Критическая инфраструктура России — это совокупность объектов, нарушение функционирования которых может угрожать национальной безопасности. Эксперты FindCert отмечают: выбор правильного постановления правительства для отнесения объекта к критической информационной инфраструктуре (КИИ) — ключевой этап для обеспечения кибербезопасности предприятий. От корректной категоризации зависят требования по защите, объем инвестиций и административная ответственность.
Нормативная база и основные постановления
Правовое регулирование критической инфраструктуры в России базируется на Федеральном законе № 187-ФЗ "О безопасности критической информационной инфраструктуры" и системе постановлений Правительства РФ. Основополагающими документами являются:
Постановление Правительства РФ № 127 от 08.02.2018 — устанавливает правила категорирования объектов КИИ и требования по обеспечению их безопасности;
Постановление Правительства РФ № 710 от 17.08.2018 — определяет состав, порядок создания государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак;
Постановление Правительства РФ № 1470 от 25.12.2017 — регламентирует создание государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы.
📌 Ключевое различие постановлений: № 127 регулирует процедуры категорирования и требования безопасности, № 710 — техническое взаимодействие с государственными системами мониторинга, № 1470 — организационные аспекты создания системы противодействия кибератакам.
Согласно статистике Минкомсвязи, по состоянию на 2024 год в реестре объектов КИИ зарегистрировано более 20 000 объектов различных категорий значимости. Неправильный выбор нормативного документа может привести к избыточным требованиям или недостаточной защите.
Алгоритм выбора применимого постановления
Этап 1. Определение принадлежности к КИИ
Первоначально необходимо установить, относится ли объект информационной инфраструктуры к критической. Критерии определены в части 1 статьи 2 ФЗ № 187:
Объекты здравоохранения, науки, транспорта, связи, энергетики, банковской сферы;
Объекты топливно-энергетического комплекса, атомной энергии, оборонной промышленности;
Объекты ракетно-космической промышленности, горнодобывающей и металлургической промышленности;
Объекты химической промышленности, российские информационные ресурсы в сети Интернет.
Этап 2. Категорирование объекта
После установления принадлежности к КИИ применяется Постановление № 127. Процедура категорирования включает:
Подача уведомления о начале категорирования в уполномоченный орган в сфере обеспечения безопасности КИИ (ФСТЭК России) не позднее чем за 30 дней;
Проведение самостоятельного категорирования субъектом КИИ в течение 6 месяцев;
Присвоение одной из трех категорий значимости (I — высшая, II — высокая, III — значительная) или исключение из состава КИИ;
Направление результатов категорирования в ФСТЭК России в течение 10 рабочих дней.
Этап 3. Определение дополнительных требований
⚡ Если объект отнесен к I или II категории значимости, дополнительно применяется Постановление № 710, устанавливающее обязанность по подключению к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Документооборот и требуемые документы
Для корректного применения постановлений необходим следующий пакет документов:
Паспорт объекта КИИ — основной документ, содержащий техническую характеристику объекта, перечень информационных систем, описание технологических процессов;
Модель угроз безопасности — документ, определяющий актуальные угрозы для конкретного объекта КИИ;
Техническое задание на создание системы безопасности — разрабатывается на основе модели угроз и требований постановлений;
План мероприятий по обеспечению безопасности — поэтапный план внедрения требований безопасности КИИ.
📊 Согласно практике FindCert, подготовка полного комплекта документов занимает от 3 до 6 месяцев в зависимости от сложности объекта и категории значимости.
Практические вопросы и экспертные ответы
Вопрос 1: Как определить, какое постановление применять, если объект находится на стыке отраслей?
При межотраслевой принадлежности объекта применяется принцип основного вида деятельности. Например, банк с собственной IT-инфраструктурой категорируется по критериям банковской сферы (Постановление № 127, приложение № 6). Если объект выполняет функции в нескольких критически важных отраслях, категорирование проводится по наиболее строгим требованиям.
Вопрос 2: Обязательно ли применение всех постановлений одновременно?
Нет, применение носит каскадный характер. Постановление № 127 — базовое для всех объектов КИИ. Постановление № 710 применяется только для объектов I и II категорий значимости. Постановление № 1470 регулирует создание государственной системы и не содержит прямых требований к субъектам КИИ.
Вопрос 3: Какие санкции предусмотрены за неправильное применение постановлений?
Согласно КоАП РФ (статья 13.36), нарушение требований по обеспечению безопасности КИИ влечет штраф: для должностных лиц — от 30 000 до 50 000 рублей, для юридических лиц — от 300 000 до 500 000 рублей. При повторном нарушении штрафы увеличиваются в два раза.
Вопрос 4: Можно ли изменить категорию значимости объекта после первоначального категорирования?
Да, повторное категорирование проводится при существенном изменении объекта КИИ, изменении процессов обработки информации или по требованию ФСТЭК России. Процедура аналогична первоначальному категорированию, но сроки сокращены до 3 месяцев.
💡 Практический совет от FindCert: Рекомендуется создать внутреннюю рабочую группу по КИИ с участием IT-директора, юриста и специалиста по информационной безопасности. Это обеспечит комплексный подход к выбору и применению нормативных требований.
🔍 Типичные ошибки при выборе постановления:
Применение требований I категории к объектам III категории значимости;
Игнорирование отраслевых особенностей при категорировании;
Неучет требований по подключению к ГосСОПКА для объектов высших категорий;
Формальный подход к разработке модели угроз без учета специфики деятельности.
Заключение и рекомендации FindCert
Выбор применимого постановления для объектов критической инфраструктуры требует глубокого понимания нормативной базы и специфики конкретного предприятия. Неправильный выбор может привести к избыточным затратам на внедрение неприменимых требований или недостаточной защите критически важных процессов.
⚠️ Ключевые рекомендации экспертов FindCert: начинайте с тщательного анализа деятельности предприятия и определения принадлежности к КИИ, привлекайте специализированные организации для категорирования сложных объектов, регулярно отслеживайте изменения в нормативной базе. Агрегатор FindCert поможет найти проверенных партнеров для решения задач по обеспечению безопасности критической информационной инфраструктуры — от категорирования до внедрения технических средств защиты.
Автор: Эксперт FindCert
Специалист в области сертификации товаров и услуг
Более 10 лет опыта в сфере сертификации, декларирования и получения разрешительных документов. Помогает бизнесу легально работать на российском рынке.
