Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

ФСТЭК получает сведения о значимых объектах КИИ не сама “из воздуха”, а только от субъектов КИИ. Порядок строго формализован: организация выявляет свои объекты КИИ → проводит категорирование → заполняет сведения по форме → направляет их в ФСТЭК установленным способом.

То есть ФСТЭК не “ищет” объекты КИИ — субъект КИИ сам обязан передать данные. Регулятор лишь принимает, учитывает, проверяет и при необходимости требует уточнений.

Что говорит законодательство

187-ФЗ «О безопасности критической информационной инфраструктуры»

Закон устанавливает обязанность субъекта КИИ:

• выявлять объекты КИИ,
• проводить их категорирование,
• направлять сведения о значимых объектах в уполномоченный орган (ФСТЭК России).

Постановление Правительства РФ № 127 от 08.02.2018

Документ подробно регулирует:

• порядок категорирования;
• форму представления сведений о значимых объектах;
• сроки передачи данных;
• порядок устранения замечаний ФСТЭК.

Согласно Правилам:

1. Субъект КИИ направляет в территориальный орган ФСТЭК пакет документов:
   • уведомление о присвоении категории,
   • материалы категорирования,
   • заполненную форму сведений о значимом объекте.
2. ФСТЭК регистрирует и учитывает полученные сведения.
3. Если ФСТЭК выявляет нарушения (неполные данные, ошибки, несоответствие методике), субъект КИИ обязан в течение 10 дней направить исправленные сведения.

Как это работает на практике

На практике процесс выглядит так:

1. Организация готовит документы

Комиссия по категорированию оформляет:

• акт категорирования,
• обоснования,
• заполненную форму сведений о значимом объекте,
• сопутствующие документы (структура объекта, описание процессов и т.д.).

2. Сведения направляются в ФСТЭК

Способы передачи:

• через территориальное управление ФСТЭК по региону;
• на бумаге с подписью руководителя;
• или в электронном виде, если предусмотрено ведомственными правилами;
• при наличии гостайны — по каналам особой связи.

3. ФСТЭК проверяет корректность сведений

Регулятор анализирует:

• корректно ли применены показатели критериев;
• соответствует ли категория значимости последствиям;
• нет ли ошибок в форме и исходных данных.

При нарушениях ФСТЭК направляет субъекту требование устранить замечания → субъект исправляет → повторно передает документы.

4. ФСТЭК включает сведения в государственный учёт

После проверки данные заносятся в федеральный реестр значимых объектов КИИ (внутренний, не публичный).

Выводы и рекомендации

ФСТЭК получает сведения о значимых объектах только от субъектов КИИ, в порядке, установленном Постановлением № 127.

Чтобы избежать проблем:

• готовьте пакет документов аккуратно, особенно показатели значимости;
• проверяйте форму сведений по чек-листу (часто ошибаются в структуре объекта, процессах, основаниях значения показателей);
• сохраняйте подтверждающие материалы на случай проверки;
• при получении замечаний ФСТЭК — исправляйте в течение 10 дней, это обязательный срок.

Что означает обязанность по обеспечению антитеррористической защищённости КИИ?

Обязанность по обеспечению антитеррористической защищённости КИИ означает, что субъект КИИ должен защитить свои объекты не только от кибератак, но и от террористических угроз физического характера, которые могут привести к сбою, разрушению или захвату критически важной инфраструктуры.

Если кратко и по-простому:

Организация обязана не допустить, чтобы террористические действия вывели из строя объект КИИ или нанесли ущерб жизни людей, экономике, безопасности страны.

То есть речь идёт не про “охрану здания” как таковую, а про комплекс мер, который препятствует:

• проникновению злоумышленников на объект;
• саботажу, подрыву, поджогу;
• повреждению оборудования, серверных, узлов связи;
• использованию объекта КИИ для теракта (например, АСУ ТП как средство воздействия).

Что говорит законодательство

Обязанности по антитеррористической защищённости складываются из нескольких нормативных блоков.

Федеральный закон 187-ФЗ

Прямо указывает, что субъект КИИ обязан обеспечивать устойчивость функционирования объектов КИИ, включая предотвращение и минимизацию последствий любых угроз нарушению их работы. Для значимых объектов КИИ это включает:

• недопущение нарушений функционирования вследствие внешних воздействий, в том числе террористических;
• выполнение требований смежных отраслевых НПА по антитеррору.

Федеральный закон 35-ФЗ «О противодействии терроризму»

Закон устанавливает обязанности владельцев и эксплуатирующих организаций по обеспечению антитеррористической защищённости объектов, имеющих потенциальную привлекательность для террористов, включая:

• разработку и реализацию мер по защите объекта;
• организацию контрольно-пропускного режима;
• применение инженерно-технических средств охраны;
• обучение персонала действиям при угрозе теракта.

Постановления Правительства по антитеррору в отрасли

В зависимости от сферы (энергетика, транспорт, связь, ЖКХ и др.) существуют специальные правила, например:

• ПП РФ № 458 — для объектов ТЭК;
• ПП РФ № 969 — для транспортной безопасности;
• ПП РФ № 2020 — для объектов водоснабжения/водоотведения;
• ПП РФ по связи — для операторов связи.

Если объект КИИ относится к одной из этих отраслей, он автоматически подпадает под дополнительные требования по антитеррору.

Требования ФСТЭК по безопасности ЗОКИИ (приказы № 235 и № 239)

ФСТЭК прямо указывает, что система безопасности значимого объекта должна учитывать все виды угроз, влияющих на устойчивое функционирование, включая физические и террористические.

Это означает, что при проектировании системы защиты учитываются:

• физическая охрана;
• доступ к серверным/щитовым/узлам сети;
• инженерно-технические барьеры;
• система реагирования на чрезвычайные ситуации.

Как это работает на практике

1. Анализ угроз и уязвимостей

Организация должна определить:

• какие террористические угрозы возможны (подрыв, поджог, проникновение на объект, захват персонала, манипуляция оборудованием);
• какие уязвимые места есть у её площадок и систем (серверные, диспетчерские, узлы управления, каналы связи).

2. Разработка антитеррористической документации

Формируются:

• Паспорт антитеррористической защищённости объекта;
• План обеспечения антитеррористической защищённости;
• Инструкции по КПП, внутреннему режиму, реагированию;
• План действий при угрозе теракта.

3. Инженерно-технические меры

Обычно включают:

• системы контроля доступа, видеонаблюдение, сигнализацию;
• укрепление помещений (серверные, пункты управления);
• ограждения, барьеры, системы обнаружения проникновения;
• резервирование критического оборудования.

4. Организационные меры

• назначение ответственного за антитеррористическую защищённость;
• взаимодействие с Росгвардией, МЧС, ФСБ;
• регулярные тренировки персонала и инструктажи;
• ограничение доступа подрядчиков и проверка их допусков.

5. Включение антитеррора в систему безопасности ЗОКИИ

Приказы ФСТЭК требуют, чтобы все меры были отражены:

• в модели угроз;
• в проекте системы безопасности;
• в регламентах эксплуатации.

Это значит, что антитеррор — не “отдельная тема”, а часть полной системы обеспечения устойчивости значимого объекта КИИ.

Выводы и рекомендации

Обязанность по антитеррористической защищённости КИИ означает, что субъект КИИ должен:

1. Предотвращать террористические угрозы, которые могут нарушить работу значимого объекта.
2. Выполнять Федеральный закон 35-ФЗ и отраслевые Постановления Правительства по антитеррору.
3. Интегрировать антитеррористические меры в систему безопасности КИИ, включая моделирование угроз и проектирование ЗОКИИ.
4. Обеспечивать физическую защиту объектов, режим, наблюдение, инженерную защиту и обучение персонала.
5. Обеспечить взаимодействие с силами правопорядка и готовность к реагированию на любую угрозу.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге