Компьютерные инциденты с персональными данными

Термин «компьютерный инцидент» очень хорошо знаком субъектам критической информационной инфраструктуры (КИИ) и приведен в Федеральном законе от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

К сожалению, для операторов персональных данных не все так прозрачно, что же является компьютерным инцидентом с персональными данными, поэтому постараемся его скомпилировать:
Компьютерный инцидент с персональными данными — факт нарушения и (или) прекращения функционирования информационной системы персональных данных и (или) нарушения безопасности обрабатываемых в такой информационной системе персональных данных, в том числе произошедший в результате компьютерной атаки, повлекший неправомерную передачу (предоставление, распространение, доступ) персональных данных.

В силу ч. 12 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» о подобных инцидентах операторы обязаны информировать ФСБ России.

Порядок такого информирования должен быть определён ФСБ России, но, к сожалению, на момент написания данной заметки информация даже о наличии проекта такого документа отсутствует.

Дополнение в заметку от 20.02.2023 года: приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных».

Однако стоит отметить, что в ходе SOC-ФОРУМ 2022 представителем Национального координационного центра по компьютерным инцидентам (НКЦКИ) было озвучено, что планируется установить два варианта взаимодействия.

Один вариант будет коррелировать с существующим регламентом взаимодействия субъектов КИИ с НКЦКИ.

Данный регламент можно найти здесь.

Другой вариант предполагается реализовать через сайт Роскомнадзора.

Вполне закономерно, что для операторов персональных данных, являющихся субъектами КИИ, которые и без нововведений в закон «О персональных данных» должны в принципе информировать ФСБ России, компьютерный инцидент с персональными данными будет частным случаем обычного компьютерного инцидента.

Если компьютерный инцидент с персональными данными влечет за собой нарушение прав субъектов персональных данных, то тогда информировать надо еще и Роскомнадзор, но об этом чуть ниже.

Инцидент (вообще) с персональными данными

Законодатель под инцидентом с персональными данными понимает любой факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекший нарушение прав субъектов персональных данных. Как видно, привязка к любым информационным технологиям, информационным системам персональных данных отсутствует. В силу ч. 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» уведомлять о таких инцидентах необходимо Роскомнадзор.

Во-первых, законодатель заранее обозначил сроки уведомления — 24 часа с момента выявления инцидента и установил неотъемлемые требования к наполнению такого уведомления:
— информация о предполагаемых причинах инцидента;
— информация о предполагаемом вреде, нанесенном правам субъектов персональных данных;

Пожалуй, это пока одна из самых сложных частей подготовки уведомления, так как требования по оценке такого вреда пока не утверждены и представлены лишь в виде проекта.

— информация о принятых мерах по устранению последствий инцидента;
— информация о лице, уполномоченном на взаимодействие с Роскомнадзором.
Во-вторых, Роскомнадзор реализовал на своем сайте специальную электронную форму, позволяющую оперативно передать информацию об инциденте.

Стоит отметить примеры возможных инцидентов с персональными данными по версии Роскомнадзора:

Что будет, если не уведомлять?

В настоящее время какой-либо специальной ответственности для операторов, скрывших инцидент с персональными данным, не предусматривается. Однако надо всегда помнить про ст. 19.7 КОАП «Непредставление сведений (информации)», кроме того, в перспективе все же обещают штрафы за непредставление информации об инцидентах (вообще) с персональными данными и конкретно за умалчивание информации о компьютерных инцидентах с персональными данными.

Выводы

Фактически операторы персональных данных могут столкнуться с тремя типами инцидентов:
1. Инциденты с персональными данными (вообще).
2. Компьютерные инциденты с персональными данными, повлекшие нарушение прав субъектов персональных данных.
3. Компьютерные инциденты с персональными данными, не повлекшие нарушение прав субъектов персональных данных.

Инциденты с персональными данными всегда сопряжены с нарушением прав субъектов персональных данных и происходят в результате случайности или неправомерных действий (бездействия).
Компьютерные инциденты с персональными данными всегда являются следствием неправомерных действий (бездействия), но не всегда приводят к нарушению прав субъектов персональных данных.

От типа инцидента зависит порядок уведомления о нем и, скорее всего, состав действующих лиц от оператора.

Вполне разумно уже сейчас проработать процесс взаимодействия с государственными органами по описанным выше инцидентам в локальных нормативных актах оператора. Обозначить людей, которые смогут компетентно взаимодействовать с Роскомнадзором и (или) ФСБ России в лице НКЦКИ в рамках того или иного инцидента.

Вернуться к началу заметки.

Вернуться в основной Telegram-канал.

1. Принять меры к актуализации (а в случае отсутствия — к разработке) документа, определяющего политику в отношении обработки персональных данных, и локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

2. Операторам, которые осуществляют сбор персональных данных с использованием информационно-телекоммуникационных сетей, обеспечить опубликование документа, определяющего политику в отношении обработки персональных данных, и сведения о реализуемых требованиях по защите персональных данных, на всех страницах сайтов, с помощью которых осуществляется сбор персональных данных.

3. Операторам, которые ранее осуществлять обработку персональных данных без уведомления Роскомнадзора, принять меры к подаче уведомления о намерении осуществлять обработку персональных данных с указанием для каждой цели обработки персональных данных:

• категории персональных данных;
• категории субъектов, персональные данные которых обрабатываются;
• правовое основание обработки персональных данных;
• перечень действий с персональными данными;
• способы обработки персональных данных.

Полагаю, что на этой волне можно будет заняться и подготовкой реестра процессов обработки персональных данных (как в GDPR).

4. Оператором, поручающим обработку персональных данных третьим лицам, актуализировать (разработать) поручение на обработку персональных данных с указанием:

• перечня персональных данных;
• перечня действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных по поручению оператора;
• целей обработки персональных данных;
• требований к защите обрабатываемых персональных данных;
• требований об уведомлении оператора о неправомерной обработке персональных данных;
• обязанностей лица, осуществляющего обработку персональных данных по поручению оператора.

5. Исключить в договорах, стороной которого является субъект персональных данных, положения:

• ограничивающие права и свободы субъектов персональных данных;
• устанавливающие случаи обработки персональных данных несовершеннолетних, если обработка персональных данных несовершеннолетних явно не предусмотрена законодательством РФ;
• допускающие в качестве условий заключения договора бездействие субъекта персональных данных.

6. Подумать о разъяснениях субъектам персональных данных юридических последствий отказа предоставить свои персональные данные в случае, если обработка персональных данных и получение согласия на их обработку обязательны в соответствии с федеральным законодательством РФ.

7. Подготовиться к взаимодействию с ГосСОПКА и информированию ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

Подробности этого процесса, как ожидается, будут описаны в соответствующем приказе ФСБ России, который и будет регламентировать эту процедуру.

Подробнее о том, что должны государственные органы операторам персональных данных для обеспечения выполнения новых требований Федерального закона «О персональных данных» приведено здесь.

8. Подумать над организацией взаимодействия с Роскомнадзором по фактам неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

9. Операторам, осуществляющим обработку биометрических персональных данных в целях идентификации или аутентификации, удостовериться в наличии соответствующей аккредитации.

Подробнее об аккредитации для обработки биометрии здесь.

Вернуться к началу заметки.

Вернуться в основной Telegram-канал.

• ГОСТ ISO/IEC 19896-1-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетенции специалистов по тестированию и оценке безопасности информационных технологий. Часть 1. Введение, основные понятия и общие требования».

• ГОСТ Р 59381-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции».

• ГОСТ ISO/IEC 24760-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 2. Базовая архитектура и требования».

• ГОСТ Р 59382-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы».

• ГОСТ Р 59383-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом».

• ГОСТ ISO/IEC 27014-2021 «Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности».

• ГОСТ ISO/IEC 29100-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных».

• ГОСТ Р 59407-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных».

• ГОСТ ISO/IEC TS 19249-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Каталог принципов построения архитектуры и проектирования безопасных продуктов, систем и приложений».

• ГОСТ Р 59494-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5-1. Структуры данных протоколов и мер обеспечения безопасности приложений. XML-схемы».

• ГОСТ Р 59503-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Экономика информационной безопасности организации».

• ГОСТ Р 59506-2021 «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности».

• ГОСТ Р 59515-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Подтверждение идентичности».

• ГОСТ Р 59516-2021 «Информационные технологии. Менеджмент информационной безопасности. Правила страхования рисков информационной безопасности».

• ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».

• ГОСТ Р ИСО/МЭК 27002-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности».

• ГОСТ Р ИСО/МЭК 27003-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации».

• ГОСТ Р ИСО/МЭК 27004-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание».

• ГОСТ Р ИСО/МЭК 27017-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб».

• ГОСТ Р ИСО/МЭК 27019-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)».

• ГОСТ Р ИСО/МЭК 27021-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетентности специалистов по системам менеджмента информационной безопасности».

• ГОСТ Р ИСО/МЭК 27033-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 2. Рекомендации по проектированию и реализации безопасности сетей».

• ГОСТ Р ИСО/МЭК 27034-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 2. Нормативная структура организации».

• ГОСТ Р ИСО/МЭК 27034-3-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений».

• ГОСТ Р ИСО/МЭК 27034-6-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 6. Практические примеры».

• ГОСТ Р ИСО/МЭК 27036-1-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия».

• ГОСТ Р 59329-2021 «Системная инженерия. Защита информации в процессах приобретения и поставки продукции и услуг для системы».

• ГОСТ Р 59330-2021 «Системная инженерия. Защита информации в процессе управления моделью жизненного цикла системы».

• ГОСТ Р 59331-2021 «Системная инженерия. Защита информации в процессе управления инфраструктурой системы».

• ГОСТ Р 59332-2021 «Системная инженерия. Защита информации в процессе управления портфелем проектов».

• ГОСТ Р 59333-2021 «Системная инженерия. Защита информации в процессе управления человеческими ресурсами системы».

• ГОСТ Р 59334-2021 «Системная инженерия. Защита информации в процессе управления качеством системы».

• ГОСТ Р 59335-2021 «Системная инженерия. Защита информации в процессе управления знаниями о системе».

• ГОСТ Р 59336-2021 «Системная инженерия. Защита информации в процессе планирования проекта».

• ГОСТ Р 59337-2021 «Системная инженерия. Защита информации в процессе оценки и контроля проекта».

• ГОСТ Р 59338-2021 «Системная инженерия. Защита информации в процессе управления решениями».

• ГОСТ Р 59339-2021 «Системная инженерия. Защита информации в процессе управления рисками для системы».

• ГОСТ Р 59340-2021 «Системная инженерия. Защита информации в процессе управления конфигурацией системы».

• ГОСТ Р 59342-2021 «Системная инженерия. Защита информации в процессе измерений системы».

• ГОСТ Р 59344-2021 «Системная инженерия. Защита информации в процессе анализа бизнеса или назначения системы».

• ГОСТ Р 59345-2021 «Системная инженерия. Защита информации в процессе определения потребностей и требований заинтересованной стороны для системы».

• ГОСТ Р 59347-2021 «Системная инженерия. Защита информации в процессе определения архитектуры системы».

• ГОСТ Р 59348-2021 «Системная инженерия. Защита информации в процессе определения проекта».

• ГОСТ Р 59350-2021 «Системная инженерия. Защита информации в процессе реализации системы».

• ГОСТ Р 59351-2021 «Системная инженерия. Защита информации в процессе комплексирования системы».

• ГОСТ Р 59353-2021 «Системная инженерия. Защита информации в процессе передачи системы».

• ГОСТ Р 59354-2021 «Системная инженерия. Защита информации в процессе аттестации системы».

• ГОСТ Р 59355-2021 «Системная инженерия. Защита информации в процессе функционирования системы».

• ГОСТ Р 59357-2021 «Системная инженерия. Защита информации в процессе изъятия и списания системы».

Вернуться к началу заметки.

Правительство Российской Федерации:

+ Порядок принятия решения о запрещении или об ограничении трансграничной передачи персональных данных (ч. 9 и ч. 13 ст. 12 152-ФЗ):

• Постановление Правительства Российской Федерации от 16.01.2023 № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан» (вступает в силу с 01.03.2023).

• Постановление Правительства Российской Федерации от 10.01.2023 № 6 «Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении» (вступает в силу с 01.03.2023).

+ Порядок информирования операторов о принятом решении относительно запрещении или об ограничении трансграничной передачи персональных данных (ч. 13 ст. 12 152-ФЗ) — см. предыдущий абзац.

+ Случаи, при которых операторы, осуществляющие трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, могут не уведомлять Роскомнадзор (ч. 15 ст. 12 152-ФЗ) — Постановление Правительства Российской Федерации от 29.12.2022 № 2526 «Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3 — 6, 8 — 11 статьи 12 Федерального закона „О персональных данных“» (вступает в силу с 01.03.2023).

Роскомнадзор:

+ Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (ч. 2 ст. 12 152-ФЗ) — Роскомнадзор и ранее ежегодно публиковал такой перечень.

На момент подготовки данного материала актуальным является Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утвержденный приказом Роскомнадзора от 15.03.2013 № 274 (в ред. приказа Роскомнадзора от 14.09.2021 № 183), но с 01.03.2023 вступает в силу приказ Роскомнадзора от 05.08.2022 № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных»..

А также сайте Роскомнадзора реализована электронная форма подачи уведомления о трансграничной передаче персональных данных.

+ Требования по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» — приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона „О персональных данных“» (вступает в силу с 01.03.2023).

+ Порядок подтверждения уничтожения персональных данных в целях устранения нарушений законодательства, допущенных при обработке персональных данных (ч. 7 ст. 21 152-ФЗ) — приказ  Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» (вступает в силу с 01.03.2023).

+ Форма уведомления о намерении осуществлять обработку персональных данных (ч. 8 ст. 22 152-ФЗ) — приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных» (далее - приказ РКН № 180).

+ Форма уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных (ч. 8 ст. 22 152-ФЗ) — приказ РКН от 28.10.2022 № 180.

+ Форма уведомления о прекращении обработки персональных данных (ч. 8 ст. 22 152-ФЗ) — приказ РКН от 28.10.2022 № 180.

+ Порядок и условия взаимодействия с операторами в рамках ведения реестра учета инцидентов в области персональных данных (ч. 10 ст. 23 152-ФЗ) — приказ Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных» (вступает в силу с 01.03.2023).

ФСБ России:

+ Порядок взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ч. 12 ст. 19 152-ФЗ) — приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных» (вступает в силу с 01.03.2023).

+ Порядок информирования ФСБ России операторами о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (ч. 12 ст. 19 152-ФЗ) — приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных» (вступает в силу с 01.03.2023).

Схема взаимодействия и информирования будет соответствовать тому, что было озвучено на SOC-Forum 2022:

+/- Порядок взаимного обмена информации о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, между ФСБ России и Роскомнадзором (ч. 14 ст. 19 152-ФЗ и ч. 11 ст. 23 152-ФЗ) — представлен проект соответствующего совместного приказа Роскомнадзора и ФСБ России.

Это общее поручение ФСБ России и Роскомнадзору, но есть предположение, что инициативу в разработке будет держать именно ФСБ России.

Вернуться к началу заметки.

Вернуться в основной Telegram-канал.

1. Применение организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

2. Наличие согласия физического лица на обработку его биометрических персональных данных в указанных целях, в том числе в интересах конкретного третьего лица.

3. Не являться иностранным юридическим лицом, а также юридическим лицом, в уставном (складочном) капитале которого доля участия иностранных юридических лиц превышает 49 процентов.

4. Наличие минимального размера собственных средств (капитала) в размере не менее чем 50 миллионов рублей.

5. Наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к результату аутентификации с использованием биометрических персональных данных в сумме не менее чем 50 миллионов рублей.

6. Наличие лицензии на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств.

7. Наличие права собственности на аппаратные шифровальные (криптографические) средства, используемые для оказания организацией услуг по идентификации и (или) аутентификации с использованием биометрических персональных данных, имеющие подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, и наличие права использования программных шифровальных (криптографических) средств на законных основаниях.

8. Наличие в штате организации не менее двух работников, непосредственно осуществляющих деятельность по идентификации и аутентификации с использованием биометрических персональных данных, имеющих высшее образование в области информационных технологий или информационной безопасности.

9. Соответствие требованиям к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа, установленным федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации физических лиц на основе биометрических персональных данных и уполномоченным на принятие решения об аккредитации.

10. Отсутствие записи в едином государственном реестре юридических лиц о недостоверности сведений о юридическом лице.

11. Соответствие дополнительным требованиям единоличного исполнительного органа:

а) наличие гражданства Российской Федерации;

б) лицо не включено в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, или перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к распространению оружия массового уничтожения;

в) отсутствие у лица неснятой или непогашенной судимости за совершение преступления;

г) лицо не привлекалось в течение пяти лет, предшествующих дню подачи заявления, к уголовной ответственности в соответствии со статьями 183 и 283 Уголовного кодекса Российской Федерации за незаконные получение и разглашение сведений, составляющих государственную, коммерческую, налоговую или банковскую тайну.

12. Не была досрочно прекращена предыдущая аккредитация в течение трех лет, предшествующих дню подачи заявления.

13. Лицо, имеющее право действовать без доверенности от имени организации, претендующей на получение аккредитации, не являлось лицом, имевшим право действовать без доверенности от имени иной организации, осуществляющей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, аккредитация которой досрочно прекращена в течение трех лет, предшествующих дню подачи заявления.

Вернуться к началу заметки

Вернуться в основную заметку «Страсти по биометрии»

Перейти к просмотру требований по аккредитации для идентификации

1. Включение случая необходимости обработки биометрических персональных данных в целях идентификации или идентификации и аутентификации в перечень, утверждённый Правительством Российской Федерации (Постановление Правительства Российской Федерации от 23.10.2021 № 1815 «Об утверждении перечня случаев осуществления сбора и обработки используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также случаев использования организациями, за исключением кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 761 Федерального закона «О Центральном банке Российской Федерации (Банке России)» виды деятельности, субъектами национальной платежной системы, индивидуальными предпринимателями указанных информационных систем для идентификации либо идентификации и аутентификации физического лица, выразившего согласие на их проведение»).

2. Применение организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

3. Выполнение требований Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», в том числе посредством выполнения требований о защите содержащейся в государственных информационных системах информации, установленных ФСБ России и ФСТЭК России, в пределах их полномочий, а также посредством автоматизированного информационного взаимодействия с ГосСОПКА для решения задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак.

4. Наличие согласия физического лица на обработку его биометрических персональных данных в указанных целях, в том числе в интересах конкретного третьего лица.

5. Не являться иностранным юридическим лицом, а также юридическим лицом, в уставном (складочном) капитале которого доля участия иностранных юридических лиц превышает 49 процентов.

6. Наличие минимального размера собственных средств (капитала) в размере не менее чем 500 миллионов рублей.

7. Наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к результату аутентификации с использованием биометрических персональных данных в сумме не менее чем 100 миллионов рублей.

8. Наличие подключения (доступа) к ГосСОПКА.

9. Наличие лицензии на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств.

10. Наличие права собственности на аппаратные шифровальные (криптографические) средства, используемые для оказания организацией услуг по идентификации и (или) аутентификации с использованием биометрических персональных данных, имеющие подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, и наличие права использования программных шифровальных (криптографических) средств на законных основаниях.

11. Наличие в штате организации не менее двух работников, непосредственно осуществляющих деятельность по идентификации и аутентификации с использованием биометрических персональных данных, имеющих высшее образование в области информационных технологий или информационной безопасности.

12. Соответствие требованиям к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа, установленным федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации физических лиц на основе биометрических персональных данных и уполномоченным на принятие решения об аккредитации.

13. Отсутствие записи в едином государственном реестре юридических лиц о недостоверности сведений о юридическом лице.

14. Соответствие дополнительным требованиям единоличного исполнительного органа:

а) наличие гражданства Российской Федерации;

б) лицо не включено в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, или перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к распространению оружия массового уничтожения;

в) отсутствие у лица неснятой или непогашенной судимости за совершение преступления;

г) лицо не привлекалось в течение пяти лет, предшествующих дню подачи заявления, к уголовной ответственности в соответствии со статьями 183 и 283 Уголовного кодекса Российской Федерации за незаконные получение и разглашение сведений, составляющих государственную, коммерческую, налоговую или банковскую тайну.

15. Не была досрочно прекращена предыдущая аккредитация в течение трех лет, предшествующих дню подачи заявления.

16. Лицо, имеющее право действовать без доверенности от имени организации, претендующей на получение аккредитации, не являлось лицом, имевшим право действовать без доверенности от имени иной организации, осуществляющей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, аккредитация которой досрочно прекращена в течение трех лет, предшествующих дню подачи заявления.

Вернуться к началу заметки

Вернуться в основную заметку «Страсти по биометрии»

Перейти к просмотру требований по аккредитации для аутентификации

В настоящее время буквально отовсюду можно слышать про внедрение информационной технологии или про очередной государственный проект, которые уже используют или будут использовать биометрические персональные данные. Новостные ленты не отстают и тоже пестрят соответствующими заголовками. Системы контроля и управления доступом, обрабатывающие биометрические персональные данные, для некоторых представляются обыденностью. Не обходят стороной биометрические технологии и системы информационной безопасности. Иными словами, представляется, что сферы применения биометрии будут только расширяться.

В 2018 году рождается Единая биометрическая система (ЕБС), которая должна была развиться за счёт банков, но что-то пошло не так… К сожалению, наполняемость и применяемость данной системы, по видимому, не вышли на должный и ожидаемый уровень. Как говорится: «Лошадь сдохла — слезь», и в самый раз было бы похоронить ЕБС, но государственные чины решили иначе. Так, предположительно, появилась идея наполнить ЕБС через все организации (не только банки), обрабатывающие персональные данные, и внедрение жёстких регулятивных мер в отношение них. В результате появился Федеральный закон от 29.12.2020 № 479-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», вносящий поправки в том числе и в Федеральный закон Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» в части регулирования правоотношений, связанных с обработкой биометрических персональных данных (и да, ключевые изменения по обработке биометрии были здорово замаскированы).

Стоит отметить, что 479-ФЗ вносит столько изменений, что их хватило бы на отдельный закон, например, «Об обработке биометрических персональных данных», а заложенные в него нормы сродни реформе по аналогии с той, что сейчас наблюдается в сфере использования электронной подписи.

Из ключевых нововведений:

1. Понятийный аппарат 149-ФЗ дополняется новыми терминами:

1.1. Идентификация — совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с уникальным обозначением (уникальными обозначениями) сведений о лице, необходимым для определения такого лица (далее — идентификатор).

1.2. Аутентификация — совокупность мероприятий по проверке лица на принадлежность ему идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификатором (идентификаторами) посредством использования аутентифицирующего (аутентифицирующих) признака (признаков) в рамках процедуры аутентификации, в результате чего лицо считается установленным.

2. Устанавливается запрет (с 01.09.2022) на обработку в информационных системах биометрических персональных данных в целях идентификации и (или) аутентификации без выполнения нововведённых в 149-ФЗ требований.

3. Ключевым требованием, выполнение которого позволит осуществлять обработку в информационных системах биометрических персональных данных, является наличие аккредитации одного из двух видов (порядок получения аккредитации установлен постановлением Правительства Российской Федерации от 20.10.2021 № 1799):

3.1. Аккредитация для осуществления аутентификации.

3.2. Аккредитация для осуществления идентификации и (или) аутентификации.

4. Если организация не может самостоятельно получить аккредитацию (или не хочет), то она вправе использовать для обработки биометрических персональных данных соответствующие информационные системы аккредитованных организации.

Вполне очевидно, что идентификацией является совокупность действий, необходимость или возможность осуществления которых продиктованы федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами. А вот аутентификацию инициируют организации самостоятельно, руководствуясь собственными потребностями. Если наложить это на обработку биометрических персональных данных, то идентификация будет в большей степени характерна для организаций, которые вынуждены осуществлять установление личности с использованием таких данных в силу исполнения законодательства Российской Федерации, тогда как для организаций, осуществляющих установление личности с использованием биометрических персональных данных по собственному желанию, наиболее характерной станет аутентификация с самым ярким примером — система контроля и управления доступом.

В свете изложенных обстоятельств организациям, осуществляющим обработку биометрических персональных данных, необходимо провести самопроверку и выяснить, осуществляется ли в ее информационных системах обработка биометрических персональных данных в целях идентификации и (или) аутентификации. Если да, то необходимо принять решение:

1. Прекратить обработку биометрических персональных данных в целях идентификации и (или) аутентификации.

2. Подготовиться и получить аккредитацию соответствующего вида, чтобы продолжить обработку биометрических персональных данных в целях идентификации и (или) аутентификации.

3. Принять меры к поиску организации, имеющей аккредитацию соответствующего вида, которая предоставит свою информационную систему для обработки биометрических персональных данных в целях идентификации и (или) аутентификации.

P. S. вообще Федеральный закон от 29.12.2020 № 479-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» занимательное чтиво, там есть и другие интересные положения, касающиеся дополнительных полномочий оператора ЕБС и бесплатного обеспечения физических лиц СКЗИ.

Вернуться в начало заметки.

Вернуться в основной Telegram-канал.

Ранее время оператор обязан был уведомить Роскомнадзор:

• О своем намерении осуществлять обработку персональных данных.

• Об изменении сведений в ранее поданном уведомлении намерении осуществлять обработку персональных данных.
• О прекращении обработки персональных данных.

Однако в настоящее время оператор обязан:

• Уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.

• Уведомлять Роскомнадзор об изменении сведений в ранее поданном уведомлении о намерении осуществлять обработку персональных данных (не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения).
• Уведомить Роскомнадзор о прекращении обработки персональных данных (в течение десяти рабочих дней с даты прекращения обработки персональных данных).
• Уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных.

• Запросить и получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, с которым планируется трансграничная передача персональных данных, ряда информации, предусмотренной 152-ФЗ (до подачи уведомления о намерении осуществлять трансграничную передачу персональных данных).

Вернуться к началу заметки.

Вернуться в основной Telegram-канал.

Оглавление:

1. Предтечи.
2. Федеральные законы.
3. Указы Президента.
4. Постановления Правительства.
5. Приказы ФСТЭК России.
6. Иные документы ФСТЭК России.
7. Приказы ФСБ России.
8. Иные документы ФСБ России.
9. Приказы Минцифры.
10. Профстандарт.
11. Субсидирование.
12. Отраслевые особенности категорирования.
13. Дополнительные документы по категорированию ОКИИ.
14. Перечень типовых отраслевых объектов КИИ.
15. Иные документы.

Предтечи

• Постановление Правительства Российской Федерации от 24.05.2010 № 365 «О координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов» (документ утратил силу).
• Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации, утвержденные Президентом Российской Федерации 03.02. 2012 г. № 803.
• Указ Президента Российской Федерации от 15.01.2013 № 31с «О создании Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
• Основы государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года, утверждены Президентом Российской Федерации 24.07.2013 № Пр-1753 (документ утратил силу).
• Выписка из Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утвержденной Президентом Российской Федерации 12.12.2014 № К 1274.
• Указ Президента Российской Федерации от 05.01.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации».
• Указ Президента Российской Федерации от 09.05.2017 г. № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017–2030 годы».

К оглавлению.

Федеральные законы

• Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Список изменяющих документов:

Федеральный закон от 10.07.2023 № 312-ФЗ «О внесении изменения в статью 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».

Федеральный закон от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации».

Федеральный закон от 31.07.2025 № 325-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации».

• Федеральный закон от 26.07.2017 № 193-ФЗ «О Внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».
• Федеральный закон от 26.07.2017 № 194-ФЗ «О Внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».
• Федеральный закон от 26.05.2021 № 141-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
• Федеральный закон от 19.12.2022 № 518-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации».
• Федеральный закон от 14.07.2022 № 255-ФЗ «О контроле за деятельностью лиц, находящихся под иностранным влиянием».
• Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
• Федеральный закон от 13.06.2023 № 214-ФЗ «О внесении изменения в статью 104-1 Уголовного кодекса Российской Федерации».
• Федеральный закон от 13.06.2023 № 243-ФЗ «О внесении изменений в Федеральный закон «О Центральном банке Российской Федерации (Банке России)».

К оглавлению.

Указы Президента

• Указ Президента Российской Федерации от 25.11.2017 № 569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085».
• Указ Президента Российской Федерации от 22.12.2017 № 620 «О совершенствовании Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
• Указ Президента Российской Федерации от 27.02.2018 № 89 «О внесении изменений в Положение о Федеральной службе охраны Российской Федерации, утверждённое Указом Президента Российской Федерации от 7 августа 2004 г. № 1013».
• Указ Президента Российской Федерации от 02.03.2018 № 98 «О внесении изменения в перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203».
• Указ Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».

Список изменяющих документов:

Указ Президента Российской Федерации от 22.11.2023 № 887 «О внесении изменения в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».

Указ Президента Российской Федерации от 07.04.2025 № 214 «О внесении изменения в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».

• Указ Президента Российской Федерации от 14.04.2022 № 203 «О Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации».

Список изменяющих документов:

Указ Президента Российской Федерации от 26.12.2022 № 954 «О внесении изменений в состав Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации по должностям, утвержденный Указом Президента Российской Федерации от 14.04.2022 № 203».

Указ Президента Российской Федерации от 11.02.2023 № 82 «О внесении изменений в состав Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации по должностям, утвержденный Указом Президента Российской Федерации от 14.04.2022 № 203».

• Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

Список изменяющих документов: Указ Президента Российской Федерации от 13.06.2024 № 500 «О внесении изменения в Указ Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

К оглавлению.

Постановления Правительства

• Постановление Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации».

Список изменяющих документов:

Постановление Правительства Российской Федерации от 13.04.2019 № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127».

Постановления Правительства Российской Федерации от 24.12.2021 № 2431 «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации».

Постановление Правительства Российской Федерации от 19.08.2022 № 1463 «О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации».

Постановление Правительства Российской Федерации от 20.12.2022 № 2360 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127».

Постановление Правительства Российской Федерации от 19.09.2024 № 1281 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127».

Постановление Правительства Российской Федерации от 07.11.2025 № 1762 «О внесении изменений в некоторые акты Правительства Российской Федерации».

• Постановление Правительства Российской Федерации от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
• Постановление Правительства Российской Федерации от 08.06.2019 № 743 «Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения безопасности значимых объектов критической информационной инфраструктуры».
• Постановление Правительства Российской Федерации от 21.12.2019 № 1746 «Об установлении запрета на допуск отдельных видов товаров, происходящих из иностранных государств, и внесении изменений в некоторые акты Правительства Российской Федерации» (документ утратил силу).
• Постановление Правительства Российской Федерации от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)».
• Постановление Правительства Российской Федерации от 22.08.2022 № 1478
  «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом „О закупках товаров, работ, услуг отдельными видами юридических лиц“ (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом „О закупках товаров, работ, услуг отдельными видами юридических лиц“ (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, органов государственной власти, заказчиков, осуществляющих закупки в соответствии с Федеральным законом „О закупках товаров, работ, услуг отдельными видами юридических лиц“ (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации».

Список изменяющих документов: постановление Правительства Российской Федерации от 17.10.2023 № 1716.

• Постановление Правительства Российской Федерации от 14.11.2023 № 1912
  «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации».

К оглавлению.

Приказы ФСТЭК России

• Приказ ФСТЭК России от 06.12.2017 № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».

Список изменяющих документов:

приказ ФСТЭК России от 10 февраля 2022 г. № 26 «О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утверждённый приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227».

приказ ФСТЭК России от 01.09.2023 № 177 «О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227».

приказ ФСТЭК России от 17.07.2025 № 254 «О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом ФСТЭК России от 6 декабря 2017 г. № 227».

• Приказ ФСТЭК России от 11.12.2017 № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
• Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».

Список изменяющих документов:

Приказ ФСТЭК России от 27.03.2019 № 64 «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235».

Приказ ФСТЭК России от 20.04.2023 № 69 «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21 декабря 2017 г. № 235».

• Приказ ФСТЭК России от 22.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

Список изменяющих документов:

приказ ФСТЭК России от 21 марта 2019 г. № 59 «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. № 236».

приказ ФСТЭК России от 11.07.2025 № 247 «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом ФСТЭК России от 22 декабря 2017 г. № 236».

• Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Список изменяющих документов:

Приказ ФСТЭК России от 09 августа 2018 г. № 138 «О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утверждённые приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31, и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».

Приказ ФСТЭК России от 26 марта 2019 г. № 60 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».

Приказ ФСТЭК России от 20.02.2020 № 35 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».

Приказ ФСТЭК России от 28.08.2024 № 159 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».

• Приказ ФСТЭК России от 28.05.2020 № 75 «Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования».
• Расширенный перечень сведений, подлежащих засекречиванию, ФСТЭК России* (в части раскрытия и конкретизации пункта 119 Перечня сведений, отнесенных к государственной тайне, утвержденного Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203) [документ ограниченного доступа].
• Приказ ФСТЭК России от 18.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».

К оглавлению.

Иные документы ФСТЭК России

• Информационное сообщение ФСТЭК России о методических документах по вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации от 04.05.2018 № 240/22/2339.
• Информационное сообщение ФСТЭК России по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий от 24.08.2018 № 240/25/3752 (фактически утратило силу).
• Информационное сообщение ФСТЭК России о разработанной ФСТЭК России примерной программе повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры от 17.12.2018 № 240/11/5453.
• Перечень нормативных правовых актов или отдельных их частей, оценка соблюдения которых является предметом государственного контроля (надзора) в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утверждённый приказом ФСТЭК России от 16.07.2019 № 135.
• Рекомендации по обеспечению безопасности объектов критической информационной инфраструктуры при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов критической информационной инфраструктуры (письмо ФСТЭК России от 20.03.2020 № 240/84/389).
• Информационное сообщение ФСТЭК России от 17.04.2020 № 240/84/611 по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
• Информационное сообщение ФСТЭК России от 24.03.2022 № 240/22/1549 «О мерах по повышению защищенности информационной инфраструктуры».
• Информационное сообщение ФСТЭК России от 28.06.2022 № 240/83/1698 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий».
• Информационное сообщение ФСТЭК России от 06.03.2024 № 240/82/580 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий».
• Информационное сообщение ФСТЭК России от 27.05.2024 № 240/82/1376 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий».
• Информационное сообщение ФСТЭК России от 12.08.2024 № 240/83/2028 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий».
• Информационное сообщение ФСТЭК России от 12.03.2025 № 240/82/672 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий».
• Информационное сообщение ФСТЭК России от 22.10.2025 № 240/84/3251 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
• Методический документ «Рекомендации по подготовке планов мероприятий, реализуемых субъектами КИИ при установлении в отношении принадлежащих им объектов КИИ уровней опасности проведения целевых атак», утвержден ФСТЭК России 09.08.2021 [документ ограниченного доступа, рассылался целенаправленно в ряд субъектов КИИ].
• Методический документ «Руководство по организации процесса управления уязвимостями в органе (организации)», утвержден ФСТЭК России 17.05.2023.
• Методический документ «Методика оценки уровня критичности программных, программно-аппаратных средств», утвержден ФСТЭК России 28.10.2022.
• Методический документ «Методика тестирования обновлений безопасности программных, программно-аппаратных средств», утвержден ФСТЭК России 28.10.2022.
• Методический документ «Методика оценки показателя состояния защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», утвержден ФСТЭК России 11.11.2024.
• Рекомендации по реализации организационных и технических мер защиты информации, направляемых ФСТЭК России.

К оглавлению.

Приказы ФСБ России

• Приказ ФСБ России от 24.07.2018 № 366 «О Национальном координационном центре по компьютерным инцидентам».

Список изменяющих документов: приказ ФСБ России от 24.12.2025 № 540 «О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам, утвержденное приказом ФСБ России от 24 июля 2018 г. № 366».

• Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
• Приказ ФСБ России от 01.11.2022 № 543 «Об определении переходного периода, предусмотренного подпунктом „б“ пункта 5 Указа Президента Российской Федерации от 1 мая 2022 г. № 250».

Список изменяющих документов: приказ ФСБ России от 21.07.2025 № 282 «О внесении изменения в приказ ФСБ России от 1 ноября 2022 г. № 543 „Об определении переходного периода, предусмотренного подпунктом „б“ пункта 5 Указа Президента Российской Федерации от 1 мая 2022 г. № 250».

• Приказ ФСБ России от 11.05.2023 № 213 «Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими».
• Приказ ФСБ России от 23.12.2025 № 539 «Об утверждении Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения».
• Приказ ФСБ России от 25.12.2025 № 546 «Об утверждении Порядка обмена информацией о компьютерных атаках и компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты».
• Приказ ФСБ России от 25.12.2025 № 547 «Об утверждении Порядка информирования ФСБ России о компьютерных атаках и компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации и иных информационных ресурсов Российской Федерации, принадлежащих органам и организациям, на которые возложены обязанности, предусмотренные частью 4 статьи 9 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
• Приказ ФСБ России от 25.12.2025 № 548 «Об утверждении Порядка осуществления непрерывного взаимодействия субъектов критической информационной инфраструктуры Российской Федерации, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры Российской Федерации, а также руководителей органов и организаций, на которых возложены обязанности, предусмотренные частью 4 статьи 9 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
• Приказ ФСБ России от 26.12.2025 № 553 «Об утверждении Порядка и Технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе средств, предназначенных для поиска признаков компьютерных атак, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации».
• Приказ ФСБ России от 26.12.2025 № 554 «Об установлении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе к средствам, предназначенным для поиска признаков компьютерных атак».

К оглавлению.

Иные документы ФСБ России

• Требования к подразделениям и должностным лицам субъекта ГосСОПКА [документ ограниченного доступа].
• Регламент информационного взаимодействия.
• Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы [документ ограниченного доступа].
• Методические рекомендации по установлению причин и ликвидации последствий компьютерных атак [документ ограниченного доступа].
• Методические рекомендации по проведению мероприятий по оценке защищенности от компьютерных атак.
• Варианты организации защищенного канала.
• Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, от 24.12.2016 № 149/2/7-200.
• Временный порядок включения корпоративных центров в ГосСОПКА.
• Методические рекомендации по разработке Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ [документ ограниченного доступа, рассылался целенаправленно в ряд субъектов КИИ].

К оглавлению.

Приказы Минцифры

• Приказ Минкомсвязи России от 17.03.2020 № 114 «Об утверждении Порядка и Технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации».
• Приказ Минцифры России от 28.12.2020 № 777 «Об утверждении Рекомендаций по проведению сертификации оборудования связи, используемого в составе сетей связи общего пользования, обеспечивающей функционирование значимых объектов критической информационной инфраструктуры» [документ ограниченного доступа].
• Приказ Минцифры России от 28.12.2020 № 779 «Об утверждении организационно-технических мер по обеспечению информационной безопасности ресурсов сети связи общего пользования, используемых значимыми объектами критической информационной инфраструктуры» [документ ограниченного доступа].
• Приказ Минцифры России от 18.01.2023 № 21 «Об утверждении Методических рекомендаций по переходу на использование российского программного обеспечения, в том числе на значимых объектах критической информационной инфраструктуры Российской Федерации, и о реализации мер, направленных на ускоренный переход органов государственной власти и организаций на использование российского программного обеспечения в Российской Федерации».

К оглавлению.

Профстандарт

Профессиональный стандарт «Специалист по обнаружению, предупреждению и ликвидации последствий компьютерных атак», утвержденный приказом Министерства труда и социальной защиты России от 29.12.2015 № 1179н [документ ограниченного доступа].

К оглавлению.

Субсидирование

• Постановление Правительства Российской Федерации от 12.10.2019 № 1320 «Об утверждении Правил предоставления субсидий из федерального бюджета на создание киберполигона для обучения и тренировки специалистов и экспертов разного профиля, руководителей в области информационной безопасности и информационных технологий современным практикам обеспечения безопасности».
• Приказ Минкомсвязи от 11.11.2019 № 705 «О конкурсной комиссии Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации по проведению конкурсного отбора на предоставление Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации субсидий из федерального бюджета на создание киберполигона для обучения и тренировки специалистов и экспертов разного профиля, руководителей в области информационной безопасности и информационных технологий своевременным практикам обеспечения безопасности».
• Постановление Правительства Российской Федерации от 17.09.2022 № 1636 «Об утверждении Правил предоставления субсидии из федерального бюджета на создание и обеспечение деятельности отраслевого центра компетенций по информационной безопасности в промышленности».

К оглавлению.

Отраслевые особенности категорирования

• Постановление Правительства Российской Федерации от 16.01.2026 № 4 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры, функционирующих в области атомной энергии».
• Постановление Правительства Российской Федерации от 06.02.2026 № 92 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры Российской Федерации в банковской сфере и иных сферах финансового рынка».
• Постановление Правительства Российской Федерации от 07.03.2026 № 246 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры Российской Федерации в сфере науки».
• Постановление Правительства Российской Федерации от 23.03.2026 № 303 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры в сфере государственной регистрации прав на недвижимое имущество и сделок с ним».
• Постановление Правительства Российской Федерации от 31.03.2026 № 356 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры, функционирующих в сфере ракетно-космической промышленности».
• Постановление Правительства Российской Федерации от 13.04.2026 № 402 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры Российской Федерации в сфере связи».

К оглавлению.

Дополнительные документы по категорированию ОКИИ

• Методические указания по категорированию объектов критической информационной инфраструктуры, принадлежащих субъектам критической информационной инфраструктуры, осуществляющим деятельность в сфере связи [https://digital.gov.ru/documents/metodicheskie-ukazaniya-po-kategorirovaniyu-obektov-kriticheskoj-informaczionnoj-infrastruktury-prinadlezhashhih-subektam-kriticheskoj-informaczionnoj-infrastruktury-osushhestvlyayushhim-deyatelnost].
• Методические рекомендации определению и категорированию объектов критической информационной инфраструктуры топливно-энергетического комплекса, согласованные Минэнерго России и ФСТЭК России [Внимание, данные рекомендации не в полной мере учитывают постановление Правительства Российской Федерации от 13 апреля 2019 г. № 452 (https://minenergo.gov.ru/view-pdf/11357/102517)].
• Методические рекомендации «Категорирование объектов критической информационной инфраструктуры», разработанные ООО «СТЭП ЛОДЖИК» [https://step.ru/upload/iblock/878/87877a75035badbaed3ab8f792ea0ca5.pdf].
• Безопасность объектов критической информационной инфраструктуры организации, разработанные Межрегиональной общественной организацией Ассоциация руководителей служб информационной безопасности» [http://aciso.ru/files/docs/metodichka_2.0.pdf].
• Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения [https://minzdrav.gov.ru/documents/9646-metodicheskie-rekomendatsii-po-kategorirovaniyu-ob-ektov-kriticheskoy-informatsionnoy-infrastruktury-sfery-zdravoohraneniya].
• Методические рекомендации по категорированию объектов критической информационной инфраструктуры, функционирующих в сфере науки [https://minobrnauki.gov.ru/upload/2025/02/%D0%9C%D0%B5%D1%82%D0%BE%D0%B4%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B5%20%D1%80%D0%B5%D0%BA%D0%BE%D0%BC%D0%B5%D0%BD%D0%B4%D0%B0%D1%86%D0%B8%D0%B8%20%D0%BF%D0%BE%20%D0%BA%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8E%20%D0%BE%D0%B1%D1%8A%D0%B5%D0%BA%D1%82%D0%BE%D0%B2%20%D0%BA%D1%80%D0%B8%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9%20%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC....pdf].
• Приказ Минздрава Московской области от 20.08.2020 № 1123 «Об утверждении методических рекомендаций по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры на объектах информатизации медицинских организаций для учреждений государственной системы здравоохранения Московской области».
• Приказ Минпромторга от 31.05.2023 № 1981«Об утверждении Порядка проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127, и установлении критериев определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127».

К оглавлению.

Перечень типовых отраслевых объектов КИИ

Распоряжение Правительства РФ от 26.02.2026 N 360-р (Об утверждении перечня типовых отраслевых объектов критической информационной инфраструктуры Российской Федерации).

Ниже (справочно) прежние перечни типовых отраслевых объектов КИИ по некоторым отраслям:

1. В сфере энергетики: https://minenergo.gov.ru/opendata/7715847529-perechen-obektov-kii-20232

2. В сфере транспорта: https://mintrans.gov.ru/documents/7/12506?type=

3. В области химической промышленности: https://minpromtorg.gov.ru/activities/vgpp/vgpp4/perechni-tipovyh-obektov-kii?pdfModalID=628c9d9c-c689-4b8e-9f3a-414216b2e170

4. В области горнодобывающей промышленности (в части руд, камней): https://minpromtorg.gov.ru/activities/vgpp/vgpp4/perechni-tipovyh-obektov-kii?pdfModalID=444a7b4a-6a1a-4bf6-b503-4d2f93016f62&fileModalID=01a07fdf-8b85-4c69-b19c-7dd668d65dcb

5. В области металлургической промышленности: https://minpromtorg.gov.ru/activities/vgpp/vgpp4/perechni-tipovyh-obektov-kii?pdfModalID=742b140c-aa6f-45f7-b170-5686f19c690a

6. В области оборонной промышленности: https://minpromtorg.gov.ru/activities/vgpp/vgpp4/perechni-tipovyh-obektov-kii?pdfModalID=132a4cf9-e70d-4d4d-9698-cf3681fa3939

7. В сфере здравоохранения: https://portal.egisz.rosminzdrav.ru/materials/4525

8. В сфере науки: https://minobrnauki.gov.ru/ib/kii/ptokii/

9. В сфере связи: https://digital.gov.ru/ru/documents/9451/

10. В сфере ТЭК: https://minenergo.gov.ru/opendata/7715847529-perechen-obektov-kii-tek-2023?ysclid=m737zkakej838476157

К оглавлению.

Иные документы

• Методические рекомендации по формированию отраслевых планов мероприятий по обеспечению готовности заказчиков к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации.
• Типовое техническое задание на выполнение работ по оценке уровня защищенности информационной инфраструктуры.
• ГОСТ Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации».
• ГОСТ Р 59709-2022 «Защита информации. Управление компьютерными инцидентами. Термины и определения».
• ГОСТ Р 59710-2022 «Защита информации. Управление компьютерными инцидентами. Общие положения».
• ГОСТ Р 59711-2022 «Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами».
• ГОСТ Р 59712-2022 «Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты».
• ГОСТ Р 70732-2023 «Автоматизированные системы управления технологическими процессами и техническими средствами железнодорожного транспорта. Требования к функциональной и информационной безопасности программного обеспечения и методы контроля».
• ПНСТ 905-2023 «Критическая информационная инфраструктура. Доверенные программно-аппаратные комплексы. Термины и определения».
• ПНСТ 911-2024 «Критическая информационная инфраструктура. Доверенные интегральные микросхемы и электронные модули. Общие положения».
• ПНСТ 1007-2025 «Критическая информационная инфраструктура. Программно-аппаратные комплексы. Классификация по назначению».
• ПНСТ 1009-2025 «Критическая информационная инфраструктура. Программное обеспечение для доверенных программно-аппаратных комплексов. Общие положения».
• ГОСТ Р 72507-2026 «Критическая информационная инфраструктура. Микросхемы интегральные доверенные. Общие требования к производству».
• ПНСТ 1046-2026 «Искусственный интеллект в критической информационной инфраструктуре. Общие положения».
• Инструкция по выполнению требований законодательства Российской Федерации о защите критической информационной инфраструктуры организациями, осуществляющими деятельность в сфере оборонной, металлургической и химической промышленности (https://minpromtorg.gov.ru/activities/vgpp/vgpp4/perechni-tipovyh-obektov-kii?pdfModalID=628c9d9c-c689-4b8e-9f3a-414216b2e170&fileModalID=a51b81f7-68dd-455f-b295-1da85e588c65).
• Методические рекомендации по выполнению кредитными и некредитными финансовыми организациями мероприятий по обеспечению безопасности критической информационной инфраструктуры Российской Федерации в части информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак, утверждённые Банком России 26.10.2023 № 14-МР.
• Методические рекомендации по взаимодействию кредитных организаций с МВД России и ФСБ России в целях принятия процессуальных решений при проведении компьютерных атак в отношении объектов критической информационной инфраструктуры, утверждённые Банком России 26.10.2023 № 15-МР.
• Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка, утверждённые Банком России 22.01.2025 № 2-МР.
• Приказ Минэнерго от 26.12.2023 № 1215 «Об утверждении дополнительных требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике».
• Приказ Минтруда от 30.01.2024 № 31ндсп «Об утверждении Межотраслевых норм времени на работы по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» [документ ограниченного доступа].

К оглавлению.

Вернуться в основной Telegram-канал.

Мероприятия, выполняемые обладателем информации, подлежащей обработке с использованием средств криптографической защиты информации

1. Создание органа криптографической защиты информации либо возложение функций органа криптографической защиты информации на физическое лицо (Функции органа криптографической защиты информации могут на договорной основе выполняться организацией, имеющей соответствующую лицензию ФСБ России).

п. 6 Инструкции 152 ФАПСИ.

2. Ознакомление лиц, оформляемых на работу в орган криптографической защиты информации, с Инструкцией 152 ФАПСИ под личную подпись (К выполнению обязанностей сотрудников органов криптографической защиты допускаются лица, имеющие необходимый уровень квалификации для обеспечения защиты конфиденциальной информации с использованием конкретного вида (типа) средств криптографической защиты информации).

п. 14 Инструкции 152 ФАПСИ

3. Распределение обязанностей сотрудников органа криптографической защиты информации.

п. 18 Инструкции 152 ФАПСИ

4. Разработка с последующим утверждением функциональных обязанностей сотрудников органа криптографической защиты информации.

п. 18 Инструкции 152 ФАПСИ

5. Уведомление ФСБ России о создании органа криптографической защиты информации.

п. 6 Инструкции 152 ФАПСИ

6. Выделение спецпомещений (помещений, где установлены средства криптографической защиты информации или хранятся ключевые документы к ним) с учетом требований Инструкции 152 ФАПСИ.

п. 52 Инструкции 152 ФАПСИ

7. Выделение спецпомещений органа криптографической защиты информации с учетом требований Инструкции 152 ФАПСИ.

п. 53 Инструкции 152 ФАПСИ

8. Оборудование спецпомещений, расположенных на первых или последних этажах зданий, а также окон, находящихся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению.

п. 52 Инструкции 152 ФАПСИ

9. Установление режима охраны спецпомещений и правила допуска сотрудников и посетителей в рабочее и нерабочее время.

п. 63 Инструкции 152 ФАПСИ

10. Установление режима охраны спецпомещений органа криптографической защиты информации.

п. 54 Инструкции 152 ФАПСИ

11. Оснащение спецпомещений органа криптографической защиты информации охранной сигнализацией.

п. 57 Инструкции 152 ФАПСИ

12. Осуществление периодического контроля за состоянием технических средств охраны спецпомещений.

п. 63 Инструкции 152 ФАПСИ

13. Осуществление периодического контроля за состоянием технических средств охраны спецпомещений органа криптографической защиты информации.

п. 54 Инструкции 152 ФАПСИ

14. Защита окон спецпомещений органа криптографической защиты информации от просмотра извне.

п. 56 Инструкции 152 ФАПСИ

15. Оснащение органов криптографической защиты информации необходимым числом надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин.

п. 58 Инструкции 152 ФАПСИ

16. Оснащение спецпомещений достаточным числом надежно запираемых шкафов (ящиков, хранилищ) индивидуального пользования, оборудованных приспособлениями для опечатывания замочных скважин.

п. 64 Инструкции 152 ФАПСИ

17. Нумерация ключей от дверей спецпомещений органа криптографической защиты информации.

п. 55 Инструкции 152 ФАПСИ

18. Организация и осуществление учета ключей спецпомещений и спецпомещений органа криптографической защиты информации.

п. 55, п. 58, п. 59 Инструкции 152 ФАПСИ

19. Организация обучения и повышения квалификации сотрудников органа криптографической защиты.

п. 17 Инструкции 152 ФАПСИ

20. Утверждение перечня пользователей средств криптографической защиты информации.

п. 19 Инструкции 152 ФАПСИ

21. Утверждение схемы организации криптографической защиты информации (В схеме должно быть указано наименование и размещение нижестоящих органов криптографической защиты, если таковые имеются, обладателей конфиденциальной информации, реквизиты договоров на оказание услуг по криптографической защите конфиденциальной информации, а также указаны типы применяемых средств криптографической защиты информации и ключевых документов к ним, виды защищаемой информации, используемые совместно с средствами криптографической защиты информации технические средства связи, прикладное и общесистемное программное обеспечение и средства вычислительной техники).

п. 7 Инструкции 152 ФАПСИ

22. Оборудование средствами контроля за вскрытием (опечатывание, опломбирование) аппаратных средств, с которыми осуществляется штатное функционирование средств криптографической защиты информации, а также аппаратных и аппаратно — программных средств криптографической защиты информации.

п. 31 Инструкции 152 ФАПСИ

23. Согласование инструкций, регламентирующих процессы подготовки, ввода, обработки, хранения и передачи защищаемой с использованием средств криптографической защиты информации конфиденциальной информации.

п. 10 Инструкции 152 ФАПСИ

24. Разработка, при необходимости, методических рекомендации по применению Инструкции 152 ФАПСИ, не противоречащих ее требованиям.

п. 11 Инструкции 152 ФАПСИ

25. Учет спецпомещений и хранилищ.

Общая рекомендация

26. Соблюдение условий эксплуатационной и технической документации к средствам криптографической защиты информации.

п. 5 Инструкции 152 ФАПСИ

Мероприятия, выполняемые органом криптографической защиты информации

27. Проверка готовности обладателей конфиденциальной информации к самостоятельному использованию средств криптографической защиты информации.

п. 7 Инструкции 152 ФАПСИ

28. Составление заключений о возможности эксплуатации средств криптографической защиты информации (В заключении должны быть указаны типы и номера используемых средств криптографической защиты информации, номера аппаратных, программных и аппаратно — программных средств, где установлены или к которым подключены средства криптографической защиты информации, с указанием также номеров печатей (пломбиров), которыми опечатаны (опломбированы) технические средства, включая средства криптографической защиты информации, и результаты проверки функционирования средств криптографической защиты информации).

п. 7 Инструкции 152 ФАПСИ

29. Разработка мероприятий по обеспечению функционирования и безопасности применяемых средств криптографической защиты информации в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам.

п. 7 Инструкции 152 ФАПСИ

30. Разработка программы обучения по правилам работы с средствами криптографической защиты информации.

п. 21 Инструкции 152 ФАПСИ

31. Обучение лиц, использующих средств криптографической защиты информации, правилам работы с ними.

п. 7, п. 21 Инструкции 152 ФАПСИ

32. Принятие зачетов по программе обучения по правилам работы с средствами криптографической защиты информации.

п. 21 Инструкции 152 ФАПСИ

33. Составление заключений, подтверждающих должную специальную подготовку пользователей и возможность их допуска к самостоятельной работе с средствами криптографической защиты информации.

п. 21 Инструкции 152 ФАПСИ

34. Составление перечня пользователей средств криптографической защиты информации.

п. 7 Инструкции 152 ФАПСИ

35. Учет обслуживаемых обладателей информации, а также пользователей средств криптографической защиты информации.

п. 7 Инструкции 152 ФАПСИ

36. Поэкземплярный учет используемых средств криптографической защиты информации, эксплуатационной и технической документации к ним (Осуществляется в журнале поэкземплярного учета средств криптографической защиты информации по образцу, установленному Инструкцией 152 ФАПСИ).

п. 7, п. 27 Инструкции 152 ФАПСИ

37. Заведение и ведение на каждого пользователя средств криптографической защиты информации лицевого счета (В лицевом счете регистрируют числящиеся за пользователем средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы).

п. 27 Инструкции 152 ФАПСИ

38. Выдача средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов пользователям средств криптографической защиты информации под расписку в соответствующем журнале.

п. 27 Инструкции 152 ФАПСИ

39. Подача заявок в ФСБ России или лицензиату, имеющему лицензию ФСБ на деятельность по изготовлению ключевых документов для средств криптографической защиты информации, на изготовление ключевых документов или исходной ключевой информации. Изготовление из исходной ключевой информации ключевых документов, их распределение, рассылку и учет.

п. 7 Инструкции 152 ФАПСИ

40. Контроль за соблюдением условий использования средств криптографической защиты информации, установленных эксплуатационной и технической документацией к средствам криптографической защиты информации, сертификатом ФСБ России и Инструкцией 152 ФАПСИ.

п. 7 Инструкции 152 ФАПСИ

41. Расследование и составление заключений по фактам нарушения условий использования средств криптографической защиты информации, которые могут привести к снижению уровня защиты конфиденциальной информации.

п. 7 Инструкции 152 ФАПСИ

42. Разработка и принятие мер по предотвращению возможных опасных последствий нарушений, которые могут привести к снижению уровня защиты конфиденциальной информации.

п. 7 Инструкции 152 ФАПСИ

43. Разработка схемы организации криптографической защиты конфиденциальной информации.

п. 7 Инструкции 152 ФАПСИ

44. Установление порядка оповещения пользователей средств криптографической информации о предполагаемой компрометации криптоключей и их замене.

п. 50 Инструкции 152 ФАПСИ

45. Проверка исправности сигнализации спецпомещений органа криптографической защиты информации.

п. 57 Инструкции 152 ФАПСИ

46. Обобщение результатов всех видов контроля, анализ причин выявленных недостатков, разработка мер по их профилактике, контроль выполнения рекомендаций, содержащихся в актах проверок.

п. 73 Инструкции 152 ФАПСИ

P. S. кстати, о нюансах и формах ведения журналов учёта ключей от спецпомещений и хранилищ можно прочитать здесь.

В начало заметки.

Вернуться в основной Telegram-канал.