Пакет документов для значимого объекта КИИ: что проверяет ФСТЭК
Полный перечень документов для значимого объекта критической информационной инфраструктуры (К1-К3), когда объект не является одновременно ИСПДн или ГИС. Правовая рамка (187-ФЗ, ПП-127, приказы ФСТЭК №235 и №239), порядок проверки ФСТЭК по ПП-162 и что именно смотрит регулятор, пять блоков обязательных документов, чего в пакете быть не должно и ответственность за нарушения.
Когда объект отнесён к первой, второй или третьей категории значимости, у субъекта КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. появляется полноценный комплект организационно-распорядительной и проектной документации. Разберём его состав для случая, когда объект — только значимый объект КИИ и не является одновременно государственной информационной системой (ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК.) или информационной системой персональных данных (ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.). Это важное уточнение: в «чистом» режиме КИИ пакет строится вокруг категорирования и мер приказа ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. № 239, без артефактов классификации и без документов по персональным данным.
Материал продолжает статьи о том, кого касается 187-ФЗ, и о пошаговом категорировании объектов КИИ. Здесь речь идёт о том, что должно быть на руках уже после присвоения категории значимости.
Правовая рамка: чем определяется состав
Единого нормативного перечня «столько-то документов для значимого объекта» не существует — состав субъект КИИ определяет сам, опираясь на четыре нормативных источника:
- Федеральный закон от 26.07.2017 № 187-ФЗ — базовые обязанности субъекта КИИ;
- постановление Правительства РФ от 08.02.2018 № 127 — правила категорирования и показатели критериев значимости;
- приказ ФСТЭК России от 21.12.2017 № 235 — требования к созданию систем безопасности значимых объектов и обеспечению их функционирования (организационный слой: силы, документы, взаимодействие);
- приказ ФСТЭК России от 25.12.2017 № 239 — требования по обеспечению безопасности значимого объекта (жизненный цикл системы защиты и меры).
Разделение простое: приказ № 235 задаёт организационную рамку (кто отвечает за безопасность и по каким правилам работает), приказ № 239 — проектную и техническую часть (модель угроз, техническое задание, проект, меры защиты). Категорирование живёт в 187-ФЗ и ПП-127.
Как проходит проверка ФСТЭК и что смотрят
Государственный контроль за безопасностью значимых объектов КИИ ведёт ФСТЭК России в порядке, установленном постановлением Правительства РФ от 17.02.2018 № 162 (во исполнение статьи 13 187-ФЗ). Проверки — плановые и внеплановые, выездные. Основание плановой проверки — истечение 3 лет со дня внесения сведений об объекте в реестр значимых объектов КИИ либо со дня окончания предыдущей плановой проверки. Срок плановой проверки — не более 20 рабочих дней, внеплановой — не более 10.
По существу инспектор сверяет три пласта:
- категорирование — полноту выявления объектов, обоснованность присвоенной категории и правильность расчёта показателей значимости, соблюдение сроков и форм направления сведений во ФСТЭК;
- организационную систему безопасности по приказу № 235 — назначены ли ответственные (силы обеспечения безопасности), утверждены ли внутренние документы, ведётся ли информирование и обучение персонала;
- техническую защиту по приказу № 239 — разработаны ли модель угроз и проектная документация, реализованы ли меры защиты, соответствующие категории, применяются ли средства защиты информации, прошедшие оценку соответствия.
Ключевой принцип проверки — документируемость. Отсутствие документа, подтверждающего выполнение требования, трактуется как невыполнение самого требования. Поэтому «бумажная» часть здесь не формальность, а предмет контроля.
Блок 1. Категорирование (ПП-127)
Фундамент пакета: именно эти документы обосновывают статус объекта и его категорию. Они обязательны для любого субъекта КИИ, но для значимого объекта проверяются особенно внимательно.
- приказ о создании постоянно действующей комиссии по категорированию;
- перечень объектов КИИ, подлежащих категорированию (направляется во ФСТЭК);
- протокол(ы) заседания комиссии по категорированию;
- акт категорирования объекта КИИ с расчётом показателей значимости и обоснованием присвоенной категории;
- сведения о результатах присвоения категории значимости по форме приказа ФСТЭК России от 22.12.2017 № 236.
Категорию значимости пересматривают не реже одного раза в 5 лет, а также при изменениях, влияющих на показатели значимости, — соответствующие акты и приказы тоже хранятся в пакете.
Блок 2. Система безопасности: организационные документы (приказ № 235)
Приказ № 235 требует создать систему безопасности значимого объекта и закрепить её документально. Типовой организационный слой:
- приказ о назначении сил обеспечения безопасности значимого объекта (ответственное подразделение или должностное лицо, руководитель, отвечающий за безопасность);
- положение (правила и процедуры) обеспечения безопасности значимого объекта — базовый организационный документ, аналог политики защиты информации;
- перечень лиц, имеющих доступ к значимому объекту, и порядок предоставления доступа;
- порядок обеспечения безопасности помещений, в которых размещены компоненты значимого объекта;
- план мероприятий по обеспечению безопасности значимого объекта (как правило, ежегодный);
- порядок информирования и обучения персонала правилам безопасности;
- порядок взаимодействия подразделений (работников) при обеспечении безопасности;
- правила безопасной работы персонала на значимом объекте;
- план развития (совершенствования) системы безопасности.
Блок 3. Реагирование на инциденты и взаимодействие с ГосСОПКА
Информирование о компьютерных инцидентах — обязанность любого субъекта КИИ по 187-ФЗ, и для значимого объекта она оформляется документально:
- порядок взаимодействия субъекта КИИ с НКЦКИНациональный координационный центр по компьютерным инцидентам — Структура ФСБ, координирующая обнаружение и реагирование на компьютерные инциденты в рамках ГосСОПКА. (ГосСОПКАГосударственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак — Система ФСБ для мониторинга и реагирования на компьютерные атаки, прежде всего на объекты КИИ.) при обмене информацией о компьютерных инцидентах;
- план реагирования на компьютерные инциденты и порядок информирования;
- регламент действий персонала при возникновении инцидентов и нештатных ситуаций.
Важно разграничить зоны контроля: техническое подключение к ГосСОПКА и сам обмен инцидентами с НКЦКИ курирует ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. России (в порядке приказов ФСБ, в том числе № 282), а ФСТЭК при своей проверке смотрит организационно-техническую готовность — наличие порядка взаимодействия, планов реагирования и фактической реализации мер группы «Реагирование на компьютерные инциденты» приказа № 239. С 2025 года для субъектов со значимыми объектами закреплена обязанность непрерывного взаимодействия с ГосСОПКА, что усиливает роль этих документов.
Блок 4. Проектная и эксплуатационная документация (приказ № 239)
Приказ № 239 описывает жизненный цикл системы безопасности: установление требований, разработка организационных и технических мер (проектирование), их внедрение, обеспечение безопасности в ходе эксплуатации и при выводе из эксплуатации. Каждый этап оставляет документальный след:
- модель угроз безопасности информации значимого объекта, разработанная по методике ФСТЭК на основе банка данных угроз (БДУБанк данных угроз безопасности информации ФСТЭК — Государственный реестр угроз (УБИ) и уязвимостей на bdu.fstec.ru; используется при построении модели угроз.);
- техническое задание (частное техническое задание) на создание системы (подсистемы) безопасности;
- технический проект (проектная документация) на систему безопасности;
- эксплуатационная документация на средства защиты и порядок применения мер;
- программа и методики предварительных и приёмочных испытаний;
- протоколы (акты) испытаний, приёмки и оценки соответствия системы безопасности установленным требованиям.
Средства защиты информации должны пройти оценку соответствия (в форме испытаний, приёмки или сертификации в зависимости от категории). С учётом требований 2025 года по переходу на российское программное обеспечение и программно-аппаратные средства применение таких средств подтверждается документально — сведениями о включении в реестр российского ПО (радиоэлектронной продукции) либо обоснованием применимости переходных положений.
Блок 5. Документы по мерам защиты (приказ № 239)
Базовый набор мер защиты определяется категорией значимости объекта: чем выше категория, тем строже и шире набор. Приказ № 239 группирует меры по 17 направлениям, и каждое подкрепляется своими регламентами, инструкциями и журналами:
- идентификация и аутентификация (ИАФИдентификация и аутентификация — Группа мер защиты: распознавание и подтверждение подлинности пользователей и устройств.), управление доступом (УПДУправление доступом — Группа мер защиты: разграничение и контроль доступа субъектов к объектам доступа.), ограничение программной среды (ОПС);
- защита машинных носителей информации (ЗНИЗащита машинных носителей информации — Группа мер защиты: учёт, хранение и гарантированное затирание носителей с информацией.), аудит безопасности (АУДАудит безопасности — Группа мер защиты значимых объектов КИИ (приказ ФСТЭК №239): регистрация событий безопасности, мониторинг и анализ, в том числе анализ уязвимостей (мера АУД.2).), антивирусная защита (АВЗАнтивирусная защита — Меры и средства защиты от вредоносного программного обеспечения.);
- обнаружение и предотвращение вторжений и компьютерных атак (СОВСистема обнаружения вторжений — Средство выявления компьютерных атак и подозрительной сетевой активности.), обеспечение целостности (ОЦЛОбеспечение целостности — Группа мер защиты: контроль целостности ПО и информации, защита от несанкционированных изменений.) и доступности (ОДТОбеспечение доступности — Группа мер защиты: резервное копирование и отказоустойчивость для доступности информации.);
- защита технических средств (ЗТС) и защита информационной (автоматизированной) системы и её компонентов (ЗИСЗащита информационной системы, её средств и систем связи — Группа мер защиты по приказам ФСТЭК: межсетевое экранирование, сегментирование сети, защита каналов передачи данных.);
- реагирование на компьютерные инциденты (ИНЦ), управление конфигурацией (УКФУправление конфигурацией — Группа мер защиты: контроль состава и настроек системы и средств защиты, управление обновлениями.), управление обновлениями программного обеспечения (ОПО);
- планирование мероприятий по обеспечению безопасности (ПЛН), обеспечение действий в нештатных ситуациях (ДНС), информирование и обучение персонала (ИПО).
На практике реализацию мер подтверждают документы вроде порядка управления учётными записями и привилегиями, регламента защищённого удалённого доступа, порядка анализа уязвимостей и управления обновлениями, регламента аудита и регистрации событий безопасности, а также эксплуатационных журналов и должностных инструкций.
Чего в пакете быть не должно
Раз объект — только значимый объект КИИ и не является одновременно ГИС или ИСПДн, часть документов из «универсальных» шаблонов лишняя и только путает при проверке:
- приказ и акт классификации информационной системы — это режим ГИС (приказ ФСТЭК № 117, действует с 01.03.2026, ранее № 17). В КИИ классификации нет: её роль выполняют приказ о комиссии по категорированию и акт категорирования;
- документы по персональным данным — согласия субъектов, определение уровня защищённости по ПП-1119, приказ № 21 ФСТЭК, уведомление в Роскомнадзор. Они относятся к ИСПДн и в «чистом» КИИ-объекте не требуются.
Если же одна и та же система одновременно является и объектом КИИ, и ГИС или фактически обрабатывает персональные данные (а значит, является ИСПДн независимо от того, как её называют), действуют оба режима — тогда наборы складываются, но это отдельный случай. Сориентироваться в разграничении помогает обзор документов по режимам защиты информации и статья про аудит информационных систем.
Ответственность за отсутствие документов
Нарушение требований к безопасности значимых объектов КИИ — административное правонарушение по статье 13.12.1 КоАП РФ: для должностных лиц штраф от 10 000 до 50 000 рублей, для юридических — от 50 000 до 100 000 рублей; за нарушение порядка информирования о компьютерных инцидентах и реагирования на них — до 500 000 рублей для юридических лиц. Отдельно действует уголовная статья 274.1 УК РФ за неправомерное воздействие на КИИ. Поэтому отсутствие или неполнота документального комплекта — это не только замечание по итогам проверки, но и основание для санкций.
Главное
Для значимого объекта КИИ, который не является одновременно ГИС или ИСПДн, пакет строится из пяти блоков: категорирование (ПП-127), организационная система безопасности (приказ № 235), реагирование на инциденты и взаимодействие с ГосСОПКА, проектная и эксплуатационная документация (приказ № 239) и документы по мерам защиты, набор которых зависит от категории значимости. Проверку ФСТЭК проводит по ПП-162 — планово по истечении 3 лет со дня внесения объекта в реестр (либо окончания предыдущей проверки) — и оценивает полноту категорирования, организационные документы приказа № 235 и техническую защиту по приказу № 239. Классификацию и документы по персональным данным в такой пакет включать не нужно: это признаки других режимов защиты информации.