Что закон говорит о хранении данных, связанных с объектами КИИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Закон про КИИ не вводит один единый “закон о хранении данных КИИ”, но по факту требует трёх вещей:

Надёжно хранить информацию, связанную с работой объекта КИИ и его безопасностью (чтобы её нельзя было украсть, подменить или уничтожить).
Хранить документы, журналы и сведения, которые подтверждают, как вы обеспечиваете безопасность (модель угроз, акты категорирования, журналы событий, инциденты и т.п.).
Иметь резервные копии данных, необходимых для восстановления работы значимого объекта КИИ после сбоя/атаки.

Конкретные сроки и место хранения (какие системы, какие реплики, сколько лет) задаются уже локальными документами субъекта КИИ + отраслевым/иным законодательством (ПДн, гостайна, бухучёт и т.д.).

Что говорит законодательство

Если разложить по ключевым НПА:

• 187-ФЗ
  Задаёт общую обязанность обеспечивать безопасность информации, обрабатываемой в КИИ, и устойчивое функционирование объектов при компьютерных атаках. Логика такая: если данные, нужные для работы объекта, утрачены или скомпрометированы – требование устойчивости нарушено, значит хранение и восстановление – зона ответственности субъекта.
• ПП РФ № 127 (категорирование)
  Обязывает оформлять и хранить материалы категорирования (перечень объектов, акты, исходные данные по угрозам и последствиям). Эти сведения отправляются в уполномоченный орган и должны сохраняться для последующего пересмотра (не реже 1 раза в 5 лет) и проверок.
• Приказ ФСТЭК № 235 (система безопасности значимого объекта)
  Прямо требует:
  • документировать результаты мероприятий по обеспечению безопасности значимого объекта (политики, регламенты, акты проверок, результаты контроля, модели угроз и т.п.);
  • обеспечивать хранение этой документации и её доступность для ответственных и контролирующих органов;
  • обеспечивать восстановление функционирования значимого объекта, в том числе путём создания и хранения резервных копий информации, необходимой для восстановления.
• Приказ ФСТЭК № 239 (меры безопасности значимых объектов)
  Среди мер есть блоки про:
  • регистрацию и хранение событий безопасности (журналы, логи, протоколы);
  • защиту информации в информационных системах, баз данных, конфигурациях, включая их целостность и доступность;
  • обеспечение возможности выявления и расследования инцидентов, что в реальности требует хранения логов и технических артефактов за достаточный период.

Сроки в приказе не заданы по дням/годам — он говорит, что именно должно быть защищено и документировано, а конкретику субъект фиксирует в ЛНА.

• Смежные режимы (ПДн, гостайна, отраслевые акты)
  Если на объекте КИИ обрабатываются:
  • ПДн – включаются требования 152-ФЗ и подзаконки (сроки хранения ПДн по цели обработки, требования к их уничтожению, локализации и т.д.);
  • гостайна – закон о государственной тайне и соответствующие инструкции, включая требования к хранению носителей, журналов, копий;
  • отраслевые данные (банковская информация, данные связи и т.п.) – подключаются свои типовые сроки хранения и требования к размещению (например, только на территории РФ).

КИИ-закон сам по себе не добавляет отдельного “режима локализации”, но действовать нужно в стыке всех режимов, которые на объекте есть.

Как это работает на практике

Обычно в организации, у которой есть КИИ, хранилище “данных, связанных с КИИ”, выглядит так:

1. Операционные данные систем КИИ
   • Базы данных, журналы приложений, технологические архивы.
   • Для них определяют: какие данные критичны, какие RPO/RTO, где хранятся основные и резервные копии, как долго держим архив.
2. Безопасность и журналы (security data)
   • логи ОС, приложений, СЗИ (МЭ, IDS/IPS, антивирус, прокси, VPN, средства контроля целостности и т.п.);
   • события аутентификации/авторизации, изменения конфигураций, админские действия;
   • журнал инцидентов и служебные записки/отчёты по разбору.

Для них обычно в ЛНА задают:

1. • минимальный срок хранения логов (часто 1–3 года, но выбирают с прицелом на возможные проверки/расследования);
   • требования к целостности (нельзя править задним числом) и защищённости (доступ только у ограниченного круга лиц).
2. Документация по КИИ
   • материалы обследований, перечень объектов КИИ, акты категорирования, модели угроз;
   • положения/политики, регламенты реагирования, планы обеспечения устойчивости;
   • отчёты по проверкам, самооценки соответствия мерам ФСТЭК, протоколы учений.

Обычно им задают длинные сроки хранения (5+ лет), чтобы закрыть требование периодического пересмотра категории и возможных плановых/внеплановых проверок.

1. Резервные копии
   • чётко определяют, какие системы и данные резервируются, где хранятся копии (локально/другая площадка/офлайн-носители);
   • периодически проверяют возможность восстановления — и актируют эти проверки;
   • описывают всё в политике резервного копирования/восстановления, которая “подкладывается” под требования КИИ и отраслевые НПА.

Выводы и рекомендации

Если собрать в одну фразу, закон о КИИ говорит не “где именно” и “сколько лет” хранить каждый байт, а то, что:

1. Информация, необходимая для функционирования и восстановления значимого объекта КИИ, должна быть сохранена и защищена.
2. Результаты обеспечения безопасности (документы, журналы, инциденты) должны быть оформлены и храниться так, чтобы можно было доказать: меры реализованы, инциденты расследуются, требования выполняются.
3. Конкретные сроки и места хранения вы устанавливаете в ЛНА, но они должны:
   • позволять выполнить 187-ФЗ и приказы ФСТЭК (устойчивость, восстановление, документирование);
   • не противоречить другим режимам (ПДн, гостайна, отраслевые требования, бухгалтерия и т.п.);
   • быть реалистичными с точки зрения аудита и расследования (не “90 дней логов”, если проверки и расследования могут тянуться годами).

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге