- Для всех субъектов КИИ обязательный старт – провести категорирование своих объектов КИИ (ИС/ИТКС/АСУ) и оформить результат.
- Если объект признан значимым (категория 1/2/3) – тогда уже включается “жёсткий режим”: нужно создать систему безопасности значимого объекта и выполнить обязательные требования ФСТЭК (они зависят от категории значимости).
- Параллельно для значимых объектов действуют требования по реагированию и уведомлениям об инцидентах по линии ФСБ/ГосСОПКА (НКЦКИ).
Что говорит законодательство
2.1. Базовое: категорирование
Категорирование объектов КИИ проводится субъектом КИИ по правилам, утверждённым Правительством РФ (ПП №127). Эти правила задают порядок: определить критические процессы, оценить последствия по показателям значимости и присвоить категорию либо обосновать отсутствие необходимости присвоения.
2.2. Если объект значимый: система безопасности и “обязательные” требования
- Ст. 10 187-ФЗ: субъект КИИ создаёт систему безопасности значимого объекта и обеспечивает её функционирование в соответствии с требованиями уполномоченного органа (ФСТЭК).
- Ст. 11 187-ФЗ: требования по обеспечению безопасности значимых объектов дифференцируются по категориям значимости и задаются уполномоченным органом.
На практике эти нормы “раскрываются” в ключевых приказах ФСТЭК:
- ФСТЭК №235 – требования к созданию системы безопасности значимых объектов и обеспечению её функционирования.
- ФСТЭК №239 – требования по обеспечению безопасности значимых объектов (набор мер/требований и их применение в зависимости от категории значимости).
2.3. Инциденты и обмен с ГосСОПКА (линия ФСБ)
- Приказ ФСБ №282 – порядок информирования ФСБ о компьютерных инцидентах и реагирования по значимым объектам КИИ.
- Приказ ФСБ №367 – перечень информации и порядок представления сведений в ГосСОПКА/НКЦКИ.
Как это работает на практике
3.1. Что реально требуют “по защите” (если объект значимый)
В проектах по ЗО КИИ требования обычно укладываются в понятную логику:
- Определить границы значимого объекта (что именно входит в ИС/АСУ/сеть объекта, какие компоненты критичны).
- Построить систему безопасности: роли/ответственные, процессы, регламенты, контроль, эксплуатация – это зона требований №235.
- Реализовать меры защиты по №239 (состав и “жёсткость” зависят от категории 1/2/3). Почти всегда это включает:
- идентификацию и аутентификацию,
- управление доступом и привилегиями,
- регистрацию/аудит событий,
- антивирус/защиту от вредоносного кода,
- сетевую защиту и противодействие атакам,
- обеспечение целостности и контролируемых изменений,
- резервирование/восстановление и доступность,
- управление обновлениями и конфигурациями,
- реагирование на инциденты.
- Настроить инциденты и уведомления (кто фиксирует, кто реагирует, какие сроки и каналы уведомления) – чтобы выполнить №282/№367.
3.2. А если объект КИИ “не значимый”?
Тогда приказы ФСТЭК №235/№239 именно для значимых объектов формально не применяются, но:
- категорирование и оформление результата всё равно обязательны;
- защита строится по общим требованиям ИБ и отраслевым нормам (если они есть), а “лучшей практикой” остаётся ориентироваться на подходы №235/№239 как на понятный эталон – просто без обязательной “категорийной матрицы”.
Выводы и рекомендации
Универсальный ответ на вопрос “какие требования к защите?” такой:
- обязательное категорирование для объектов КИИ (ПП №127);
- обязательная система безопасности и меры ФСТЭК – только если объект значимый (187-ФЗ ст. 10–11 + приказы ФСТЭК №235 и №239).
- обязательные процедуры по инцидентам/обмену для значимых объектов – по линии ФСБ (№282, №367).
