Нормативные документы по КИИ: что важно знать

Каждая компания, использующая КИИ, постоянно сталкивается с угрозами кибератак и утечек данных. Ошибки в организации защиты могут обойтись в несколько миллионов рублей и подставить бизнес под штрафы или блокировки. Понимание нормативных документов по КИИ помогает выстроить надежную систему безопасности, избежать юридических проблем и быть уверенным, что ваша критическая инфраструктура соответствует требованиям законодательства.

Федеральные законы

В основной перечень нормативных документов по КИИ входят:

1. ФЗ от 27.07.2017 №187-ФЗ — основной нормативный акт, определяющий понятие КИИ, категории значимости объектов, обязанности их владельцев и меры защиты. Закон закрепляет порядок взаимодействия субъектов КИИ с ФСТЭК и ФСБ и вводит ответственность за нарушение требований безопасности.
2. ФЗ от 27.07.2006 №149-ФЗ — устанавливает базовые принципы информационной безопасности, регулирует обращение с информацией, ее защиту и правовой режим информационных систем.
3. ФЗ от 27.07.2006 №152-ФЗ — применяется при обработке персональных данных на объектах КИИ. Определяет обязанности операторов, требования к защите ПДн и порядок уведомления Роскомнадзора.
4. ФЗ от 26.07.2017 №194-ФЗ — дополняет уголовное законодательство статьями, предусматривающими ответственность за неправомерное воздействие на КИИ.
5. ФЗ от 26.05.2021 №141-ФЗ — вводит административную ответственность за нарушение правил обеспечения безопасности объектов КИИ и непредставление сведений о них в уполномоченные органы.

Постановления Правительства РФ

Помимо Федеральных законов, к нормативным документам по КИИ относятся:

1. Постановление от 08.02.2018 №127 — основной акт, который регулирует процедуру, критерии и сроки категорирования. 
2. Постановление от 24.12.2021 №2431 — дополняет требования по поддержанию актуальности сведений об объектах КИИ и мониторингу изменений в этих сведениях. 
3. Постановление от 19.08.2022 №1463 — закрепляет участие ведомств и организаций (в т.ч. за пределами субъектов КИИ) в контроле и мониторинге достоверности сведений о ЗОКИИ.
4. Постановление от 20.12.2022 №2360 — вводит дополнительный перечень критериев значимости и обновляет приложения к Постановлению № 127, включая типовые отраслевые объекты. 
5. Постановление от 14.11.2023 №1912 — регулирует формы и содержание сведений об объектах КИИ, которые субъекты КИИ обязаны направлять уполномоченным органам.

Указы Президента РФ

1. Указ Президента РФ от 30.03.2022 №166 — нормативный документ по КИИ устанавливает запрет на приобретение иностранного программного обеспечения и ПАК для значимых объектов КИИ с 31 марта 2022 года и полный запрет на их использование с 1 января 2025 года.
2. Указ Президента РФ от 01.05.2022 №250 — вводит требования к прекращению использования средств защиты информации, произведенных в недружественных странах, на значимых объектах КИИ.
3. Указ Президента РФ от 07.04.2025 №166 — вносит изменения в предыдущий указ, уточняя сроки и условия запрета на использование иностранного ПО на значимых объектах КИИ.

Приказы ФСТЭК России

1. Приказ ФСТЭК от 21.12.2017 № 235. Устанавливает обязательные требования к созданию и поддержанию системы безопасности на ЗОКИИ, включая организационные, технические и физические меры защиты.
2. Приказ ФСТЭК России от 11.04.2025 №117. Определяет требования к защите информации в ГИС, информационных системах госорганов, ГУП и иных госучреждений. Действует с 01.03.2026 года вместо приказа ФСТЭК России от 11 февраля 2013 г. №17, который утратил силу. 
3. Приказ ФСТЭК от 30.06.2022 № 155. Регламентирует процесс оценки соответствия средств защиты информации, используемых на объектах КИИ, требованиям безопасности информации, относящейся к государственной тайне.
4. Приказ ФСТЭК от 19.12.2023 № 275. Устанавливает порядок проведения аттестации объектов КИИ, включая процедуры оценки защищенности и соответствия установленным требованиям безопасности.
5. Приказ ФСТЭК от 15.03.2024 № 110. Вносит изменения в ранее утвержденные требования по созданию и функционированию системы обеспечения безопасности значимого объекта КИИ, уточняя отдельные положения и добавляя новые требования в соответствии с изменениями законодательства.

Приказы ФСБ

1. Приказ ФСБ России от 24.07.2018 № 366. Утверждает создание НКЦКИ, определяет его функции и полномочия. 
2. Приказ ФСБ России от 24.07.2018 № 367. Устанавливает перечень информации, подлежащей представлению субъектами КИИ в ГосСОПКА, а также порядок ее представления. 
3. Приказ ФСБ России от 24.07.2018 № 368. Регламентирует порядок обмена информацией между субъектами КИИ об инцидентах, а также между субъектами КИИ и уполномоченными органами иностранных государств и международными организациями.
4. Приказ ФСБ России от 06.05.2019 №196. Устанавливает требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий атак, а также для реагирования на инциденты.
5. Приказ ФСБ России от 19.06.2019 №281. Определяет порядок, технические условия установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий атак.
6. Приказ ФСБ России от 19.06.2019 №282. Устанавливает порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них и принятия мер по ликвидации последствий атак на значимых объектах КИИ. 

Приказы Минцифры

Приказ Минцифры от 17 марта 2020 года №114 — действующий нормативный документ по КИИ, регулирующий вопросы обеспечения безопасности КИИ. 

Он утверждает:

1. Порядок установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ.
2. Технические условия установки и эксплуатации указанных средств.

Данный приказ регулирует взаимодействие между ГосСОПКА и органами, осуществляющими функции по реализации государственной политики и нормативному правовому регулированию в области связи, и операторами связи. Он также устанавливает требования к установке, эксплуатации и техническому обслуживанию средств поиска признаков компьютерных атак в сетях электросвязи.

Заключение 

Основной перечень нормативных документов по КИИ показывает, что обеспечение безопасности регулируется комплексно и многослойно. Федеральные законы, Постановления правительства, Указы Президента и Приказы профильных органов — ФСТЭК, ФСБ, Минцифры — создают систему требований к защите, мониторингу и реагированию на инциденты. Владельцам объектов КИИ важно следовать этому перечню, чтобы снизить риски и соответствовать актуальному законодательству.