Правовая основа системы безопасности КИИ в России — это совокупность законов, постановлений и приказов, которые определяют:
- что такое КИИ;
- какие организации считаются субъектами;
- как выявлять и категорировать объекты;
- какие меры защиты обязательны;
- как обеспечивать устойчивость и предотвращать инциденты.
Если сказать проще:
Это набор нормативных документов, которые задают правила “как жить” объектам КИИ — от определения значимости до технических требований защиты.
Что говорит законодательство
Ниже представлены ключевые документы, которые формируют юридическую основу системы безопасности КИИ.
Федеральный закон № 187-ФЗ (2017 г.)
Основной закон, который:
- определяет понятие КИИ, субъектов и объектов;
- вводит категорирование;
- устанавливает обязанности субъектов КИИ;
- закрепляет требования устойчивости и безопасности объектов;
- определяет взаимодействие с ФСТЭК, ФСБ, ГосСОПКА.
Это фундамент всей системы.
Федеральный закон № 149-ФЗ «Об информации…»
Задает общие принципы защиты информации и режимов её безопасности.
Федеральный закон № 35-ФЗ «О противодействии терроризму»
Применяется к объектам КИИ, так как требует обеспечения антитеррористической защищённости.
Постановление Правительства РФ № 127 (категорирование объектов КИИ)
Определяет:
- порядок выявления объектов КИИ;
- правила категорирования;
- критерии значимости;
- сроки и требования к уведомлению ФСТЭК;
- обязанности по актуализации сведений.
Это главный подзаконный документ, который определяет, кто и как становится значимым объектом.
Приказ ФСТЭК № 235 (требования к системе безопасности ЗОКИИ)
Устанавливает требования:
- к проектированию системы безопасности;
- к структуре защиты;
- к эксплуатации и мониторингу;
- к документации.
Приказ ФСТЭК № 239 (меры по обеспечению безопасности ЗОКИИ)
Определяет конкретные обязательные меры, включая:
- управление доступом;
- контроль целостности;
- сегментацию;
- защиту каналов связи;
- реагирование на инциденты.
Это самый «практический» документ по КИИ.
Постановление Правительства № 1912 (доверенные ПАК)
Регулирует:
- переход на доверенные программно-аппаратные комплексы;
- запреты на иностранные решения;
- требования к ПАК, используемым на значимых объектах КИИ.
Федеральный закон № 58-ФЗ (об импортозамещении на объектах КИИ)
Вводит:
- использование российского ПО на ЗОКИИ;
- подтверждение отсутствия российских аналогов;
- ограничения на иностранные сервисы.
Приказы ФСБ по криптографической защите
Регулируют применение СКЗИ на ЗОКИИ, включая:
- требования к сертифицированным криптосредствам;
- порядок защиты каналов связи.
Документы по ГосСОПКА
Обеспечивают:
- порядок взаимодействия с центрами ГосСОПКА;
- обязанности по уведомлению о компьютерных атаках;
- требования к средствам обнаружения.
Отраслевые документы (Минэнерго, Минтранс, Ростехнадзор и др.)
Устанавливают дополнительные требования для конкретных сфер:
- ТЭК,
- энергетика,
- транспорт,
- водоснабжение,
- промышленность,
- связь.
Если объект КИИ относится к отрасли, эти документы обязательны.
Как это работает на практике
Юридическая база КИИ в России устроена как многоуровневая система:
Уровень 1 — базовые федеральные законы
Определяют принципы, понятия и обязанности.
Уровень 2 — подзаконные акты (ПП № 127, № 1912)
Регламентируют процедуры категорирования и требования к ПАК.
Уровень 3 — ведомственные нормативы (ФСТЭК, ФСБ)
Конкретизируют технические меры безопасности.
Уровень 4 — отраслевые документы
Уточняют требования в конкретных сферах.
Уровень 5 — внутренние документы субъекта КИИ
Которые должны соответствовать всем вышеперечисленным уровням.
Выводы и рекомендации
Правовая основа системы безопасности КИИ складывается из многоуровневого набора требований: базовые рамки задают федеральные законы (включая 187-ФЗ, 149-ФЗ, 35-ФЗ, 58-ФЗ), порядок ключевых процедур закрепляют постановления Правительства (в т.ч. № 127 по категорированию и № 1912 по доверенным ПАК), а прикладные требования по построению системы безопасности и мерам защиты конкретизируются приказами ФСТЭК (№ 235 и № 239) и документами ФСБ по криптографической защите. Дополнительно применяются отраслевые нормы для отдельных сфер (энергетика, транспорт, связь, медицина и др.), а завершающий уровень — внутренняя нормативная база самого субъекта КИИ, которая закрепляет распределение ответственности и практический порядок выполнения требований.
