Защита критической информационной инфраструктуры (КИИ) / 187-ФЗ

2. Как определить, что компания является субъектом КИИ?

Ответ: Для этого необходимо проанализировать уставные документы компании: Устав (Положение), ЕГРЮЛ и документы, дающие разрешение на осуществление определенных видов деятельности (лицензии).

Определить какие виды деятельности характерны для указанной компании, а затем при помощи ОКВЭД определить сферу ее функционирования, после чего определить использует ли организация на праве собственности, аренды или ином законном основании АС/ИТКС/АСУ ТП.

3. Что предпринять, если ни один из ОКВЭД организации не попал в сферы действия, указанные в п. 8 ст. 2 187-ФЗ?

Ответ: Необходимо данный факт зафиксировать документально решением комиссии по категорированию. Решение должно быть мотивированным и обоснованным. Документ, подтверждающий данный факт хранится у организации, направлять его во ФСТЭК России не требуется.

4. Какие предприятия относятся к сфере ОПК. Имеющие лицензии Минпромторга (лицензия ВВТ) и включённые в перечень или достаточно только наличие лицензии?

Ответ: Организации, включенные в сводный реестр организаций оборонно-промышленного комплекса.

Порядок ведения указанного реестра определяется Положением о ведении сводного реестра организаций оборонно-промышленного комплекса (утв. постановлением Правительства РФ от 20 февраля 2004 г. № 96). Информация указанного реестра является сведениями ограниченного доступа (п. 2 постановления Правительства РФ от 20 февраля 2004 г. № 96).

5. Что является объектом КИИ?

Ответ: В соответствии с п. 7 ст. 2 187-ФЗ объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. Иными словами, объекты КИИ, это принадлежащие субъектам КИИ ИС, АСУ и (или) ИТКС.

6. Что такое значимый объект КИИ?

Ответ: В соответствии с п. 3 ст. 2 187-ФЗ значимый объект критической информационной инфраструктуры - объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

7. Есть ли в ЛПУ значимые объекты КИИ?

Ответ: Определить наличие или отсутствие значимых объектов КИИ можно по итогам проведения процедуры категорирования. В соответствии с ч. 1 ст. 7 187-ФЗ категорирование объекта КИИ представляет собой установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.

8. Какие требования нужно выполнять для незначимых объектов КИИ?

Ответ:

1. Направить данное решение комиссии в ФСТЭК России по установленной форме (Приказ ФСТЭК России от 22 декабря 2017 г. N 236).
2. Обеспечить возможность передачи компьютерных инцидентов в систему ГосСОПКА.
3. При необходимости реализовать требования Приказов ФСТЭК России №21, №17, №31, если рассматриваемая ИС относится к ИСПДн, ГИС или АСУ ТП соответственно.

9. Являются ли объектами КИИ и подлежат ли категорированию системы обеспечения транспортной безопасности, развернутые в соответствии с 16-ФЗ?

Ответ: Информационные (автоматизированные) системы в области транспортной безопасности, созданные во исполнение ст. 11 Федерального закона от 09.02.2007 № 16-ФЗ «О транспортной безопасности» в большинстве случаев будут являться объектами КИИ, т.к. принадлежат субъектам транспортной инфраструктуры, т.е. организациям (государственным органам), функционирующим в сфере транспорта. В большинстве случаев, указанные информационные (автоматизированные) системы будут обрабатывать информацию, необходимую для обеспечения критических процессов, и (или) осуществлять управление, контроль или мониторинг критических процессов, а следовательно, они подлежат категорированию.

10. В промышленной компании имеются станки с ЧПУ, будут ли они являться объектами КИИ (АСУ)?

Ответ: В соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" объекты КИИ – это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Автоматизированная система управления, согласно терминологии той же статьи - комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами. Таким образом, станок с ЧПУ, действительно, представляет собой АСУ, и если он принадлежит организации, функционирующей в одной из сфер отнесенных к КИИ, то будет являться объектом КИИ.

11. Как часто нужно пересматривать категорию ОКИИ?

Ответ: В соответствии с п. 21 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 08.02.2018 № 127) субъект КИИ в случае изменения показателей критериев значимости объектов КИИ или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий. Так как Постановлением Правительства РФ от 13 апреля 2019 года № 452 были внесены изменения в показатели критериев значимости объектов КИИ и их значений, исходя из буквального толкования п. 21 Правил категорирования следует, что необходимо провести пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения категорий значимости ранее категорированных объектов КИИ.

12. С кем нужно согласовывать Перечень объектов КИИ, подлежащих категорированию?

Ответ: В соответствии с п. 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 08.02.2018 № 127) перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в сфере, в которой функционирует субъект КИИ.

Государственные органы, выполняющие функции по разработке, проведению и реализации государственной политики и (или) нормативно-правовому регулированию:

• Министерство энергетики Российской Федерации – топливно-энергетический комплекс, нефтехимическая промышленность;
• Федеральная служба по экологическому, технологическому и атомному надзору – в области атомной энергии;
• Министерство здравоохранения Российской Федерации – здравоохранение;
• Министерство транспорта Российской Федерации – транспорт;
• Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации – связь;
• Министерство финансов Российской Федерации – банковская сфера и иные сферы финансового рынка;
• Министерство науки и высшего образования Российской Федерации – наука.
• Министерство промышленности и торговли Российской Федерации – оборонная промышленность.

Российские юридические лица, выполняющие функции по разработке, проведению и реализации государственной политики и (или) нормативно-правовому регулированию:

• Государственная корпорация «Росатом» - в области атомной энергии;
• Государственная корпорация по космической деятельности «Роскосмос» - ракетнокосмической промышленности.

13. Как актуализировать Перечень объектов КИИ, подлежащих категорированию, если после его отправки произошли изменения?

Ответ: отправлять во ФСТЭК России новый перечень, в сопроводительном письме указывать наименования исключенных объектов и причины исключения.

14. Нужно ли отправлять перечень объектов КИИ во ФСТЭК России, если в результате процедуры категорирования объекты КИИ не выявлены?

Ответ: В соответствии с информационным сообщением ФСТЭК России от 24 августа 2018 г. № 240/25/3752 предоставление информации об отсутствии в организации объектов КИИ или о том, что организация не является субъектом КИИ во ФСТЭК России, в соответствии с законодательством о безопасности КИИ Российской Федерации, не требуется. Таким образом, пустой перечень отправлять не нужно.

15. Как правильно организовать категорирование в случае наличия филиалов — достаточно одной комиссии или же нужно создавать несколько?

Ответ: Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 дополнило Правила категорирования пунктом 11.2. следующего содержания: «По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии для категорирования объектов критической информационной инфраструктуры в этих филиалах, представительствах. В этом случае комиссия субъекта критической информационной инфраструктуры координирует и контролирует деятельность комиссий по категорированию».

На практике, ранее существовавшая проблема с необходимостью создания больших (по количеству участников) комиссий, теперь трансформировалась в проблему управления территориально распределенными комиссиями и их контроля. Во избежание конфликтов между комиссией по категорированию субъекта КИИ и комиссиями по категорированию в филиалах (представительствах), связанных со сферами ответственности, по мнению автора, целесообразно регламентировать функциональные обязанности, полномочия и ответственности в локальном нормативном акте, например, регламенте «по работе постоянно действующей комиссий по категорированию».

16. В каком виде нужно направлять результаты категорирования объектов КИИ?

Ответ: В соответствии с п. 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 08.02.2018 № 127) во ФСТЭК России направляются Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее по тексту – Сведения). Форма данных Сведений утверждена Приказом ФСТЭК России от 22.12.2017 № 236.

Порядок направления Сведений следующий:

1. Сведения направляются во ФСТЭК России в бумажном и электронном виде по адресу: 105066, г. Москва, ул. Старая Басманная, д. 17.
2. В бумажном виде Сведения направляются в одном экземпляре.
3. В электронном виде Сведения записываются на носитель (например, диск), который направляется вместе с бумажным экземпляром Сведений.
4. Отправление обязательно сопровождается письмом.
5. Если Сведения о результатах категорирования отнесены в организации к конфиденциальной информации, то гриф проставляется в соответствии с порядком конфиденциального делопроизводства, определенным в организации.
6. Реестр отправления составляется в случае, если организации необходимо подтверждение передачи Сведений во ФСТЭК России (при передаче через окно приема корреспонденции)
7. При отправлении Сведений почтой реестр отправления не составляется.

17. Нужно ли отправлять во ФСТЭК России акт категорирования?

Ответ: В соответствии с п. 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 08.02.2018 № 127) во ФСТЭК России направляются только Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Акт хранится у субъекта КИИ до вывода из эксплуатации объекта КИИ или до изменения категории значимости (п. 16 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации).

18. Установлена ли форма акта категорирования?

Ответ: установленной формы акта категорирования нет. При этом, п. 16 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 08.02.2018 № 127) устанавливает, что акт должен содержать сведения об объекте КИИ, сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

2. В чем разница между компьютерным инцидентом и компьютерной атакой?

Определения «компьютерная атака» и «компьютерный инцидент» содержатся в статье 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»:

• «компьютерная атака» - целенаправленное воздействие программных и (или) программноаппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации.
• «компьютерный инцидент» - факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Таким образом, «компьютерный инцидент» - это более широкое понятие, связанное с нарушением нормального функционирования объекта КИИ, в том числе в результате компьютерной атаки.

3. Обязательно ли разрабатывать план реагирования на компьютерные инциденты и согласовывать его с ФСБ России?

Ответ: Субъекты КИИ, владельцы значимых объектов КИИ, обязаны в срок не позднее 90 календарных дней с момента включения данного объекта в реестр значимых объектов КИИ Российской Федерации, разработать План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (п. 6 Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСБ России от 19 июня 2019 г. № 282, далее по тексту – Порядок).

Если в план включаются условия по привлечению к реагированию на инцидент должностных лиц ФСБ России, то сам план и изменения в него необходимо будет согласовывать с ФСБ России (п. 7 и 8 Порядка). Необходимость включения, нормативно не определена. По мнению автора, на практике необходимость включения будет определяться для каждого конкретного объекта КИИ совместно субъектом КИИ и должностными лицами ФСБ России.

При этом, следует отметить, что субъекты КИИ, функционирующие в банковской сфере и в иных сферах финансовых рынков, должны включать в план условия привлечения подразделений и должностных лиц Банка России к проведению мероприятий по реагированию на компьютерные инциденты.

2. Нужно ли проводить аудит безопасности ЗО КИИ?

Ответ: Согласно п. 35 и п. 36 «Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» (утв. приказом ФСТЭК России от 21 декабря 2017 г. № 235) в рамках контроля состояния безопасности значимых объектов КИИ должен осуществляться внутренний контроль организации работ по обеспечению их безопасности, и эффективности принимаемых организационных и технических мер.

В ходе проведения контроля проверяется выполнение требований нормативных правовых актов в области обеспечения безопасности КИИ, а также организационно-распорядительных документов по безопасности «значимых» объектов КИИ, иными словами проводится т.н. «Комплаенс аудит».

Для оценки эффективности принятых организационных и технических мер по обеспечению безопасности значимых объектов КИИ могут применяться средства контроля (анализа) защищенности – это т.н. «Инструментальный аудит» (анализ защищенности).

Контроль проводится ежегодно комиссией, назначаемой субъектом КИИ. В случае проведения по решению руководителя субъекта КИИ внешней оценки (внешнего аудита) состояния безопасности значимых объектов КИИ внутренний контроль может не проводиться.

Замечания, выявленные по результатам внутреннего контроля или внешней оценки (внешнего аудита), подлежат устранению в порядке и сроки, установленные руководителем субъекта КИИ (уполномоченным лицом).

Таким образом, законодательно предусмотрена обязательность проведения аудита ИБ значимых объектов КИИ в форме внутреннего аудита (требование АУД.10 приказа ФСТЭК России от 25 декабря 2017 г. № 239), проводимого силами работников субъекта КИИ, либо внешнего аудита проводимого специализированной организацией (требование АУД.11 приказа ФСТЭК России от 25 декабря 2017 г. № 239).

3. Когда делать модель угроз безопасности ОКИИ: до или после категорирования?

Ответ: В рамках категорирования проводится только рассмотрение возможных действий нарушителей и анализ угроз безопасности по отношению к имеющимся у организации объектам КИИ, это следует из буквального толкования пп. «г» п. 14 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127). Данный анализ может проводиться как на основании уже имеющихся для данных объектов моделей угроз и нарушителей, например, подготовленных ранее в рамках мероприятий по обеспечения безопасности персональных данных или автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, так и на основании описания возможных действий нарушителей и угроз безопасности объектам информатизации организации, содержащегося, например в Политике информационной безопасности организации.

Разработка же моделей угроз и нарушителей необходима перед проектированием системы обеспечения безопасности объектов, имеющих категорию значимости.

4. Какие угрозы нужно указывать в части 6 формы сведений о результатах категорирования? Нужно ли рассматривать все угрозы из БДУ ФСТЭК России?

Ответ: В части 6 формы сведений о результатах категорирования указываются актуальные угрозы безопасности информации согласно БДУ ФСТЭК России.

2. ГосСОПКА: Нужно ли субъекту КИИ подключаться к ГосСОПКА?

Ответ: в явном виде в НПА не указана необходимость подключения к ГосСОПКА, однако обнаруживать и предотвращать компьютерные атаки, а также хранить, накапливать, защищать информацию об инцидентах и направлять ее в НКЦКИ целесообразнее с использованием технических средств.

3. Каким способом могут субъекты КИИ передавать информацию об инцидентах в НКЦКИ?

Ответ: приказом ФСБ от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…» установлено, что информирование осуществляется путем направления информации в НКЦКИ в соответствии с определенными НКЦКИ форматами с использованием технической инфраструктуры НКЦКИ.

Однако на данный момент эта процедура не описана в каких-либо документах, поэтому информацию можно передавать по сценарию, когда подключение к технической инфраструктуре НКЦКИ отсутствует. В таком случае информация передается посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера), указанные на сайте НКЦКИ

• телефон – +7 (916) 901-07-42
• почта –

2. Какие виды проверок установлены законодательством? Сроки их проведения?

Ответ: согласно пункту 3 Постановления Правительства Российской Федерации от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» государственный контроль осуществляется путем проведения плановых и внеплановых проверок.

3. Какие основания существуют для проведения внеплановой проверки?

Ответ: согласно пункту 20 Постановления Правительства Российской Федерации от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» основаниями для осуществления внеплановой проверки являются:

• а) истечение срока выполнения субъектом критической информационной инфраструктуры выданного органом государственного контроля предписания об устранении выявленного нарушения требований по обеспечению безопасности;
• б) возникновение компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия;
• в) приказ органа государственного контроля, изданный в соответствии с поручением Президента Российской Федерации или Правительства Российской Федерации либо на основании требования прокурора об осуществлении внеплановой проверки в рамках проведения надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.

4. Выполнение требований каких документов проверяет ФСТЭК России в рамках государственного контроля (надзора) в области обеспечения безопасности ЗОКИИ?

Ответ: Перечень нормативных правовых актов или их отдельных частей, оценка соблюдения которых является предметом государственного контроля (надзора) в области обеспечения безопасности ЗОКИИ утвержден приказом ФСТЭК России от 16 июля 2019 г. № 135.

Прежде всего проверяются требования, утвержденные приказами ФСТЭК России от 21 декабря № 235 и 25 декабря № 239.

Помимо них, проверяются части 1, 2, 4, 5, 9, 12 статьи 7, статья 9, статья 10 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры» и порядок соблюдения процедуры категорирования (Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127).