AZEXO

Надежда Скакун

Аттестация объектов критической информационной инфраструктуры: руководство по соблюдению регуляторных требований

Надежда Скакун
в
Эксперт по информационной безопасности с фокусом на регуляторику РФ. Более 10 лет помогаю компаниям выстраивать защиту в соответствии с требованиями ФСТЭК и ФСБ.

Введение

С 1 января 2018 года вступил в силу Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [ссылка], который коренным образом изменил подход к защите информационных систем в ключевых отраслях экономики. Для руководителей организаций и специалистов по информационной безопасности важно понимать разницу между категорированием объектов КИИ и аттестацией информационных систем, а также знать последовательность действий для обеспечения compliance.

Часть 1. Нормативная база

Основные документы

ДокументПредмет регулированияСсылка
Федеральный закон № 187-ФЗ от 26.07.2017Общие требования к безопасности КИИ[ссылка]
Постановление Правительства № 127 от 08.02.2018Правила категорирования объектов КИИ[ссылка]
Приказ ФСТЭК № 239 от 25.12.2017Требования к защите значимых объектов КИИ[ссылка]
Приказ ФСТЭК № 235 от 21.12.2017Требования к системам безопасности значимых объектов КИИ[ссылка]
Приказ ФСТЭК № 17 от 11.02.2013Требования к защите информации в ГИС[ссылка]
Указ Президента № 569 от 25.11.2017Полномочия ФСТЭК в области КИИ[ссылка]
Постановление Правительства № 79 от 03.02.2012Лицензирование деятельности по технической защите конфиденциальной информации[ссылка]

Ключевые понятия

Критическая информационная инфраструктура (КИИ) — объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Объект КИИ — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ.

Значимый объект КИИ — объект КИИ, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов КИИ.

Субъекты КИИ — государственные органы, государственные учреждения, российские юридические лица, функционирующие в сферах: здравоохранения, науки, транспорта, связи, энергетики, банковской сфере, ТЭК, атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

Часть 2. Категорирование vs Аттестация: В чём разница?

Категорирование объектов КИИ

Категорирование — это первый обязательный этап, который должны пройти все субъекты КИИ.

Цель: Определение соответствия объекта критериям значимости и присвоение категории (1-я, 2-я, 3-я или отсутствие категории).

Сроки:

  • Сведения направляются в ФСТЭК в течение 10 рабочих дней после утверждения акта категорирования
  • Пересмотр категорий — не реже 1 раза в 5 лет

Критерии значимости (Постановление № 127 [ссылка]):

  1. Социальная значимость (ущерб жизни и здоровью людей)
  2. Политическая значимость (ущерб интересам РФ)
  3. Экономическая значимость (ущерб бюджету и субъектам КИИ)
  4. Экологическая значимость (воздействие на окружающую среду)
  5. Значимость для обороны страны, безопасности государства и правопорядка

Аттестация информационных систем

Аттестация применяется преимущественно к государственным информационным системам (ГИС) в соответствии с Приказом ФСТЭК № 17 [ссылка].

Важно: Для значимых объектов КИИ термин «аттестация» в 187-ФЗ не используется. Вместо этого применяется:

  • Создание системы безопасности
  • Оценка соответствия требованиям
  • Приёмочные испытания

Если объект КИИ является одновременно ГИС — применяются требования обоих регуляторных режимов.

Часть 3. Пошаговое руководство к действию

Этап 1. Определение статуса субъекта КИИ

Действия:

  1. Проверьте, относится ли ваша организация к сферам деятельности, указанным в п. 8 ст. 2 № 187-ФЗ
  2. Выявите все информационные системы, ИТ-сети и АСУ, принадлежащие организации
  3. Сопоставьте объекты с перечнями типовых отраслевых объектов КИИ

Документ: Перечень объектов КИИ, подлежащих категорированию (форма по Информационному сообщению ФСТЭК № 240/25/3752 [ссылка])

Этап 2. Создание комиссии по категорированию

Состав комиссии (Постановление № 127, п. 11):

  • Руководитель субъекта КИИ или уполномоченное лицо
  • Специалисты в области информационных технологий и связи
  • Специалисты по эксплуатации технологического оборудования
  • Специалисты по информационной безопасности
  • Сотрудники подразделения по защите государственной тайны (при необходимости)
  • Сотрудники подразделения по гражданской обороне и ЧС

Документ: Приказ о создании комиссии по категорированию

Этап 3. Проведение категорирования

Порядок действий:

  1. Сбор исходных данных об объектах КИИ
  2. Оценка масштаба возможных последствий компьютерных инцидентов
  3. Расчёт значений показателей критериев значимости
  4. Присвоение категории значимости (или решение об отсутствии необходимости)
  5. Оформление акта категорирования

Документ: Акт категорирования объектов КИИ

Этап 4. Направление сведений в ФСТЭК

Состав сведений (Приказ ФСТЭК № 236 [ссылка]):

  • Сведения об объекте КИИ
  • Сведения о субъекте КИИ
  • Сведения о взаимодействии с сетями электросвязи
  • Сведения о лице, эксплуатирующем объект
  • Сведения о программных и программно-аппаратных средствах
  • Сведения об угрозах безопасности и категориях нарушителей
  • Возможные последствия компьютерных инцидентов
  • Присвоенная категория значимости
  • Применяемые меры защиты

Срок: 10 рабочих дней после утверждения акта

Этап 5. Создание системы безопасности (для значимых объектов)

Требования (Приказы ФСТЭК № 235, 239 [ссылка], [ссылка]):

КатегорияТребования к СЗИТребования к СВТ
1-яне ниже 4 класса, уровень доверия 4+не ниже 5 класса
2-яне ниже 5 класса, уровень доверия 5+не ниже 5 класса
3-я6 класса, уровень доверия 6+не ниже 5 класса

Основные меры защиты:

  1. Идентификация и аутентификация
  2. Управление доступом
  3. Ограничение программной среды
  4. Защита машинных носителей
  5. Регистрация событий безопасности
  6. Антивирусная защита
  7. Обнаружение вторжений
  8. Контроль защищённости
  9. Обеспечение целостности и доступности
  10. Защита от DoS/DDoS-атак

Этап 6. Оценка соответствия и ввод в эксплуатацию

Для значимых объектов КИИ:

  1. Проведение предварительных испытаний
  2. Опытная эксплуатация
  3. Анализ уязвимостей (с использованием Банка данных угроз ФСТЭК [ссылка])
  4. Приёмочные испытания
  5. Включение в реестр значимых объектов КИИ

Для ГИС (если применимо):

  1. Аттестационные испытания (в соответствии с Положением по аттестации объектов информатизации [ссылка])
  2. Оформление аттестата соответствия
  3. Ввод в действие

Часть 4. Организационные требования

Структурное подразделение по безопасности

Требования (Приказ ФСТЭК № 235):

  • Создание структурного подразделения по безопасности или назначение специалистов
  • Руководитель подразделения: высшее образование в области ИБ + стаж не менее 3 лет (или иное высшее + переподготовка 360 часов + стаж 3 года)
  • Инженерно-технические работники: не менее 2 человек с аналогичными требованиями
  • Повышение квалификации не реже 1 раза в 5 лет

Организационно-распорядительная документация

Обязательные документы:

  1. Политика информационной безопасности
  2. Модель угроз безопасности информации (разрабатывается с использованием Банка данных угроз ФСТЭК [ссылка] и Методики оценки угроз [ссылка])
  3. План мероприятий по обеспечению безопасности
  4. Инструкции пользователям и администраторам
  5. Регламенты реагирования на инциденты
  6. План действий в нештатных ситуациях
  7. Журналы учёта и контроля

Взаимодействие с государственной системой обнаружения атак

Обязанности субъекта КИИ (ст. 9 № 187-ФЗ):

  • Незамедлительное информирование о компьютерных атаках и инцидентах
  • Оказание содействия должностным лицам уполномоченных органов
  • Обеспечение выполнения порядка установки и эксплуатации средств обнаружения атак
  • Непрерывное взаимодействие с государственной системой обнаружения атак

Часть 5. Контроль и ответственность

Государственный контроль

ФСТЭК России осуществляет:

  • Плановые проверки (не чаще 1 раза в 3 года)
  • Внеплановые проверки (при инцидентах, истечении срока предписания)
  • Проверку сведений о категорировании (30 дней)

Основания для внеплановой проверки:

  1. Истечение срока выполнения предписания
  2. Возникновение компьютерного инцидента с негативными последствиями
  3. Поручение Президента или Правительства РФ
  4. Требование прокурора

Ответственность

Виды ответственности за нарушение требований № 187-ФЗ:

  • Административная (КоАП РФ)
  • Дисциплинарная
  • Гражданско-правовая
  • Уголовная (при тяжких последствиях)

Часть 6. Типичные ошибки и рекомендации

Ошибки при категорировании

ОшибкаПоследствиеРекомендация
Неполный перечень объектов КИИВозврат сведений ФСТЭКПроведите полный аудит ИТ-инфраструктуры
Неправильный расчёт показателейНесоответствие категорииИспользуйте методику из Постановления № 127 [ссылка]
Отсутствие отраслевых особенностейНарушение порядка категорированияУчитывайте отраслевые нормативные акты
Несвоевременное направление сведенийАдминистративная ответственностьСоблюдайте 10-дневный срок

Ошибки при создании системы безопасности

ОшибкаПоследствиеРекомендация
Применение несертифицированных СЗИНесоответствие требованиямИспользуйте сертифицированные средства (Порядок сертификации [ссылка]) или проведите испытания
Отсутствие модели угрозНеполный набор мер защитыРазработайте модель угроз по методике ФСТЭК [ссылка]
Недостаточная квалификация персоналаНарушение лицензионных требованийОбеспечьте обучение и повышение квалификации (требования к лицензированию [ссылка])
Отсутствие документацииНевозможность прохождения контроляРазработайте полный комплект ОРД

Практические рекомендации

  1. Начните с аудита — проведите полный учёт всех информационных систем и сетей
  2. Документируйте каждый этап — сохраняйте все акты, приказы, протоколы
  3. Планируйте бюджет — учтите затраты на средства защиты, сертификацию, обучение
  4. Автоматизируйте процессы — внедрите системы мониторинга и управления инцидентами
  5. Поддерживайте актуальность — регулярно пересматривайте модели угроз и меры защиты
  6. Взаимодействуйте с регулятором — отслеживайте изменения в нормативной базе (информационные сообщения ФСТЭК [ссылка])

Часть 7. Сроки и дорожная карта

Типовой график работ

ЭтапСрок исполнения
Выявление объектов КИИ1-2 месяца
Создание комиссии по категорированию1 неделя
Проведение категорирования1-3 месяца
Направление сведений в ФСТЭК10 рабочих дней после акта
Проверка ФСТЭК30 дней
Создание системы безопасности6-12 месяцев (в зависимости от категории)
Приёмочные испытания1-2 месяца
Включение в реестр10 дней после проверки

Важные даты

  • Пересмотр категорий — не реже 1 раза в 5 лет
  • Повышение квалификации — не реже 1 раза в 5 лет
  • Внутренний контроль — не реже 1 раза в 3 года

Часть 8. Дополнительные нормативные документы

Для обработки персональных данных

  • Постановление Правительства № 1119 от 01.11.2012 [ссылка]
  • Базовая модель угроз безопасности персональных данных [ссылка]
  • Методика определения актуальных угроз безопасности персональных данных [ссылка]

Для государственных информационных систем

  • Приказ ФСТЭК № 17 от 11.02.2013 [ссылка]
  • ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении» [ссылка]
  • ГОСТ Р 56939-2024 «Защита информации. Безопасная разработка программного обеспечения» [ссылка]

Для банковской сферы

  • Положение Банка России от 09.06.2012 № 382-П [ссылка]
  • СТО БР БФБО-1.8-2024 «Безопасность финансовых (банковских) операций» [ссылка]

Методические документы ФСТЭК

  • Методический документ «Меры защиты информации в государственных информационных системах» [ссылка]
  • Профили защиты межсетевых экранов [ссылка]
  • Профили защиты операционных систем [ссылка]

Заключение

Обеспечение безопасности критической информационной инфраструктуры — это непрерывный процесс, требующий системного подхода и постоянного внимания. Ключевые принципы успешного compliance:

  1. Своевременность — соблюдение установленных законом сроков
  2. Полнота — охват всех объектов и требований
  3. Документирование — фиксация всех этапов работ
  4. Актуальность — регулярный пересмотр мер защиты
  5. Взаимодействие — открытый диалог с регулятором

Организациям рекомендуется начать с проведения аудита существующей ИТ-инфраструктуры и определения статуса субъекта КИИ. Дальнейшие действия должны осуществляться в строгом соответствии с требованиями нормативных правовых актов и методических документами ФСТЭК России.

Статья подготовлена на основе нормативных правовых актов, действующих на момент публикации. Рекомендуется отслеживать изменения в законодательстве и методических документах ФСТЭК России [официальный сайт].

Дополнительные ресурсы: