема функций, выполняемых центром самостоятельно или с привлечением сторонней организации в области защиты информации. Соответственно, если субъект КИИ заинтересован в том, чтобы центр ГосСОПКА осуществлял полный функционал в области обнаружения инцидентов и реагирования на них, то субъект КИИ может выбрать центр ГосСОПКА класса А. При необходимости в реализации меньшего количества функций субъект КИИ может рассмотреть подключение своей ИТ-инфраструктуры к центрам ГосСОПКА класса Б и В.

Ответ: при выводе значимого объекта критической информационной инфраструктуры (далее – КИИ) из эксплуатации субъект КИИ может уведомить ФСТЭК России путем направления информационного письма в адрес службы. Рекомендуется в письме указывать наименование объекта КИИ и регистрационный номер, присвоенный ФСТЭК России значимому объекту КИИ при включении в реестр значимых объектов КИИ Российской Федерации.

Уведомлять ФСТЭК России о выводе объекта КИИ из эксплуатации необходимо не позднее 20 рабочих дней со дня окончания эксплуатации в соответствии с пунктом 19.1 Правил категорирования объектов КИИ, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127

Ответ: отдельной лицензии на осуществление деятельности в области безопасной разработки программного обеспечения (далее – ПО) не существует. Однако в отдельных случаях может потребоваться лицензия на осуществление определенных видов деятельности. Рассмотрим несколько вариантов, отталкиваясь от вида деятельности в области безопасной разработки ПО.

Под безопасной разработкой ПО может подразумеваться деятельность по разработке прикладного и общесистемного ПО, а также деятельность по разработке программной части средства защиты информации (далее – СрЗИ). В рамках разработки таких видов ПО разработчик может самостоятельно организовать процессы безопасной разработки ПО. В первом случае разрабатывается ПО, не отнесенное к классу СрЗИ (прикладное или общесистемное ПО), и, соответственно, не требуются лицензия на деятельность в области технической защиты конфиденциальной информации или на разработку СрЗИ. Однако если осуществляется разработка СрЗИ, являющегося ПО или программно-аппаратным комплексом, то для разработки программной части СрЗИ требуется лицензия на осуществление деятельности по разработке и производству СрЗИ (пункт 3 Положения о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации (далее – РФ) от 03.03.2012 № 171).

В случае, если предполагается разработка криптографических (шифровальных) СрЗИ, разработчику необходимо иметь лицензию ФСБ России на осуществление деятельности, связанной с шифровальными (криптографическими) средствами (пункт 1 Перечня выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств, утвержденного постановлением Правительства РФ от 16.04.2012 № 313).

В контексте Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), утвержденных приказом ФСТЭК России от 25.12.2017 № 239
(далее – Требования к СБ), оценка соответствия, проводимая в отношении работ по проектированию СОИБ (пункт 29.4 Требований к СБ), может быть отнесена к смежным видам деятельности безопасной разработки ПО. Так, в соответствии с пунктом 29.3 Требований к СБ, требования по безопасной разработке относятся ко всему прикладному ПО, обеспечивающему выполнение функций значимого объекта КИИ по его назначению. Согласно пункту 29.4 Требованиям к СБ, оценка выполнения требований по безопасной разработке ПО осуществляется лицом, выполняющим работы по созданию (модернизации, реконструкции или ремонту) значимого объекта КИИ и (или) обеспечению его безопасности (в том числе работы по проектированию и созданию подсистемы безопасности объекта КИИ). Таким образом, в рамках Требований к СБ под деятельностью по безопасной разработке ПО подразумевается оценка реализации процессов безопасной разработки для прикладного ПО, используемого в значимом объекте КИИ. Данную оценку могут проводить организации, имеющие в зависимости от информации, обрабатываемой значимым объектом, лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации (пункт 20 Требований к СБ).

Ответ: не относятся. Определение программно-аппаратного комплекса (далее – ПАК) приводится в нескольких нормативных правовых актах Российской Федерации (далее – РФ). Рассмотрим некоторые из них:
• ПАК – это комплекс технических и программных средств (программного обеспечения, далее – ПО), работающих совместно для выполнения одной или нескольких специальных задач, являющийся электронной вычислительной машиной или специализированным электронным устройством (устройствами), функционально-технические характеристики которого (которых) определяются исключительно совокупностью ПО и технических средств и не могут быть реализованы при их разделении. Программно-аппаратный комплекс является самостоятельно используемым, законченным техническим изделием, имеющим серийный номер (Правила формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных…, утвержденные постановлением Правительства РФ от 16.11.2015 № 1236);
• ПАК – это радиоэлектронная продукция, в том числе телекоммуникационное оборудование, ПО и технические средства, работающие совместно для выполнения одной или нескольких сходных задач (Правила перехода субъектов критической информационной инфраструктуры (далее – КИИ) РФ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ РФ, утвержденные постановлением Правительства РФ от 14.11.2023 № 1912).
Таким образом, анализируя представленные определения, можно сделать вывод, что ПАК – это совокупность программных и технических средств.
SAP представляет собой комплекс программных средств, который состоит из модулей, и подразумевает установку на любую аппаратную составляющую (в зависимости от аппаратных требований устанавливаемого ПО). Teamcenter аналогично является пакетом именно программных решений. Соответственно, SAP, Teamcenter и иные подобные программные решения не являются ПАК, поскольку представляют собой программные средства, устанавливаемые на любой набор технических средств, и не являются законченными техническими изделиями.

Ответ: прямые ограничения по допуску иностранных граждан к эксплуатации и обслуживанию значимого объекта критической информационной инфраструктуры (далее – КИИ) не установлены в действующем законодательстве Российской Федерации (далее – РФ). В рамках трудового договора допускается нанимать иностранных граждан для работы на значимых объектах КИИ.

Однако существуют исключения для объектов КИИ, функционирующих в сфере топливно-энергетического комплекса (далее – ТЭК). Согласно пункту 5 части 1 статьи 10 Федерального закона от 21.07.2011 № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса», работу, непосредственно связанную с обеспечением безопасности объектов ТЭК, не вправе выполнять:

·     лица, являющиеся иностранными гражданами;

·     гражданины РФ, имеющие гражданство иностранного государства либо вид на жительство или иной документ, подтверждающий право на постоянное проживание гражданина РФ на территории иностранного государства;

·     лица без гражданства.

Перечень работ, непосредственно связанных с обеспечением безопасности объектов ТЭК, утвержден приказом Министерства энергетики РФ от 13.12.2011 № 587. К таким видам работ, в том числе, относятся:

·     осуществление внутреннего контроля в области обеспечения безопасности объектов ТЭК;

·     разработка, монтаж и эксплуатация информационных систем, информационно-телекоммуникационных сетей и систем защиты информации объектов ТЭК.

Кроме того, стоит учитывать модели угроз и нарушителей безопасности информации, разработанные для значимых объектов КИИ. Если к актуальным нарушителям относятся специальные службы иностранных государств, то необходимо учитывать риски, которые могут возникнуть при найме иностранного гражданина для эксплуатации и обслуживания значимого объекта КИИ.

Также отметим, что иностранный агент не вправе осуществлять эксплуатацию значимых объектов КИИ и осуществлять деятельность по обеспечению их безопасности (пункт 17 статьи 11 Федерального закона от 14.07.2022 № 255-ФЗ «О контроле за деятельностью лиц, находящихся под иностранным влиянием»). Иностранным агентом может быть признано российское или иностранное юридическое лицо, а также физическое лицо независимо от его гражданства или при отсутствии такового.

Ответ: методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации (далее – РФ), утвержденная ФСТЭК России от 02.05.2024 (далее – Методика), применяется для оценки текущего состояния защиты информации и обеспечения безопасности значимых объектов КИИ. Соответственно, можно сделать вывод о том, что оценка состояния проводится в отношении именно значимых объектов КИИ.

Однако необходимо учесть, что оценка показателя защищенности проводится в отношении всех информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей и иных объектов информатизации, подлежащих защите в соответствии с нормативными правовыми актами РФ. В качестве минимально необходимого уровня защиты информации задан состав мер, реализация которых предусмотрена следующими нормативными правовыми актами РФ:

·     требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17;

·     требования к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28.02.2017 № 31;

·     требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25.12.2017 № 239;

·     требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14.03.2013 № 31;

·     состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18.02.2013 № 21.

Таким образом, оценка текущего состояния защиты информации может проводиться и в отношении объекта КИИ, которому не присвоена категория значимости (незначимый объект КИИ), если он в то же время является:

·     государственной информационной системой;

·     информационной системой персональных данных;

·     информационной системой управления предприятием (для организаций, относящихся к организациям оборонно-промышленного комплекса);

·     автоматизированной системой управления производственными процессами на потенциально опасных объектах.

Ответ: да, допустимо. Согласно пункт 31 Требований по обеспечению безопасности значимых объектов КИИ Российской Федерации, утвержденных приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ), программные, программно-аппаратные средства и средства защиты информации (далее – СрЗИ), применяемые в значимом объекте критической информационной инфраструктуры (далее – КИИ), должны быть обеспечены гарантийной и (или) технической поддержкой. Исходя из формулировки, представленной в пункте 31 Требований к СБ, можно сделать вывод, что для применяемых СрЗИ допустимо наличие хотя бы одного из видов поддержки: гарантийной или технической.

Также требование о наличии технической поддержки для СрЗИ установлено в пункте 21 Требований к созданию систем безопасности значимых объектов КИИ Российской Федерации и обеспечению их функционирования, утвержденных приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ): «Применяемые СрЗИ должны быть обеспечены, технической поддержкой со стороны разработчиков (производителей)».

Однако, при невозможности или прекращении обеспечения СрЗИ технической поддержки стороны разработчика (производителя), субъектами КИИ должны быть реализованы организационные и технические меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта КИИ в соответствии с Требованиями к СБ. Вопрос самостоятельного обеспечения технической поддержки ранее рассматривался в нашей рубрике.

Таким образом, допускается наличие только технической поддержки для СрЗИ, без обеспечения гарантийной поддержки.

Ответ: первичное моделирование угроз безопасности информации (далее – УБИ) осуществляется на этапе категорирования объектов критической информационной инфраструктуры (далее – КИИ) согласно Правилам категорирования объектов КИИ Российской Федерации (далее – РФ), а также перечня показателей критериев значимости объектов КИИ РФ, утвержденным постановлением Правительства от 08.02.2018 № 127 (далее – Правила категорирования). Согласно подпункту е пункта 10 Правил категорирования, исходными данными для категорирования являются УБИ в отношении рассматриваемого объекта КИИ. Комиссия по категорированию рассматривает возможные действия нарушителей в отношении объектов КИИ, а также иные источники УБИ и анализирует УБИ, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ (пункт 14 Правил категорирования).

Сведения об УБИ и о категориях нарушителей в отношении объектов КИИ также вносятся в пункт 6 формы, утвержденной приказом ФСТЭК России от 22.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

Таким образом, после проведения категорирования объектов КИИ у субъекта КИИ уже проведено частичное моделирование УБИ и есть понимание, какие УБИ являются актуальными.

Разработка Технического задания на создание системы обеспечения информационной безопасности (далее – СОИБ) значимых объектов КИИ производится в соответствии с присвоенной объекту КИИ категорией значимости. Состав мер по обеспечению безопасности значимых объектов КИИ определен в Требованиях по обеспечению безопасности значимых объектов КИИ РФ, утвержденных приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ). В зависимости от присвоенной категории значимости к объекту КИИ применим определенный базовый набор мер по обеспечению безопасности.

Полноценная модель угроз и нарушителей безопасности информации разрабатывается на этапе разработки организационных и технических мер по обеспечению безопасности значимого объекта КИИ (пункт 11.1 Требований к СБ). Базовый набор мер подлежит адаптации в соответствии с актуальными для значимого объекта КИИ УБИ. При адаптации базового набора мер для каждой УБИ, включенной в модель угроз, сопоставляется мера или группа мер, обеспечивающие блокирование одной или нескольких УБИ или снижающие возможность ее реализации, исходя из условий функционирования значимого объекта КИИ. В случае если базовый набор мер не позволяет обеспечить блокирование (нейтрализацию) всех УБИ, в него дополнительно включаются меры, приведенные в приложении к Требованиям к СБ.

Из вышесказанного следует, что первоначальное, но не полное моделирование угроз происходит на этапе категорирования объектов КИИ. Разработка полноценной модели угроз с учетом всех особенностей значимого объекта КИИ осуществляется при проектировании СОИБ для такого объекта. То есть разработка модели УБИ не требуется на момент формирования технического задания на проектирование СОИБ, а осуществляется уже в рамках выполнения технического задания (проектирование СОИБ в соответствии с требованиями технического задания).

Ответ: да, допускается, однако в отношении используемых функций защиты необходимо провести оценку на соответствие требованиям по безопасности в формах испытаний или приемки. Требования о применении средств защиты информации (встроенных функций защиты, далее – СрЗИ), прошедших оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки, установлены в Требованиях по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), утвержденных приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ).

Оценка соответствия в форме испытаний или приемки проводится субъектами КИИ самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.

При этом для функций безопасности, встроенных в прикладное или общесистемное программное обеспечение (далее – ПО), не требуется проводить дополнительную оценку соответствия по оценочному уровню доверия. Требования к соответствию 6 или более высокому уровню доверия предъявляются только к сертифицированным СрЗИ, а также не встроенным в общесистемное или прикладное ПО, так называемые наложенные (пункты 29 и 29.2 Требований к СБ).

Таким образом, в случае применения встроенных в общесистемное или прикладное ПО функций безопасности, необходимо провести в отношении них оценку на соответствие требованиям безопасности в форме испытаний или приемки, но не требуется проведение дополнительных мероприятий, подтверждающих соответствие такого СрЗИ по оценочному уровню доверия.

Ответ: использование программного обеспечения (далее – ПО) с открытым исходным кодом на значимом объекте критической информационной инфраструктуры (далее – КИИ) в качестве средства защиты информации (далее – СрЗИ) допускается при соблюдении Требований по обеспечению безопасности значимых объектов КИИ, утвержденных приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ).

Так, необходимо учитывать:

·     наличие оценки на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки для СрЗИ (пункт 28 Требований к СБ);

·     наличие оценки соответствия 6 или более высокому уровню доверия для сертифицированных СрЗИ или СрЗИ, не встроенных в общесистемное и прикладное программное обеспечение (пункты 29 и 29.2 Требований к СБ);

·     наличие гарантийной и (или) технической поддержки СрЗИ (пункт 31 Требований к СБ).

Также при выборе СрЗИ с открытым исходным кодом необходимо учитывать происхождение ПО. В соответствии с Указом Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», субъектам КИИ запрещено использовать СрЗИ:

·     происходящие из иностранных государств, совершающих в отношении РФ недружественные действия;

·     произведенные в организациях, находящиеся под юрисдикцией недружественных иностранных государств, прямо или косвенно подконтрольных им либо аффилированных с ними.

Ответ: в Методике оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации (далее – РФ), утвержденной ФСТЭК России 02.05.2024 (далее – Методика), оценивается минимально необходимый уровень защищенности от типовых актуальных угроз безопасности информации. Оценка показателя защищенности проводится в отношении всех информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей и иных объектов информатизации, подлежащих защите в соответствии с нормативными правовыми актами РФ.

Так как в Методике отсутствует уточнение об оценке показателя состояния технической защиты объектов КИИ с различными вариантами обеспечения безопасности (в том числе, с разными категориями значимости), рассмотрим два предполагаемых варианта оценки показателя состояния защиты:

·     проведение оценки для каждого объекта КИИ по отдельности, когда рассчитывается значение частных показателей защищенности для каждой системы индивидуально. Соответственно, в данном случае для каждого объекта КИИ определяется свое рассчитанное значение показателя защищенности. Например, для объекта КИИ № 1 показатель защищенности К_зи равняется 1, для объекта КИИ № 2 – 0,75;

·     оценка показателя защищенности в совокупности для всех систем. При таком варианте проведения оценки важно отметить, что если в одной из систем какая-либо мера не реализована или реализована не в полном объеме, то, согласно Методике, соответствующему частному показателю присваивается значение 0.

Результаты проведения оценки защищенности подлежат документированию в виде и по форме, определяемыми субъектом КИИ самостоятельно.

Ответ: согласно информационному сообщению ФСТЭК России, применение Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации, утвержденной ФСТЭК России 02.05.2024 (далее – Методика) осуществляется по решению органа (организации) до введения в действие нормативных правовых актов, устанавливающих требования по оценке показателя защищенности. Согласно пункту 3 Методики, к органам (организациям) относятся государственные органы, органы местного самоуправления, организации, в том числе субъекты КИИ. Иное уточнение организаций, для которых применение Методики будет являться обязательным, на данный момент не определено в нормативно-правовом поле Российской Федерации.

Несмотря на то, что в настоящий момент отсутствует правовой нормативный акт, устанавливающий обязательность применение данной Методики, ФСТЭК России может запросить результат оценки показателя защищенности, а также отдельные исходные данные, используемые для оценки данного показателя (подпункт а пункта 5, пункт 15 Методики).

В целях проведения качественной и точной оценки текущего состояния защиты информации или безопасности значимых объектов КИИ и предоставления результатов в ФСТЭК России по запросу рекомендуем проводить указанную оценку заблаговременно и в соответствии с Методикой. В случае непредоставления в течении 30 дней в ФСТЭК России по запросу результатов оценки показателя защищенности и (или) материалов, используемых для его оценки, соответствующим частным показателям безопасности будет присвоено значение 0, указывающее на несоблюдение соответствующих мер (пункт 16 Методики).

Ответ: меры по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) установлены в Требованиях по обеспечению безопасности значимых объектов КИИ, утвержденных, приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ). В соответствии с пунктом 23 Требований к СБ проводится определение базового набора мер по обеспечению безопасности значимого объекта КИИ и его адаптация с учетом угроз безопасности информации, применяемых информационных технологий и особенностей функционирования значимого объекта КИИ. При этом из базового набора исключаются меры, связанные с информационными технологиями, не используемыми в значимом объекте КИИ, или несвойственные его характеристикам. При адаптации базового набора мер для всех угроз, включенных в модель угроз, сопоставляются меры, обеспечивающие блокирование угроз безопасности или снижающие возможность их реализации, исходя из условий функционирования значимого объекта КИИ.

При этом, в случае невозможности реализации отдельных мер, должны быть разработаны и внедрены компенсирующие меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта КИИ.

В случае невозможности применения наложенных средств защиты информации, в качестве компенсирующих мер могут быть рассмотрены организационные и режимные меры по обеспечению промышленной, функциональной и физической безопасности значимого объекта КИИ, поддерживающие необходимый уровень его защищенности. Применение компенсирующих мер должно быть обосновано в ходе разработки мероприятий по обеспечению безопасности значимого объекта КИИ, а при проведении приемочных испытаниях (аттестации) должна быть оценена достаточность и адекватность компенсирующих мер для блокирования актуальных угроз безопасности информации.

Таким образом, для выполнения Требований к СБ в отношении автоматизированной системы управления котельной, состоящей из программируемых логических контроллеров и автоматизированных рабочих мест, необходимо:

1.                 Определить базовый набор мер по обеспечению значимого объекта КИИ на основе его категории значимости.

2.                 Исключить из базового набора меры, которые не могут быть применены к объекту КИИ в соответствии с его техническими характеристиками.

3.                 Провести моделирование угроз безопасности информации.

4.                 Провести сопоставление угроз безопасности информации и мер, обеспечивающих блокирование данных угроз безопасности.

5.                 Разработать компенсирующие меры, обеспечивающие блокирование угроз безопасности информации или снижающие возможность их реализации, исходя из условий функционирования значимого объекта КИИ.

6.                 Провести приемочные испытания (аттестацию) значимого объекта КИИ и его подсистемы безопасности.

Ответ: был дан на сайте.

Ответ: требования по фиксации сведений о событиях и инцидентах информационной безопасности (далее – ИБ) для значимых объектов критической информационной инфраструктуры (далее – КИИ) установлены в Требованиях по обеспечению безопасности значимых объектов КИИ, утвержденных, приказом ФСТЭК России от 25.12.2017 № 239 и Требованиях к созданию систем безопасности значимых объектов КИИ, утвержденных приказом ФСТЭК России от 21.12.2017 № 235.

В соответствии со статьей 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», субъекты КИИ обязаны незамедлительно информировать ФСБ России о компьютерных инцидентах.Перечень информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА) на информационные ресурсы Российской Федерации, установлен приказом ФСБ России от 24.07.2018 № 367 (далее – Перечень информации, представляемой в ГосСОПКА). Согласно пункту 5 Перечня информации, представляемой в ГосСОПКА, субъект КИИ обязан предоставить информацию о компьютерных инцидентах, связанных с функционированием объектов КИИ, в том числе о составе технических параметров компьютерного инцидента. Данная информация может быть получена из сведений о событиях ИБ. Процесс выявления и анализа компьютерных инцидентов может занимать довольно значительный период времени. Необходимо обеспечить хранение зарегистрированных событий ИБ за данный период.

В случае, если субъект КИИ в рамках установленного ФСБ России порядка осуществляет эксплуатацию средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее – средства ГосСОПКА), в соответствии с Требованиями к средствам ГосСОПКА, утвержденными приказом ФСБ России от 06.05.2019 № 196, для таких средств установлен срок хранения агрегированных событий ИБ не менее шести месяцев для анализа ранее зарегистрированных событий ИБ.

Таким образом, исходя из необходимости анализа ранее зарегистрированных событий ИБ, рекомендуемый срок хранения информации о зарегистрированных событиях ИБ составляет не менее шести месяцев.

Для организаций банковской сферы рекомендуемые сроки хранения информации о событиях ИБ, обнаруженных в рамках банковских платежных технологических процессов, составляют не менее пяти лет, а об иных событиях ИБ – не менее трех лет, в соответствии с пунктом 6.4.8 Рекомендаций в области стандартизации Банка России РС БР ИББС-2.5-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» (приняты и введены в действие распоряжением Банка России от 17 мая 2014 г. № Р-400).

Ответ: да, следует оценивать потенциальный ущерб от компьютерного инцидента с момента его возникновения до закрытия.
Оценка экономических последствий в результате возникновения компьютерного инцидента проводится в рамках оценки показателей критериев экономической значимости объектов критической информационной инфраструктуры (далее – КИИ). Критерии значимости объектов КИИ определены в Перечне показателей критериев значимости объектов КИИ и их значений, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127.
На сайте ФСТЭК России опубликован проект методического документа «Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры Российской Федерации». В соответствии с данным проектом, оценка показателей экономической значимости осуществляется по результатам оценки масштабов возможных экономических последствий в случае возникновения компьютерных инцидентов, при этом должны быть рассмотрены наихудшие сценарии компьютерных атак на объекты КИИ и нанесение максимально возможного экономического ущерба.
Для расчета оценки потенциального ущерба вследствие возникновения компьютерного инцидента необходимо учитывать затраты, которые могут возникнуть у субъекта КИИ при ликвидации последствий инцидента, например:
1. Затраты на оплату сверхурочной работы персонала, которая потребовалась при локализации аварии и компьютерного инцидента и устранения последствий.
2. Затраты на замену и установку технических средств для восстановления функционирования объекта КИИ до штатного режима.
Также необходимо учитывать упущенную выгоду, то есть неполученные доходы, которые были бы получены в обычных условиях за время простоя, вызванного компьютерным инцидентом. Например, в результате простоя систем, участвующих в производстве товаров, произойдет снижение количества производимых товаров, что приведет к снижению объемов продаж и уменьшению выручки организации. А также следует учитывать возможные штрафные санкции, например, невыполнение в срок обязательств перед заказчиками вследствие компьютерного инцидента, что приведет к финансовым потерям организации.

Ответ: требования к сотрудникам, ответственным за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), установлены в Требованиях к созданию систем безопасности значимых объектов КИИ, утвержденных приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ).

Согласно пункту 12 Требований к СОИБ, руководитель структурного подразделения по безопасности значимых объектов КИИ должен иметь высшее профессиональное образование в области информационной безопасности (далее –  ИБ) либо иное высшее образование и прохождение профессиональной переподготовки по направлению «Информационная безопасность», а также иметь опыт работы в сфере ИБ не менее 3 лет.

Сотрудники структурного подразделения по безопасности значимых объектов КИИ должны иметь высшее или среднее профессиональное образование по направлению «Информационная безопасность», либо высшее образование и повышение квалификации по аналогичному направлению. Требования к стажу данных сотрудников не предъявляются.

И руководитель и сотрудники структурного подразделения по безопасности должны проходить повышение квалификации по профильному направлению не реже 1 раза в 3 года.

Выполняемые данными сотрудниками обязанности по обеспечению безопасности значимых объектов КИИ должны быть определены в их должностных регламентах (инструкциях). Также Требования к СОИБ запрещают возложение на данных специалистов функций, не связанных с обеспечением безопасности значимых объектов КИИ или обеспечением ИБ субъекта КИИ в целом. Соответственно, такой специалист может выполнять только трудовые функции, направленные на обеспечение ИБ.

Требования, предъявляемые к образованию специалистов, более подробно описаны в нашем FAQ в вопросе «Персонал: какое образование в области «Информационная безопасность» должны иметь специалисты по безопасности, ответственные за обеспечение безопасности ЗОКИИ?».

Требования к образованию, стажу и должности сотрудников, ответственных за обеспечение безопасности объектов без категории значимости, законодательно не установлены.

Ответ: да, следует.

В соответствии со статьей 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», категорирование осуществляется субъектом критической информационной инфраструктуры (далее – КИИ) – лицом, которому на законных основаниях принадлежит, объект КИИ. Сведения о результатах категорирования объектов КИИ направляются в ФСТЭК России по форме, утвержденной приказом ФСТЭК России от 22.12.2017 № 236 (далее – Сведения). В соответствии с разделом 4 Сведений предусмотрено указание сведений о лице, эксплуатирующем объект КИИ. Таким образом, субъект КИИ включает в перечень объектов КИИ все системы, владельцем которых он является в независимости от того, кто осуществляет эксплуатацию системы. В рамках предоставления в ФСТЭК России Сведений субъект КИИ указывает сведения обо всех организациях, эксплуатирующих системы, которые на законных основаниях принадлежит субъекту КИИ.

Стоит отметить, что ответственность за соблюдение требований по обеспечению безопасности объекта КИИ возложена на субъекта КИИ – то есть на владельца объектов КИИ. В случае эксплуатации объекта КИИ сторонней организацией, в ходе построения подсистемы безопасности объекта КИИ разрабатываются правовые меры обеспечения информационной безопасности в рамках договорных отношений между субъектом КИИ и эксплуатирующей организацией.

Ответ: для выполнения мероприятий по обеспечению информационной безопасности (далее – ИБ) субъектов критической информационной инфраструктуры (далее – КИИ) по решению субъекта КИИ допустимо привлекать только организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации. Требования Указа Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» распространяются на всех субъектов КИИ.

Для значимых объектов КИИ требования по привлечению организаций, имеющих лицензии на осуществление деятельности по технической защите конфиденциальной информации дополнительно установлены в Требованиях к созданию систем безопасности значимых объектов КИИ, утвержденных приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ) и Требованиях по обеспечению безопасности значимых объектов КИИ, утвержденных, приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ). В соответствии с пунктом 11 Требований к СОИБ и пунктами 20 и 28 Требований к СБ, по решению субъекта КИИ привлекаются организации, имеющие лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации, в зависимости от того, обрабатывается ли субъектом КИИ информация, составляющая государственную тайну.

Ответ на вопрос: «Какие лицензии должны быть у юридического лица, привлекаемого к работам по обеспечению безопасности КИИ?» был дан ранее.

Ответ: да, такие ситуации возможны, в зависимости от того, какие процессы автоматизирует объект критической информационной инфраструктуры (далее – КИИ).

В соответствии с пунктом 5 Правил категорирования объектов КИИ, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Правила категорирования), необходимо определить управленческие, технологические, производственные, финансово-экономические и иные процессы в рамках осуществления видов деятельности субъекта КИИ. Из данных процессов требуется выявить критические процессы, нарушение или прекращение которых может привести к негативным последствиям. Включению в Перечень объектов КИИ подлежат те объекты, которые обрабатывают информацию, необходимую для обеспечения критических процессов или осуществляют управление, контроль или мониторинг критических процессов.

Также при разработке перечня объектов КИИ следует учитывать отраслевые перечни типовых объектов КИИ, в которые включены практически все системы, имеющиеся у субъекта КИИ. Согласно пункту 10 Правил категорирования, отраслевые перечни типовых объектов КИИ необходимо рассматривать как исходные данные в рамках общей процедуры категорирования. Рекомендуется провести анализ перечня типовых объектов КИИ с целью выявления объектов КИИ, в отношении которых процедура категорирования не проводилась. Необходимо рассмотреть возможные негативные последствия в отношении данных систем, в том числе их влияние на другие системы, и при необходимости провести их категорирование.

Ответ: в соответствии с пунктом 14 Правил категорирования объектов критической информационной инфраструктуры (далее – КИИ), утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127, комиссия по категорированию в ходе своей работы оценивает необходимость категорирования вновь создаваемых объектов КИИ.

В отношении таких объектов КИИ категория значимости определяется заказчиком или застройщиком (в случае, если создаваемый объект КИИ является компонентом объекта капитального строительства) при формировании требований к объекту КИИ с учетом имеющихся исходных данных о критических процессах субъекта КИИ. Установленная категория значимости может быть уточнена в ходе проектирования создаваемого объекта.

В случае принятия решения о категорировании объекта КИИ, формируется техническое задание на создание объекта КИИ с учетом требований к безопасности объекта КИИ. В течение 10 рабочих дней после утверждения требований к создаваемому объекту КИИ, в ФСТЭК России направляются:

·     сведения об объекте КИИ;

·     сведения о субъекте КИИ;

·     сведения о взаимодействии объекта КИИ и сетей электросвязи;

·     категория значимости, которая присвоена объекту КИИ, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости, содержащие полученные значения по каждому из рассчитываемых показателей критериев значимости с обоснованием этих значений или информация о неприменимости показателей к объекту с соответствующим обоснованием.

В течение 10 рабочих дней после ввода объекта КИИ в эксплуатацию, направленные сведения дополняются:

• сведениями о лице, эксплуатирующем объект КИИ;

• сведениями о программных и программно-аппаратных средствах, используемых на объекте КИИ, в том числе средствах, используемых для обеспечения безопасности объекта КИИ и их сертификатах соответствия требованиям по безопасности информации (при наличии);

• сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта КИИ либо об отсутствии таких угроз;

• возможные последствия в случае возникновения компьютерных инцидентов на объекте КИИ либо сведения об отсутствии таких последствий;

• организационные и технические меры, применяемые для обеспечения безопасности объекта КИИ, либо сведения об отсутствии необходимости применения указанных мер.

К вновь создаваемым объектам КИИ предъявляются требования в зависимости от установленной категории значимости.

Вновь создаваемые объекты КИИ подлежат включению в перечень объектов КИИ, подлежащих категорированию, как в рамках первичного категорирования объектов КИИ, так и в рамках актуализации перечня. При актуализации перечня объектов КИИ рекомендуется включать данные о таком объекте до или в процессе направления итоговых Сведений о результатах категорирования, то есть после ввода объекта КИИ в эксплуатацию для минимизации процедур исправлений и дополнений.

Ответ: сроки проведения работ по категорированию объектов критической информационной инфраструктуры (далее – КИИ) установлены в статье 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ) и Правилах категорирования объектов КИИ, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Правила категорирования).

При этом в рамках 187-ФЗ отсутствует пояснение, какие дни следует рассматривать при предоставлении информации: календарные или рабочие. В соответствии с Правилами категорирования сроки приведены в рабочих днях. Таким образом, при проведении работ по категорированию объектов КИИ следует рассматривать рабочие дни.

Ответ: был дан на сайте.

Ответ: в случае выявления нарушений порядка категорирования объектов критической информационной инфраструктуры (далее – КИИ), неправильного присвоения категорий значимости объектам КИИ или предоставления субъектом КИИ неполных или недостоверных сведений, ФСТЭК России направляет в адрес субъекта КИИ письмо с замечаниями к предоставленным сведениям о результатах категорирования объектов КИИ. В соответствии с частью 9 статьи 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» субъект КИИ в десятидневный срок с момента получения письма направляет скорректированные сведения о результатах категорирования в адрес ФСТЭК России. Рекомендуется также направить ответное письмо с описанием, какие замечания устранены и каким образом. В случае несогласия с замечаниями необходимо направить в адрес ФСТЭК России аргументированный ответ, в котором обосновать свою позицию.

Также возможно получение от ФСТЭК России писем уведомительного характера об отсутствии в предоставленных сведениях типовых информационных систем (далее – ИС), информационно-телекоммуникационных сетей (далее – ИТКС) и автоматизированных систем управления (далее – АСУ), используемых в деятельности отраслевых организаций. В данном случае отправлять ответное письмо в ФСТЭК России не требуется. Комиссии по категорированию объектов КИИ необходимо провести анализ указанных в письме ФСТЭК России ИС, ИТКС и АСУ и при их наличии рассмотреть возможные негативные последствия, в том числе влияние рассматриваемых систем на функционирование категорированных объекты КИИ, а также, при необходимости, провести их категорирование. Сведения о результатах категорирования данных объектов КИИ необходимо направить в ФСТЭК России.

Ответ: в зависимости от того, какие процессы автоматизируют объекты критической информационной инфраструктуры (далее – КИИ).

Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и иные процессы в рамках осуществления деятельности субъектов КИИ. Данные процессы могут быть напрямую не связаны с производственным процессом, но при их нарушении, например, возможен риск возникновения экономического ущерба субъекту КИИ или бюджету Российской Федерации. К таким объектам могут быть отнесены системы, которые обеспечивают финансово-экономические процессы, например, бухгалтерские учетные системы. Необходимо рассмотреть возможные негативные последствия, связанные с данными системами, и при необходимости провести их категорирование.

Также следует провести анализ типового перечня объектов КИИ с целью выявления типов объектов КИИ, в отношении которых ранее не проводилась процедура категорирования. Для таких объектов КИИ также необходимо рассмотреть возможные негативные последствия, в том числе влияние рассматриваемых систем на функционирование категорированных объектов КИИ, и при необходимости провести их категорирование.

Ответ: да, допускается возложение функций по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) на отдельных сотрудников подразделения по информационной безопасности:

·     согласно пункту 10 Требований к созданию систем безопасности значимых объектов КИИ, утвержденных приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ), допускается назначение отдельных работников, ответственных за обеспечение безопасности значимых объектов КИИ;

·     согласно пункту 13 Требований к СОИБ, сотрудники, ответственные за обеспечение безопасности значимых объектов КИИ, могут выполнять функции, связанные с обеспечением информационной безопасности субъекта КИИ в целом.

Ответ: да, необходимо.

В соответствии с положениями методического документа ФСТЭК России от 05.02.2021 «Методика оценки угроз безопасности информации» (далее – Методика), в ходе оценки угроз безопасности информации определяются виды актуальных нарушителей. В пункте 5.1.3 Методики приведен перечень основных видов нарушителей, подлежащих оценке, к которым в том числе относятся специальные службы иностранных государств.

Ответ: нет, шаблон плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (далее – План) законодательно не установлен.

В Порядке информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации, утвержденном приказом ФСБ России от 19.06.2019 № 282, определено содержание Плана. Так, План должен включать в себя:

·     технические характеристики и состав значимых объектов КИИ;

·     события (условия), при наступлении которых начинается реализация предусмотренных Планом мероприятий;

·     мероприятия, проводимые в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;

·     описание состава подразделений и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.

Также в План могут быть включены условия привлечения подразделений и должностных лиц ФСБ России к проведению мероприятий по реагированию на компьютерные инциденты и порядок проведения субъектом КИИ совместно с ФСБ России данных мероприятий.

План разрабатывается индивидуально в зависимости от специфики объекта КИИ. Разработанный План утверждается руководителем субъекта КИИ. Копия утвержденного Плана в срок до 7 календарных дней со дня утверждения направляется в Национальный координационный центр по компьютерным инцидентам.

Ответ: требования по безопасной разработке программного обеспечения (далее – ПО) установлены в Требованиях по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), утвержденных приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ). В соответствии с пунктом 29.3 Требований к СБ данные требования относятся ко всему прикладному ПО, которое обеспечивает выполнение функций значимого объекта КИИ в соответствии с его назначением. В том числе таким ПО являются SCADA-системы.

Ответ: нет.

ООО «УЦСБ» оказывает услуги в сфере защиты информации, в том числе услуги по обеспечению безопасности критической информационной инфраструктуры, а также консалтинговые услуги по вопросам информационной безопасности. Компания имеет лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Ответ: требования по безопасной разработке программного обеспечения (далее – ПО) установлены в Требованиях по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), утвержденных, приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ).

Обязанность по выполнению Требований к СБ, в том числе требований по безопасной разработке (пункты 29.3 и 29.4 Требований к СБ), возлагается на субъекта КИИ. Для проектирования и внедрения системы обеспечения безопасности значимых объектов КИИ субъект КИИ может привлекать стороннее юридическое лицо, имеющее лицензию на деятельность по защите конфиденциальной информации. В таком случае в рамках проектирования системы безопасности проектировщик (лицензиат) должен осуществить оценку выполнения требований к безопасной разработке ПО как квалифицированная сторона. Соответствующие услуги могут предоставляться в рамках создания системы безопасности значимых объектов КИИ, а также могут предоставляться как отдельные услуги с заключением договорных отношений на проведение оценки соответствия по выполнению мероприятий по безопасной разработке ПО.

Также стоит отметить, что разработчик ПО может принять решение о продаже отдельного дистрибутива ПО, соответствующего требованиям к безопасной разработке. Соответственно, субъект КИИ может первоначально приобрести ПО, удовлетворяющее Требованиям к СБ.

Субъект КИИ, проектировщик системы безопасности и разработчик ПО в рамках договорных отношений могут создавать условия для выполнения тех или иных Требований к СБ (пункт 29.3 Требований к СБ) либо брать на себя обязательства по их выполнению, в том числе субъект КИИ может организовать процесс безопасной разработки приобретаемого (приобретенного) ПО и последующей оценки для разработчика ПО.

Ответ: в соответствии со статьей 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» под объектами критической информационной инфраструктуры (далее – КИИ) понимаются информационные системы (далее – ИС), информационно-телекоммуникационные сети, автоматизированные системы управления (далее – АСУ) субъектов КИИ.

Также следует руководствоваться Перечнем типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере транспорта, утвержденным Минтрансом России 24.01.2024. В данный перечень включены только АСУ и ИС, которые в том числе могут быть отдельными компонентами транспортных средств.

Таким образом, сами транспортные средства не являются объектами КИИ, а их отдельные компоненты могут быть отнесены к объектам КИИ, в случае если данные компоненты являются составной частью АСУ и ИС.

При этом, учитывая возможную тесную техническую связь между объектами КИИ данных средств, в целях реализации комплексного подхода к обеспечению информационной безопасности, обоснованно рассматривать совокупность средств и систем автоматизации такого транспортного средства как единый объект КИИ.

Ответ: был дан на сайте.

Ответ: оценка показателей критериев экономической значимости объектов критической информационной инфраструктуры (далее – КИИ) осуществляется в соответствии с Перечнем показателей критериев значимости объектов КИИ и их значений, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Перечень). При этом отнесение бизнес- или технологического процесса к критическому осуществляется экспертным путем, в зависимости от оценки возможности тех или иных экономических последствий. Например, критерием критичности процесса по показателю «Возникновение ущерба бюджетам Российской Федерации» будет возможность снижения налоговой базы (формируемой из выручки, операционной прибыли и прочих денежных потоков) субъекта КИИ и (или) смежных субъектов (налоговых агентов) при нарушении и (или) прекращении такого процесса.

Ответ: в соответствии со статьей 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» под компьютерным инцидентом понимается факт нарушения или прекращения функционирования объекта критической информационной инфраструктуры (далее – КИИ) или нарушения безопасности обрабатываемой таким объектом информации.

Таким образом, если нарушение правил эксплуатации объекта КИИ привело к нарушению функционирования или безопасности объекта КИИ, то такое действие следует рассматривать как компьютерный инцидент. За нарушение правил эксплуатации объекта КИИ, если оно повлекло причинение вреда КИИ Российской Федерации, предусматривается уголовная ответственность в соответствии с частью 3 статьи 274.1 Уголовного Кодекса Российской Федерации.

Ответ: да, отдельные субъекты критической информационной инфраструктуры (далее – КИИ) могут подпадать под действие обоих нормативных правовых актов:

·     постановление Правительства Российской Федерации от 22.08.2022 № 1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации,…»
(далее – ПП-1478);

·     постановление Правительства Российской Федерации от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации» (далее – ПП-1912).

Требования ПП-1912 распространяются на всех субъектов КИИ, которым на законном основании принадлежат значимые объекты КИИ. Выполнять требования ПП-1478 обязаны только те субъекты КИИ, которые осуществляют свою закупочную деятельность в соответствии с Федеральным законом от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее – 223-ФЗ). Соответственно, если субъект КИИ является заказчиком по требованиям 223-ФЗ (далее – Заказчик), то ему необходимо планировать деятельность по импортозамещению средств и систем в соответствии с требованиями и ПП-1478, и ПП-1912. Чаще всего к таким субъектам КИИ относятся организации электроснабжения, газоснабжения, теплоснабжения, жилищно-коммунальные хозяйства и любые иные организации с высокой долей государственного участия.

ПП-1478 определил для Заказчиков правила перехода на преимущественное использование российского программного обеспечения (далее – ПО), в том числе в составе программно-аппаратных комплексов (далее – ПАК), на принадлежащих им значимых объектах КИИ (далее – Правила перехода на российское ПО), а также требования к такому ПО. Согласно Правилам перехода на российское ПО, Заказчикам (субъектам КИИ) необходимо выполнить следующие работы:

·     провести анализ ПО, используемого в составе своих значимых объектов КИИ, на соответствие установленным требованиям к такому ПО;

·     разработать и утвердить план перехода на преимущественное использование на значимых объектах КИИ российского ПО, в том числе в составе ПАК (далее – План перехода на российское ПО), составленный на период до 1 января 2025 г. (с разбивкой по годам);

·     направить копию утвержденного Плана перехода на российское ПО в Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации, а также в уполномоченный орган в своей сфере деятельности, определенный подпунктом «а» части 2 статьи 1 ПП-1478.

Таким образом, субъектам КИИ, являющимся Заказчиками, необходимо до 2025 года перейти на российское ПО в рамках значимых объектов КИИ.

ПП-1912 определил правила перехода всех субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектов КИИ (далее – Правила перехода на доверенные ПАК). Согласно Правилам перехода на доверенные ПАК, уполномоченные органы, определенные в пункте 3 ПП-1912, разрабатывают отраслевые планы перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ (далее – План перехода на доверенные ПАК). Затем уполномоченные органы должны направить отраслевой План перехода на доверенные ПАК в адрес субъектов КИИ, а также уведомить субъектов КИИ о необходимости разработки локальных планов перехода. Субъекты КИИ разрабатывают Планы перехода на доверенные ПАК по форме согласно приложению № 3 к Правилам перехода на доверенные ПАК и направляют копию утвержденного плана в уполномоченный орган, который определяется в соответствии со сферой (областью) деятельности субъекта КИИ (пункт 3 ПП-1912).

Отдельно отметим, что преимущественное применение доверенных ПАК означает применение доверенных ПАК в доле, составляющей 100 % в общем количестве ПАК в составе значимых объектах КИИ (по состоянию на 31.12.2029).

Согласно пункту 2 Правил перехода на доверенные ПАК, ПАК – это радиоэлектронное оборудование, в том числе телекоммуникационное оборудование, ПО и технические средства, работающие совместно для выполнения одной или нескольких сходных задач. Стоит отметить, что согласно утвержденным критериям доверенных ПАК, ПО в составе ПАК должно соответствовать требованиям к ПО, установленным ПП-1478.

Таким образом, субъекты КИИ, осуществляющим закупки по 223-ФЗ, должны:

·     разработать План перехода на российское ПО;

·     осуществить переход на преимущественное использование российского ПО на своих значимых объектах КИИ до 2025 года;

·     разработать План перехода на доверенные ПАК (после получения отраслевого плана от уполномоченного органа);

·     осуществить переход на использование доверенных ПАК в составе значимых объектов КИИ до 2030 года.

Также отдельно отметим, что таким субъектам КИИ с 1 сентября 2024 г. запрещается использовать не доверенные ПАК, приобретенные (закупленные) после 1 сентября 2024 г., за исключением тех случаев, когда отсутствуют доверенные ПАК, являющиеся аналогами приобретаемых (закупаемых) ПАК.

Ответ: нет, постановления Правительства Российской Федерации являются документами, нижестоящими по юридической силе в соответствии с принятой в стране иерархией нормативных правовых актов (часть 3 статьи 115 Конституции Российской Федерации), и не может отменить действие положений указов Президента Российской Федерации в этой связи.

Пункт 1 Указа Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – УП-166) распространяется на субъектов критической информационной инфраструктуры (далее – КИИ), осуществляющих закупочную деятельность в соответствии с Федеральным законом от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее – 223-ФЗ).

Постановление Правительства Российской Федерации от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации» (далее – ПП-1912) утверждено в рамках исполнения подпункта «б» пункта 2 УП-166 и направлено на применение всеми субъектами КИИ. Соответственно, к субъектам КИИ, осуществляющим закупки по 223-ФЗ, предъявляются требования как пункта 1, так и пункта 2 УП-166 (требования ПП-1912).

Таким образом, субъекты КИИ, являющиеся заказчиками в системе 223‑ФЗ, должны выполнять требования по ограничению использования иностранного программного обеспечения в рамках значимых объектов КИИ, а также выполнять требования по переходу на доверенные программно-аппаратные комплексы в составе значимых объектов КИИ в рамках установленных ПП‑1912 сроков.

Ответ: при несоблюдении требований законодательства, направленных на обеспечение технологической независимости критической информационной инфраструктуры (далее – КИИ) Российской Федерации (далее – РФ) и импортозамещение, возможно наложение административной ответственности на субъектов КИИ.

Весной 2022 года вступили в силу два указа Президента РФ, направленные на обеспечение технологической независимости от иностранных производителей (разработчиков) и безопасности КИИ РФ:

·     Указ Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – УП-166);

·     Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – УП-250).

Невыполнение требований, установленных УП-166 и УП-250, потенциально влечет к наложению административной ответственности на юридическое лицо, являющееся субъектом КИИ. Описание видов административной ответственности в соответствии с Кодексом РФ об административных правонарушениях (далее – КоАП РФ) представлено в таблице.

№ статьи	Наименование статьи КоАП РФ	Содержание статьи КоАП РФ	Размер административного штрафа для юридического лица
13.12 (ч. 6)	Нарушение правил защиты информации	Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ	До 15 тыс.руб.
13.12.1 (ч. 1)	Нарушение требований в области обеспечения безопасности КИИ РФ	Нарушение требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ РФ, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ	До 100 тыс.руб.

Юридические лица, являющиеся субъектами КИИ, должны оценивать и учитывать риски, связанные с использованием иностранных технических средств и систем (в том числе средств защиты информации) в условиях ограниченной поддержки производителями и государственной политики импортозамещения. К таким рискам можно отнести следующее:

·     административная ответственность (см. таблицу);

·     проблемы при прохождении государственного контроля и ведомственного мониторинга в области обеспечения безопасности КИИ РФ;

·     общий вектор развития направлений импортозамещения и технологической независимости и связанное с этим усиление регуляторной нагрузки и комплаенс-контроля;

·     трудности в проведении оценки соответствия и организации сопровождения иностранных средств защиты информации в рамках их эксплуатации (оказание самостоятельной технической поддержки, применение дополнительных мер обеспечения информационной безопасности).

Ответ: да, субъект критической информационной инфраструктуры (далее – КИИ) может осуществлять техническую поддержку средств (систем) защиты информации (далее – СрЗИ), эксплуатируемых на объектах КИИ, собственными силами.

СрЗИ должны быть обеспечены технической поддержкой со стороны разработчиков (производителей) согласно Требованиям к созданию систем безопасности значимых объектов КИИ, утвержденным приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ). Однако в соответствии с пунктом 21 Требований к СОИБ, при отсутствии технической поддержки СрЗИ со стороны разработчиков (производителей), субъектом КИИ должны быть реализованы организационные и технические меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта в соответствии с Требованиями по обеспечению безопасности значимых объектов КИИ, утвержденными приказом ФСТЭК России от 25.12.2017 № 239. То есть субъекту КИИ необходимо самостоятельно доказать, что данное СрЗИ обеспечивает блокирование актуальных угроз значимого объекта КИИ и угроз, возникающих в условиях эксплуатации данного СрЗИ, без осуществления технической поддержки со стороны производителя. Для выполнения требований законодательства в области безопасности КИИ Российской Федерации субъекту КИИ необходимо будет разработать модели угроз безопасности информации, провести оценку рисков (включая риски информационной безопасности), провести самостоятельную оценку СрЗИ на соответствие требованиям безопасности в форме испытаний, а также принимать дополнительные меры информационной безопасности и оказывать техническую поддержку своими силами. Однако необходимо учитывать, что оказание технической поддержки является совокупностью действий, направленных на устранение недостатков и дефектов СрЗИ, в том числе устранение уязвимостей и недекларированных возможностей программного обеспечения СрЗИ, его обновление.

В случае невыполнения Требований к СОИБ в части обеспечения СрЗИ технической поддержкой, возможно наложение административной ответственности. ФСТЭК России в рамках государственного контроля может выявить данное нарушение (отсутствие технической поддержки) и выписать предписание на его устранение (обеспечить СрЗИ технической поддержкой или реализовать компенсирующие меры собственными силами). При невыполнении предписания ФСТЭК России возможно привлечение юридического лица к административной ответственности по пункту 1 статьи 13.12.1 Кодекса Российской Федерации об административных правонарушениях – административный штраф на юридическое лицо составляет до 100 тыс. руб. Обращаем внимание, что обоснование отсутствия технической поддержки со стороны производителя или условий, при которых техническая поддержка не может осуществляться производителем, в зоне ответственности субъекта КИИ.

Ответ: в рамках своих запросов на предоставление необходимых данных правоохранительные и регулирующие органы могут запрашивать следующие документы, подтверждающие выполнение требований законодательства в области безопасности критической информационной инфраструктуры Российской Федерации (далее – КИИ):

·     приказ о создании постоянно действующей комиссии по категорированию объектов КИИ, положение о постоянно действующей комиссии по категорированию объектов КИИ;

·     перечень объектов КИИ, подлежащих категорированию, а также письмо в ФСТЭК России о направлении данного перечня;

·     акты категорирования объектов КИИ;

·     сведения о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий, а также письмо в ФСТЭК России о направлении указанных сведений;

·     документы, являющиеся исходными данными для категорирования, включая данные о процессах субъекта КИИ;

·     перечень критических процессов и соответствующих им объектов КИИ;

·     перечень информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления технологическими процессами субъекта КИИ с указанием собственников, арендаторов, эксплуатирующих организаций, а также лиц, ответственных за эксплуатацию и безопасность;

·     иные документы, сформированные в рамках проведения категорирования объектов КИИ (например, протоколы заседания комиссии);

·     модели угроз безопасности информации объектов КИИ;

·     технические задания на проектирования объектов КИИ (систем безопасности);

·     проектная документация на объекты КИИ и системы защиты информации (эскизные, технические проекты), а также рабочая (эксплуатационная) документация;

·     акты и протоколы установки и настройки средств защиты информации;

·     организационно-распорядительная документация по защите информации (в области обеспечения безопасности объектов КИИ, информационной безопасности);

·     программы и методики предварительных испытаний объектов КИИ и их подсистем безопасности, а также протоколы предварительных испытаний;

·     акты приемки объектов КИИ (систем безопасности) в опытную эксплуатацию;

·     программы и методики опытной эксплуатации объектов КИИ и их подсистем безопасности;

·     протоколы проведения анализов уязвимостей объектов КИИ;

·     программы и методики приемочных испытаний объектов КИИ и их подсистем безопасности, а также протоколы приемочных испытаний;

·     программы и методики аттестационных испытаний объектов КИИ и их подсистем безопасности, аттестаты соответствия, заключения, а также протоколы испытаний (при наличии);

·     акты о вводе систем защиты (систем безопасности) в эксплуатацию;

·     акты о выводе объектов КИИ из эксплуатации, а также документы, подтверждающие архивирование (уничтожение) информации объектов КИИ и носителей информации;

·     документы, регламентирующие взаимодействие с Национальным координационным центром по компьютерным инцидентам;

·     сведения о реализованных технических и организационных мерах по обеспечению безопасности значимых объектов КИИ;

·     план мероприятий по реализации требований по обеспечению безопасности значимого объекта КИИ в соответствии с приказом ФСТЭК России от 25.12.2017 № 235 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

 

 

Ответ: организации, эксплуатирующие нефте- и газоперерабатывающие заводы, подведомственны Министерству энергетики Российской Федерации и, соответственно, являются субъектами критической информационной инфраструктуры (далее – КИИ) в сфере топливно-энергетического комплекса (далее – ТЭК).

Для более точного определения применимости того или иного типового (отраслевого) перечня объектов КИИ рекомендуем обратить внимание на коды Общероссийского классификатора видов экономической деятельности, указанные в соответствующих перечнях. Отдельно отметим, что сведения о видах деятельности, для обеспечения которых используются типовые объекты КИИ сферы ТЭК, не указаны в типовом перечне химической промышленности, но есть в аналогичном перечне для сферы топливно-энергетического комплекса.

Ответ: для ответа на данный вопрос необходимо рассматривать условия оферты или договора, на основании которых информационная инфраструктура предоставляется как услуга.

В случае, если организация, предоставляющая услуги центра обработки данных (далее – ЦОД), оказывает услуги неограниченному кругу лиц в рамках оферты или договора на предоставление таких услуг без относительной привязки к конкретному функциональному назначению и отраслевой принадлежности предоставляемых мощностей, то такая организация не обладает признаками субъекта критической информационной инфраструктуры (далее – КИИ). В рамках описанных договорных отношений организация, предоставляющая вычислительные мощности любым юридическим лицам, не несет обязательства по определению себя как субъекта КИИ.

Если сторонняя организация заключает договоры с конкретными субъектами КИИ на предоставление ИТ-инфраструктуры для функционирования тех или иных объектов КИИ (например, предоставление инфраструктуры для предприятий определенной отрасли), то организация является субъектом КИИ и должна выполнять требования законодательства о безопасности КИИ Российской Федерации (далее – РФ) в отношении принадлежащей (эксплуатируемой) инфраструктуры объектов КИИ. Однако стоит отметить, что субъект КИИ, как владелец функциональной части объекта КИИ, обязан обеспечить реализацию и выполнение правовых мер обеспечения безопасности такого объекта в соответствии с нормативными правовыми актами в сфере безопасности КИИ РФ. Реализация правовых мер безопасности в рамках договорных отношений обеспечивается путем включения требований по обеспечению безопасности КИИ РФ в заключаемые договоры на предоставление ИТ-инфраструктуры (предоставление вычислительных мощностей, услуг ЦОД) или путем оценки соответствия условий оферты таким требованиям.

Ответ: проводить повторное категорирование объектов критической информационной инфраструктуры (далее – КИИ) в связи с утверждением типовых отраслевых объектов КИИ необязательно.

В первую очередь, рекомендуется провести анализ типового перечня объектов КИИ с целью выявления типов объектов КИИ, в отношении которых не проводилась процедура категорирования. Например, организация могла включить в локальный перечень объектов КИИ автоматизированные системы управления технологическим процессом, но не включать такие типовые объекты КИИ как системы контроля и управления доступом, системы видеонаблюдения (в целом – комплекс инженерно-технических средств охраны). В отношении таких объектов необходимо рассмотреть возможные негативные последствия, в том числе влияние рассматриваемых систем на категорированные объекты КИИ, и, при необходимости, провести их категорирование. В рамках государственного контроля или ведомственного мониторинга предоставления сведений, специалисты уполномоченного органа (лица) могут использовать типовые перечни объектов КИИ для проверки корректности проведения категорирования. Соответственно, рекомендуется заранее подготовить обоснование, отвечающее на вопрос: «Почему данный объект КИИ не категорирован, если он представлен в типовом перечне?».

Для проведения полного повторного категорирования объектов КИИ субъектам КИИ рекомендуется рассмотреть все факторы и обстоятельства:

·     изменение показателей критериев значимости, произошедшее в декабре 2022 года, и необходимость перерасчета значений показателей, применимых к объектам КИИ;

·     необходимость актуализации сведений о результатах категорирования при изменении состава и условий функционирования объектов КИИ;

·     необходимость пересмотра установленных объектам КИИ категорий значимости один раз в 5 лет.

Ответ: отраслевые перечни типовых объектов критической информационной инфраструктуры (далее – КИИ) необходимо рассматривать как исходные данные (справочник отраслевого регулирующего органа) в рамках общей процедуры категорирования, установленной пунктом 5 Правил категорирования объектов КИИ (утверждены постановлением Правительства Российской Федерации от 08.02.2018 № 127, далее – Правила категорирования). Использование отраслевых перечней объектов КИИ как исходных данных определено в подпункте «ж» пункта 10 Правил категорирования.

Такие перечни не определяют конечный состав объектов информатизации субъектов КИИ и не могут служить основополагающей информацией для принятия решения об отнесении той или иной системы к объектам КИИ. Соответственно, субъект КИИ самостоятельно принимает решение о группировке категорируемых систем в единый объект КИИ в зависимости от их общего функционального назначения и условий функционирования, а также с учетом требований Правил категорирования, локальных нормативных актов, проектной и технической документации объектов КИИ. Отдельно отметим, что в рамках государственного контроля или ведомственного мониторинга предоставления сведений, специалисты уполномоченного органа (лица) могут использовать типовые перечни объектов КИИ для проверки корректности проведения категорирования. Соответственно, рекомендуется заранее подготовить ответы, обосновывающие группировку категорированных систем в единый объект КИИ.

Ответ: да, но с ограничением по выполняемым функциям. Кандидата, не имеющего профильного образования по направлению информационной безопасности (далее – ИБ), можно трудоустроить на вакантную должность специалиста по ИБ. Однако отметим, что на такого специалиста нельзя возлагать обязанности по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ). В соответствии с Требованиями к созданию систем безопасности значимых объектов КИИ, утвержденными приказом ФСТЭК России от 21.12.2017 № 235 (далее – Требования к СОИБ), специалист по безопасности КИИ должен иметь профессиональное образование по направлению подготовки (специальности) в области ИБ (высшее или среднее профессиональное образование) или иное высшее профессиональное образование с обязательным прохождением обучения по программе повышения квалификации по направлению «Информационная безопасность».

Соответственно, рекомендуется трудоустроить кандидата, не имеющего профильного образования в области ИБ, на должность специалиста ИБ с последующим прохождением курсов повышения квалификации по направлению «Информационная безопасность» (в случае если необходим специалист, обеспечивающий безопасность значимых объектов КИИ). Только после прохождения программы повышения квалификации и получения подтверждающих квалификацию документов допускается выполнение обязанностей по обеспечению безопасности значимых объектов КИИ. Выполнение обязанностей специалиста по безопасности КИИ до прохождения обучения по программе повышения квалификации (без наличия профессионального образования в ИБ) является нарушением Требований к СОИБ.