Кто может осуществлять работы по обеспечению безопасности КИИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

К работам по обеспечению безопасности КИИ могут привлекаться как свои сотрудники, так и внешние подрядчики, но с важной оговоркой:

За выполнение требований 187-ФЗ и ФСТЭК всегда отвечает субъект КИИ, даже если всё “делает интегратор”.

То есть:

проектирование, внедрение и сопровождение защиты КИИ может выполнять сам субъект (ИБ-подразделение, ИТ, служба АСУ ТП);
можно привлекать специализированные организации (интеграторы, разработчики, аудиторы), но все они должны работать по правилам и под контролем субъекта КИИ, а ключевые решения и ответственность — на владельце значимого объекта.

Что говорит законодательство

187-ФЗ

Закон закрепляет обязанность субъекта КИИ обеспечивать безопасность объектов КИИ и значимых объектов, а также исполнять требования уполномоченных органов (ФСТЭК, ФСБ и др.). Делегировать ответственность законом не допускается — субъект отвечает сам.

Приказ ФСТЭК № 239

В Требованиях по обеспечению безопасности значимых объектов КИИ (№ 239) прямо указано, что:

• работы по обеспечению безопасности значимых объектов КИИ выполняются субъектами КИИ и (или) лицами, привлекаемыми субъектами КИИ в соответствии с законодательством РФ (например, по договорам подряда, оказания услуг и т.п.);
• при разработке и реализации мер безопасности субъект КИИ определяет исполнителей (своих и внешних), но обязан обеспечить выполнение всех требований и документальное подтверждение реализованных мер.

Приказ ФСТЭК № 235

Требования к созданию систем безопасности значимых объектов КИИ (№ 235) уточняют:

• должна быть создана система безопасности, включающая силы обеспечения безопасности (уполномоченные работники/подразделения субъекта КИИ, а также иные лица, привлекаемые к работам по безопасности);
• руководитель субъекта КИИ назначает ответственных, определяет подразделения/специалистов по безопасности и организует их взаимодействие с другими службами и подрядчиками.

Отдельных “лицензий по 187-ФЗ” на КИИ-работы сейчас не существует, но могут требоваться лицензии ФСБ/ФСТЭК (например, на деятельность по ТЗИ, разработку/поставку СЗИ, работу с гостайной и т.п.) — это уже другие нормативные контуры.

Как это работает на практике

Обычно складывается такая модель:

1. Внутри субъекта КИИ
   • назначают ответственного за КИИ/ИБ,
   • выделяют ИБ-подразделение/специалиста, ИТ-службу, команду АСУ ТП,
   • формируют комиссию по категорированию, архитекторов безопасности и эксплуатирующий персонал — это “ядро” сил обеспечения безопасности.
2. Внешние исполнители (подрядчики)

Привлекаются для: обследований, категорирования, моделирования угроз, проектирования СЗИ, внедрения и сопровождения, аудита. При этом:

1. • в договора и ТЗ включают требования 187-ФЗ, № 239 и № 235,
   • оговаривают доступ к объектам, режимы, ответственность, конфиденциальность,
   • закрепляют, какие результаты (отчёты, модели, схемы, настройки) подрядчик обязан передать.
2. Распределение ролей

На практике удобно делить:

1. • кто принимает решения и несёт ответственность (руководство и назначенный ответственный за КИИ);
   • кто эксплуатирует и администрирует (внутренние ИТ/АСУ/ИБ);
   • кто проектирует/внедряет/консультирует (интеграторы и внешние эксперты).

Выводы и рекомендации

Работы по обеспечению безопасности КИИ могут выполнять и свои сотрудники, и внешние подрядчики, но в любом случае юридическая ответственность — на субъекте КИИ.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге