
Какими документами следует руководствоваться при обеспечении безопасности объектов КИИ?
Основной документ – ФЗ № 187 «О Безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017.
Связанные нормативные документы:
- Постановление Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» – вступило в силу 21.02.2018.
- Постановление Правительства Российской Федерации от 11.07.2018 г. № 808 «О внесении изменения в Правила организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса».
- Постановление Правительства Российской Федерации от 17.02.2018 г. № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
- Указ Президента Российской Федерации от 25.11.2017 г. № 569 «О внесении изменений в Положение о ФСТЭК».
- Выписка из Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации – Концепция утверждена Президентом РФ 12.12.2014 № К 1274.
Постановление Правительства РФ №452 от 13.04.2019 «О внесении изменений в постановление ПП-127 от 08.02.2018».
Постановление Правительства РФ №743 от 08.06.2019 «Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи РФ для обеспечения функционирования значимых объектов КИИ».
Приказы ФСТЭК:
- Приказ ФСТЭК от 06.12.2017 № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» – вступил в силу 20.02.2018.
- Приказ ФСТЭК России от 11.12.2017 № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» – вступил в силу 8.01.2018.
- Приказ ФСТЭК от 21.12.2017 №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
- Приказ ФСТЭК от 22.12.2017 №236 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
- Приказ ФСТЭК от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
- Приказ ФСТЭК от 26.04.2018 №72 «О внесении изменений в регламент ФСТЭК».
- Приказ ФСТЭК России №138 от 09.08.2018 «О внесении изменений в Требования к обеспечению ЗИ в АСУ П и ТП на КВО, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК №31, и в Требования по обеспечению безопасности ЗО КИИ РФ, утвержденные приказом ФСТЭК №239».
Приказ ФСТЭК России №59 от 21.03.2019 «О внесении изменений в форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом ФСТЭК №236 от 22.12.2017».
- Приказ ФСТЭК России №60 от 26.03.2019 «О внесении изменений в Требования по обеспечению безопасности значимых объектов КИИ РФ, утвержденные приказом ФСТЭК №239 от 25.12.2017».
- Информационное сообщение ФСТЭК России №240/22/2339 от 04.05.2018 «О методических документах по вопросам обеспечения безопасности информации в КСИИ РФ».
- Информационное сообщение ФСТЭК России №240/25/3752 от 24.08.2018 «По вопросам представления перечней объектов КИИ, подлежащих категорированию, и направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
- Методический документ ФСТЭК «Меры защиты информационных и автоматизированных систем и содержащейся в них информации» – планируется утвердить во втором квартале 2018 года.
Документ включит в себя общие положения, рекомендации по выбору мер защиты информации, содержание мер защиты информации. Методический документ будет единым для 17/21/31 приказов. Примерно в это же время ФСТЭК планирует привести приказы и КИИ к единой нумерации требований.
Помимо Приказа ФСТЭК № 239, в зависимости от данных, обрабатываемых объектом КИИ, следует руководствоваться следующими документами:
Объект | Документы | |
Обрабатывает государственную тайну | Законодательство в области защиты гостайны | |
ГИС | Приказ ФСТЭК № 239 плюс к нему | Приказ ФСТЭК №17 от 11.02.2013 |
ПДн | Постановление Правительства РФ №1119 от 01.11.2012 | |
ИТКС | Нормативно-правовые акты Минкомсвязи |
Документы ФСБ:
- Приказ ФСБ РФ от 24.07.2018 № 366 “О Национальном координационном центре по компьютерным инцидентам.”
- Приказ ФСБ РФ от 24.07.2018 № 367 “Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.”
Приказ ФСБ РФ от 24.07.2018 N 368 Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения.
- Приказ ФСБ РФ от 06.05.2019 № 196 “Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.”
- Приказ ФСБ РФ от 19.06.2019 № 281 “Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации.”
- Приказ ФСБ РФ от 19.06.2019 № 282 “Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации.”
Ответственность:
Федеральный закон №193-ФЗ от 26.07.2017 «О внесении изменений в отдельные законодательные акты РФ в связи с принятием ФЗ «О безопасности КИИ РФ».
Федеральный закон №194-ФЗ от 26.07.2017 «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности КИИ РФ».
Другие статьи по теме КИИ:
Порядок категорирования объектов КИИ
Требования к системам безопасности значимых объектов КИИ
Обзор требований по обеспечению безопасности значимых объектов КИИ