А если у вас есть значимые объекты КИИ (то есть объекту присвоена категория и он в реестре), то добавляется главное: построить и поддерживать систему безопасности, выполнять требования регулятора и обеспечивать устойчивую работу объекта даже при атаках.
Что говорит законодательство
В 187-ФЗ обязанности распределены по нескольким статьям – часть обязанностей относится ко всем субъектам КИИ, часть – только к владельцам значимых объектов.
Обязанности всех субъектов КИИ (ст. 9, ч. 2)
Субъекты КИИ обязаны:
- незамедлительно информировать уполномоченный орган по функционированию госcистемы обнаружения/предупреждения/ликвидации последствий компьютерных атак (ГосСОПКА) о компьютерных атаках и инцидентах, а для банков/финрынка – также информировать Банк России (в установленном порядке);
- содействовать должностным лицам уполномоченного органа по ГосСОПКА при обнаружении/предупреждении/ликвидации последствий атак и установлении причин инцидентов;
- при установке средств обнаружения/реагирования – соблюдать порядок и техусловия установки/эксплуатации и обеспечивать сохранность этих средств.
Обязанности по категорированию объектов КИИ (ст. 7)
Субъекты КИИ:
- присваивают категории значимости своим объектам КИИ по установленным критериям/порядку;
- направляют сведения о результатах (категория или отсутствие необходимости категории) в уполномоченный орган по форме и в срок (в законе – 10 дней с даты решения).
Дополнительные обязанности владельцев значимых объектов КИИ (ст. 9, ч. 3)
Если объект стал значимым, субъект КИИ дополнительно обязан:
- соблюдать требования по обеспечению безопасности значимых объектов;
- исполнять предписания регулятора об устранении нарушений;
- реагировать на инциденты и принимать меры по ликвидации последствий атак в установленном порядке;
- обеспечивать доступ должностным лицам уполномоченного органа к значимым объектам при осуществлении контроля;
- выполнять новые обязанности (введённые изменениями 2025 года), включая использование определённого ПО (в т.ч. из реестра российского ПО) и соблюдение требований к программно-аппаратным средствам, а также непрерывное взаимодействие с госcистемой обнаружения/реагирования в установленном порядке.
Система безопасности значимого объекта (ст. 10)
Для значимого объекта субъект КИИ обязан создать систему безопасности и обеспечить её функционирование; среди задач прямо указаны предотвращение неправомерного доступа, недопущение воздействия на техсредства, восстановление работы (в т.ч. за счёт резервного копирования) и непрерывное взаимодействие с госcистемой обнаружения/реагирования.
А детальные требования к защите значимых объектов устанавливаются подзаконными актами уполномоченного органа, в частности – приказом ФСТЭК № 239 (требования по обеспечению безопасности значимых объектов КИИ).
Как это работает на практике
Если перевести закон на «язык задач», то у субъекта КИИ обычно получается такой набор обязательств:
- Организовать обнаружение и учёт инцидентов: чтобы атаки/инциденты фиксировались и по ним можно было оперативно сообщать в установленном порядке.
- Наладить взаимодействие с госcистемой реагирования (ГосСОПКА): не «по ситуации», а как процесс (каналы связи, регламент, ответственные).
- Понять, какие системы у вас – объекты КИИ, и провести категорирование: это ключевой юридический рубеж, после которого становится понятно, есть ли значимые объекты и какие требования применяются.
- Если объект стал значимым – выстроить систему безопасности и выполнять требования регулятора (в т.ч. по ФСТЭК №239), быть готовыми к контролю и предписаниям.
Выводы и рекомендации
Субъект КИИ по 187-ФЗ обязан минимум: сообщать о компьютерных атаках/инцидентах, содействовать реагированию и соблюдать правила эксплуатации средств обнаружения/реагирования, а также категорировать объекты КИИ и направлять результаты в уполномоченный орган.
Если у субъекта есть значимые объекты, обязанности расширяются: нужно соблюдать требования безопасности (в т.ч. по актам ФСТЭК), создавать и поддерживать систему безопасности, реагировать на инциденты, выполнять предписания и обеспечивать доступ при госконтроле, а также выполнять дополнительные требования, введённые изменениями 2025 года (ПО/программно-аппаратные средства/непрерывное взаимодействие).
Разделяйте у себя обязанности на два контура – (а) “все субъекты КИИ” и (б) “только значимые объекты”. Так проще не пропустить обязательства и не перегрузить требованиями те системы, которые не относятся к значимым.
