Нормативные документы по обеспечению безопасности КИИ

Какими документами следует руководствоваться при обеспечении безопасности объектов КИИ?

Основной документ – ФЗ № 187 «О Безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017.

Связанные нормативные документы:

  1. Постановление Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» – вступило в силу 21.02.2018.
  2. Постановление Правительства Российской Федерации от 11.07.2018 г. № 808 «О внесении изменения в Правила организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса».
  3. Постановление Правительства Российской Федерации от 17.02.2018 г. № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
  4. Указ Президента Российской Федерации от 25.11.2017 г. № 569 «О внесении изменений в Положение о ФСТЭК».
  5. Выписка из Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации – Концепция утверждена Президентом РФ 12.12.2014 № К 1274.

  6. Постановление Правительства РФ №452 от 13.04.2019 «О внесении изменений в постановление ПП-127 от 08.02.2018».

  7. Постановление Правительства РФ №743 от 08.06.2019 «Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи РФ для обеспечения функционирования значимых объектов КИИ».

Приказы ФСТЭК:

  1. Приказ ФСТЭК от 06.12.2017 № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» – вступил в силу 20.02.2018.
  2. Приказ ФСТЭК России от 11.12.2017 № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» – вступил в силу 8.01.2018.
  3. Приказ ФСТЭК от 21.12.2017 №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
  4. Приказ ФСТЭК от 22.12.2017 №236 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
  5. Приказ ФСТЭК от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
  6. Приказ ФСТЭК от 26.04.2018 №72 «О внесении изменений в регламент ФСТЭК».
  7. Приказ ФСТЭК России №138 от 09.08.2018 «О внесении изменений в Требования к обеспечению ЗИ в АСУ П и ТП на КВО, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК №31, и в Требования по обеспечению безопасности ЗО КИИ РФ, утвержденные приказом ФСТЭК №239».

  8. Приказ ФСТЭК России №59 от 21.03.2019 «О внесении изменений в форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом ФСТЭК №236 от 22.12.2017».

  9. Приказ ФСТЭК России №60 от 26.03.2019 «О внесении изменений в Требования по обеспечению безопасности значимых объектов КИИ РФ, утвержденные приказом ФСТЭК №239 от 25.12.2017».
  10. Информационное сообщение ФСТЭК России №240/22/2339 от 04.05.2018 «О методических документах по вопросам обеспечения безопасности информации в КСИИ РФ».
  11. Информационное сообщение ФСТЭК России №240/25/3752 от 24.08.2018 «По вопросам представления перечней объектов КИИ, подлежащих категорированию, и направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
  12. Методический документ ФСТЭК «Меры защиты информационных и автоматизированных систем и содержащейся в них информации» – планируется утвердить во втором квартале 2018 года.
    Документ включит в себя общие положения, рекомендации по выбору мер защиты информации, содержание мер защиты информации. Методический документ будет единым для 17/21/31 приказов. Примерно в это же время ФСТЭК планирует привести приказы и КИИ к единой нумерации требований.

Помимо Приказа ФСТЭК № 239, в зависимости от данных, обрабатываемых объектом КИИ, следует руководствоваться следующими документами:

ОбъектДокументы
Обрабатывает государственную тайнуЗаконодательство в области защиты гостайны
ГИСПриказ ФСТЭК № 239 плюс к немуПриказ ФСТЭК №17 от 11.02.2013
ПДнПостановление Правительства РФ №1119 от 01.11.2012
ИТКСНормативно-правовые акты Минкомсвязи

Документы ФСБ:

  1. Приказ ФСБ РФ от 24.07.2018 № 366 “О Национальном координационном центре по компьютерным инцидентам.”
  2. Приказ ФСБ РФ от 24.07.2018 № 367 “Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.”

  3. Приказ ФСБ РФ от 24.07.2018 N 368 Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения.

  4. Приказ ФСБ РФ от 06.05.2019 № 196 “Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.”
  5. Приказ ФСБ РФ от 19.06.2019 № 281 “Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации.”
  6. Приказ ФСБ РФ от 19.06.2019 № 282 “Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации.”

Ответственность:

Федеральный закон №193-ФЗ от 26.07.2017 «О внесении изменений в отдельные законодательные акты РФ в связи с принятием ФЗ «О безопасности КИИ РФ».

Федеральный закон №194-ФЗ от 26.07.2017 «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности КИИ РФ».

 

Другие статьи по теме КИИ:

Порядок категорирования объектов КИИ

Требования к системам безопасности значимых объектов КИИ

Обзор требований по обеспечению безопасности значимых объектов КИИ

Поделиться записью: