вопрос про ФЗ 187

LayLa

Участник
Здравствуйте, у меня вопрос по ФЗ 187. К нам пришел запрос ФСТЭК «О реализации требований Федерального закона № 187-ФЗ». Как понять есть ли у тебя объекты критической информационной инфраструктуры или нет ?

С утверждением ФЗ «О безопасности КИИ» в УК РФ была добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет. Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает по состав 293 статьи УК РФ «Халатность». Дополнительно следует ожидать внесения изменений в административное законодательство в части определения штрафных санкций для юридических лиц за неисполнение Закона.
 
Ключевыми критериями для экспертизы являются следующие нормативно-правовые акты:
• Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и проекты подзаконных актов;
• ПП Российской Федерации от 08.02.2018 г. № 127 «Об утверждении показателей критериев значимости ОКИИ РФ и их значений, а также порядка и сроков осуществления их категорирования»;
• Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»;
• Приказ ФСТЭК России от 22.12.2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»;
• Приказ ФСТЭК России от 25.12.2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
 
насколько мне известно - все проще когда их нет. А если есть то там целая вереница действий
1589793259782.png
 
вот как раз как отличить есть они или нет? Чем это определяется ?:unsure:
 
Там не все так просто как кажется на первый взгляд.
Если кратко то очередность ваших действий приблизительно такая:
  1. Создаете комиссию на основании приказа
  2. Комиссия проводит категорирование объектов, делает протокол
  3. Составляете письмо в ФСТЭК на их запрос, письмо с вложением, где выписка из протокола.
Письмо должно быть на официальном бланке с описью. Сдается в их (ФСТЭКа) службу приемки корреспонденции, адрес и время работы на их сайте.
 
Спасибо за ответы, если возникнут вопросы буду еще задавать по теме. Прошу пока тему не закрывать🤩
 
Подскажите а кто должен входить в комиссию по определению объектов критической информационной инфраструктуры?
 
Подскажите а кто должен входить в комиссию по определению объектов критической информационной инфраструктуры?
Советую поискать вам этот документ

Положение о комиссии по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры

1. Общие положения

1.1. Положение о комиссии по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры (далее - Положение) определяет порядок формирования состава комиссии по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры (далее - Комиссия). задачи Комиссии, порядок подготовки документов и порядок организации деятельности Комиссии.

1.2. Комиссия создается принятия решений НАЗВАНИЕ ОРГАНИЗАЦИИ (далее — Организация) об отнесении информационных систем информационно-телекоммуникационных сетей. автоматизированных систем управления. принадлежащих на праве собственности, аренды или на ином законном основании Организации (далее — объекты Организации) к объектам критической информационной инфраструктуры. включению объектов критической информационной инфраструктуры в {Перечень объектов критической информационной инфраструктуры Организации (далее — Перечень объектов). с последующим установлением одной из категорий значимости объектов критической информационной инфраструктуры. либо решений об отсутствии оснований для их отнесения к объектам критической информационной инфраструктуры в соответствии с требованиями Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

1.3. Состав комиссии утверждается приказом по Организации.

1.4. В состав Комиссии входят:
- председатель Комиссии;
- постоянные члены Комиссии;
- секретарь Комиссии.

К работе Комиссии могут привлекаться эксперты, специалисты в областях, связанных с защитой информации (без права голоса).
1.5. Комиссия принимает решение об отнесении объектов Организации к объектам критической информационной инфраструктуры и включению
их в Перечень объектов с последующим установлением одной из категорий значимости объектов критической информационной инфраструктуры.
 
Кто знает - кем определяется состав комиссии по категорированию объектов критической информационной инфраструктуры? Это ФЗ определяется или чем то еще ?
 
Категорирование объектов КИИ

Согласно внутреннему подходу, работы по категорированию объектов критической информационной инфраструктуры (далее — КИИ/критическая информационная инфраструктура) включают в себя 8 этапов.
Последовательность выполнения этапов и описание этапов работ:
Этап 1. Создание комиссии по категорированию объектов КИИ
На данном этапе готовится Приказ о создании комиссии по категорированию КИИ.
В состав комиссии необходимо включить:
• генерального директора или уполномоченное им лицо;
• специалистов производства;
• специалистов промышленной безопасности;
• специалистов отдела АСУ ТП;
• специалистов отдела информационных технологий;
• ответственных за обеспечения безопасности в АСУ ТП;
• работников подразделения по защите государственной тайны;
• специалистов по промышленной безопасности, по гражданской обороне и защите от чрезвычайных ситуаций.
В состав комиссии могут включаться представители отраслевого регулятора.
Пример приказа О создании комиссии (наименование организации, учреждения) по категорированию объектов КИИ

Основание проведения работ: ПП РФ №127, п. 11-13.

Этап 2. Составление перечня объектов КИИ
На данном этапе необходимо разработать:
• Протокол заседания комиссии;
• Перечень объектов КИИ (приложение к протоколу).
Для разработки документов необходимо осуществить:
а) определение процессов, в рамках осуществления видов деятельности субъекта КИИ;
б) выявление процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее — критические процессы);
в) определение ИС (объектов КИИ), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
г) формирование перечня объектов КИИ, подлежащих категорированию (далее — перечень объектов)
Основание проведения работ: ПП РФ №127, п. 14.
ФСТЭК России опубликовала информационное сообщение от 24 августа 2018 г. N 240/25/3752, в котором содержится рекомендуемая форма перечня объектов КИИ, подлежащих категорированию.
Перечень объектов КИИ оформляется в виде таблицы следующего содержания:

Перечень утверждается руководителем субъекта КИИ или уполномоченным лицом. Обязательно указывается дата утверждения

Этап 3. Согласование перечня объектов КИИ

На данном этапе Перечень объектов КИИ согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.).
Результатом данного этапа является: Согласованный Перечень объектов КИИ.
Основание проведения работ: ПП РФ №127, п. 15.
Этап 4. Отправка перечня объектов во ФСТЭК
На данном этапе готовится уведомление во ФСТЭК.
Основание проведения работ: ПП РФ №127, п. 15.
Этап 5. Сбор исходных данных для категорирования объектов КИИ
На данном этапе проводится обследование потенциальных объектов КИИ и готовится Отчет об обследовании.
Полученные данные являются исходными данными, для категорирования объектов КИИ. Отчет об обследовании включает в себя:
а) сведения об объекте КИИ (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);
б) описание процессов, автоматизируемых с помощью объекта КИИ;
в) состав информации, обрабатываемой объектами КИИ, сервисы по управлению, контролю или мониторингу, предоставляемые объектами КИИ;
г) декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта предусмотрена законодательством Российской Федерации);
д) сведения о взаимодействии объекта КИИ с другими объектами КИИ и (или) о зависимости функционирования объекта КИИ от других таких объектов.
Основание проведения работ: ПП РФ №127, п.16.

Этап 6. Анализ угроз безопасности
В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru).
Анализ угроз включает:
а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
б) анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств;
в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации.
В качестве результата работ по этапу разрабатывается Модель угроз безопасности.
Основание проведения работ: Приказ ФСТЭК № 239, п. 11.1.

Этап 7. Категорирование объектов КИИ
Решение комиссии по категорированию оформляется актом, который подписывается членами комиссии по категорированию и утверждается генеральным директором. Акт составляется по утвержденной ФСТЭК форме направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из такой категории.
Результатом работ по данному этапу является:
• Акты категорирования объектов КИИ.
Основание проведения работ: ПП РФ №127, п.16.

Этап 8. Отправка сведений о категорировании во ФСТЭК
Сведения о результатах присвоения объекту категории КИИ либо об отсутствии необходимости присвоения ему одной из таких категорий направляются во ФСТЭК России по утвержденной ФСТЭК России форме.
Основание проведения работ: ФЗ №187, ст. 7, п. 5; ПП РФ № 127, п. 17-18.
После проверки сведений о результатах присвоения категорий значимости, ФСТЭК России уведомляет субъекта КИИ о внесении его объектов в Реестр КИИ.
Работы, после получения уведомления о внесении объектов в Реестр КИИ, включают в себя следующие этапы:
• Формирование требований к обеспечению безопасности значимого объекта;
• Уточнение модели угроз безопасности информации;
• Разработка рекомендаций по нейтрализации отдельных угроз;
• Проектирование СОИБ АСУ ТП;
• Разработка рабочей (эксплуатационной) документации;
• Установка и настройка СЗИ;
• Разработка организационно-распорядительных документов по обеспечению безопасности АСУ ТП;
• Предварительные испытания СОИБ АСУ ТП;
• Опытная эксплуатация СОИБ АСУ ТП;
• Анализ уязвимостей и принятие мер по их устранению;
• Приемочные испытания СОИБ АСУ ТП;
• Пересмотр установленной категории значимости АСУ ТП.
Дополнительный этап. Независимая экспертиза работ по КИИ
Дополнительным этапом проведенных работ по защите критической информационной инфраструктуры является проведение независимой экспертизы. Экспертиза проводится в соответствии с требованиями 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации».
Цели и задачи экспертизы:
• Установление факта, что работы произведены в соответствии с действующим законодательством, подзаконными актами и требованиями регуляторов;
• Выявление ошибок при проведении работ, либо установление, что ошибок не было;
• Установление технической реализуемости проекта;
• Подтверждение факта корректного подбора и внедрения технических средств и организационных мер;
• Подтверждение функционирования СОИБ АСУ ТП.
В группу экспертиза по КИИ входят:
• Экспертиза проектной документации по защите КИИ;
• Экспертиза качества проведенных работ по защите КИИ;
• Экспертиза соответствия результата выполненных работ требованиям договора и технического задания.
Ключевыми критериями для экспертизы являются следующие нормативно-правовые акты:
• Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и проекты подзаконных актов;
• ПП Российской Федерации от 08.02.2018 г. № 127 «Об утверждении показателей критериев значимости ОКИИ РФ и их значений, а также порядка и сроков осуществления их категорирования»;
• Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»;
• Приказ ФСТЭК России от 22.12.2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»;
• Приказ ФСТЭК России от 25.12.2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
В зависимости от целей и задач, а также поставленных вопросов, критерии могут быть иными.
В ходе проведения экспертизы готовится мотивированное экспертное заключение с ответами на вопросы, поставленные перед экспертами. Вопросы определяются в зависимости от целей и задач конкретной экспертизы.
Заключение может использоваться:
• На этапе приемки результата выполненных подрядчиком работ;
• В качестве обоснования корректности проведенных подрядчиком работ;
• В качестве подтверждения корректности выполненных работ для регулятора;
• При принятии решения об отправке сведений во ФСТЭК России.
Независимая экспертиза является желательным элементом, позволяющим не допустить негативных последствий как для непосредственных Исполнителей, так и для Заказчиков.
 
не помню откуда у меня это, но может кому то пригодится
 
Категорирование объектов КИИ

Согласно внутреннему подходу, работы по категорированию объектов критической информационной инфраструктуры (далее — КИИ/критическая информационная инфраструктура) включают в себя 8 этапов.
Последовательность выполнения этапов и описание этапов работ:
Этап 1. Создание комиссии по категорированию объектов КИИ
На данном этапе готовится Приказ о создании комиссии по категорированию КИИ.
В состав комиссии необходимо включить:
• генерального директора или уполномоченное им лицо;
• специалистов производства;
• специалистов промышленной безопасности;
• специалистов отдела АСУ ТП;
• специалистов отдела информационных технологий;
• ответственных за обеспечения безопасности в АСУ ТП;
• работников подразделения по защите государственной тайны;
• специалистов по промышленной безопасности, по гражданской обороне и защите от чрезвычайных ситуаций.
В состав комиссии могут включаться представители отраслевого регулятора.
Пример приказа О создании комиссии (наименование организации, учреждения) по категорированию объектов КИИ

Основание проведения работ: ПП РФ №127, п. 11-13.

Этап 2. Составление перечня объектов КИИ
На данном этапе необходимо разработать:
• Протокол заседания комиссии;
• Перечень объектов КИИ (приложение к протоколу).
Для разработки документов необходимо осуществить:
а) определение процессов, в рамках осуществления видов деятельности субъекта КИИ;
б) выявление процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее — критические процессы);
в) определение ИС (объектов КИИ), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
г) формирование перечня объектов КИИ, подлежащих категорированию (далее — перечень объектов)
Основание проведения работ: ПП РФ №127, п. 14.
ФСТЭК России опубликовала информационное сообщение от 24 августа 2018 г. N 240/25/3752, в котором содержится рекомендуемая форма перечня объектов КИИ, подлежащих категорированию.
Перечень объектов КИИ оформляется в виде таблицы следующего содержания:

Перечень утверждается руководителем субъекта КИИ или уполномоченным лицом. Обязательно указывается дата утверждения

Этап 3. Согласование перечня объектов КИИ

На данном этапе Перечень объектов КИИ согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.).
Результатом данного этапа является: Согласованный Перечень объектов КИИ.
Основание проведения работ: ПП РФ №127, п. 15.
Этап 4. Отправка перечня объектов во ФСТЭК
На данном этапе готовится уведомление во ФСТЭК.
Основание проведения работ: ПП РФ №127, п. 15.
Этап 5. Сбор исходных данных для категорирования объектов КИИ
На данном этапе проводится обследование потенциальных объектов КИИ и готовится Отчет об обследовании.
Полученные данные являются исходными данными, для категорирования объектов КИИ. Отчет об обследовании включает в себя:
а) сведения об объекте КИИ (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);
б) описание процессов, автоматизируемых с помощью объекта КИИ;
в) состав информации, обрабатываемой объектами КИИ, сервисы по управлению, контролю или мониторингу, предоставляемые объектами КИИ;
г) декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта предусмотрена законодательством Российской Федерации);
д) сведения о взаимодействии объекта КИИ с другими объектами КИИ и (или) о зависимости функционирования объекта КИИ от других таких объектов.
Основание проведения работ: ПП РФ №127, п.16.

Этап 6. Анализ угроз безопасности
В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru).
Анализ угроз включает:
а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
б) анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств;
в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации.
В качестве результата работ по этапу разрабатывается Модель угроз безопасности.
Основание проведения работ: Приказ ФСТЭК № 239, п. 11.1.

Этап 7. Категорирование объектов КИИ
Решение комиссии по категорированию оформляется актом, который подписывается членами комиссии по категорированию и утверждается генеральным директором. Акт составляется по утвержденной ФСТЭК форме направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из такой категории.
Результатом работ по данному этапу является:
• Акты категорирования объектов КИИ.
Основание проведения работ: ПП РФ №127, п.16.

Этап 8. Отправка сведений о категорировании во ФСТЭК
Сведения о результатах присвоения объекту категории КИИ либо об отсутствии необходимости присвоения ему одной из таких категорий направляются во ФСТЭК России по утвержденной ФСТЭК России форме.
Основание проведения работ: ФЗ №187, ст. 7, п. 5; ПП РФ № 127, п. 17-18.
После проверки сведений о результатах присвоения категорий значимости, ФСТЭК России уведомляет субъекта КИИ о внесении его объектов в Реестр КИИ.
Работы, после получения уведомления о внесении объектов в Реестр КИИ, включают в себя следующие этапы:
• Формирование требований к обеспечению безопасности значимого объекта;
• Уточнение модели угроз безопасности информации;
• Разработка рекомендаций по нейтрализации отдельных угроз;
• Проектирование СОИБ АСУ ТП;
• Разработка рабочей (эксплуатационной) документации;
• Установка и настройка СЗИ;
• Разработка организационно-распорядительных документов по обеспечению безопасности АСУ ТП;
• Предварительные испытания СОИБ АСУ ТП;
• Опытная эксплуатация СОИБ АСУ ТП;
• Анализ уязвимостей и принятие мер по их устранению;
• Приемочные испытания СОИБ АСУ ТП;
• Пересмотр установленной категории значимости АСУ ТП.
Дополнительный этап. Независимая экспертиза работ по КИИ
Дополнительным этапом проведенных работ по защите критической информационной инфраструктуры является проведение независимой экспертизы. Экспертиза проводится в соответствии с требованиями 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации».
Цели и задачи экспертизы:
• Установление факта, что работы произведены в соответствии с действующим законодательством, подзаконными актами и требованиями регуляторов;
• Выявление ошибок при проведении работ, либо установление, что ошибок не было;
• Установление технической реализуемости проекта;
• Подтверждение факта корректного подбора и внедрения технических средств и организационных мер;
• Подтверждение функционирования СОИБ АСУ ТП.
В группу экспертиза по КИИ входят:
• Экспертиза проектной документации по защите КИИ;
• Экспертиза качества проведенных работ по защите КИИ;
• Экспертиза соответствия результата выполненных работ требованиям договора и технического задания.
Ключевыми критериями для экспертизы являются следующие нормативно-правовые акты:
• Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и проекты подзаконных актов;
• ПП Российской Федерации от 08.02.2018 г. № 127 «Об утверждении показателей критериев значимости ОКИИ РФ и их значений, а также порядка и сроков осуществления их категорирования»;
• Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»;
• Приказ ФСТЭК России от 22.12.2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»;
• Приказ ФСТЭК России от 25.12.2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
В зависимости от целей и задач, а также поставленных вопросов, критерии могут быть иными.
В ходе проведения экспертизы готовится мотивированное экспертное заключение с ответами на вопросы, поставленные перед экспертами. Вопросы определяются в зависимости от целей и задач конкретной экспертизы.
Заключение может использоваться:
• На этапе приемки результата выполненных подрядчиком работ;
• В качестве обоснования корректности проведенных подрядчиком работ;
• В качестве подтверждения корректности выполненных работ для регулятора;
• При принятии решения об отправке сведений во ФСТЭК России.
Независимая экспертиза является желательным элементом, позволяющим не допустить негативных последствий как для непосредственных Исполнителей, так и для Заказчиков.
Спасибо. Это очень помогло!
Еще пригодилось Постановление 127
 
Последнее редактирование модератором:
Добрый вечер! Наша организация относится к ОПК, но мы ООО и работаем как подрядчики. Станки ЧПУ, работающие в сети электросвязи, хотим подать в ФСТЭК как КИИ без категории. Подскажите: какие средства технической защиты необходимо применять? Требуется ли установка оборудования сертифицированного ФСТЭК? Если требуется - то на какой нормативный акт этот момент освещает?
 
Назад
Верх