Главная / Кибербезопасность и Digital Reputation

Разработка документов по защите КИИ: полный пакет по 187-ФЗ

Разработка полного комплекта документов для субъектов КИИ. Акты категорирования, Модели угроз, Технические задания, регламенты реагирования и инструкции персонала. Соответствие Приказам ФСТЭК № 235, 239 и 127-ПП. Подготовка к проверкам.
Консультация юриста Примеры из практики

Обеспечение безопасности критической информационной инфраструктуры (КИИ) начинается не с установки межсетевых экранов, а с разработки качественной нормативной базы. Федеральный закон № 187-ФЗ и подзаконные акты ФСТЭК России предъявляют жесткие требования к наличию и содержанию организационно-распорядительной документации. Отсутствие или формальный характер этих документов является нарушением законодательства и влечет административную ответственность. Разработка документов по защите КИИ — это фундамент, на котором строится вся система безопасности субъекта, и главный аргумент защиты при проверках регуляторов.

Комплект документов по защите КИИ — это не просто бюрократия. Это юридически значимые регламенты, которые определяют ответственность персонала, порядок действий в кризисных ситуациях и правила работы с оборудованием. В случае кибератаки именно эти документы будут изучать следователи и эксперты ФСТЭК, чтобы определить степень вины руководства и сотрудников. Качественная документация доказывает, что организация предприняла все необходимые меры для защиты.

Обязательный минимум документации

Пакет документов для субъекта КИИ можно разделить на несколько функциональных блоков. Каждый из них должен быть разработан с учетом специфики конкретной организации.

1. Организационные документы (Управление)

Этот блок фиксирует структуру системы безопасности.

  • Политика информационной безопасности. Декларативный документ, определяющий цели и задачи защиты.
  • Приказ о создании комиссии по категорированию. Определяет лиц, ответственных за выявление и оценку объектов КИИ.
  • Положение о комиссии. Регламентирует порядок работы комиссии, методику оценки ущерба и принятия решений.
  • Акт категорирования. Ключевой документ, фиксирующий результаты оценки значимости объектов. Он должен содержать обоснование присвоения (или неприсвоения) категории по всем показателям.

2. Проектная и техническая документация

Для значимых объектов КИИ (ЗОКИИ) необходимо создавать систему защиты в соответствии с Приказом ФСТЭК № 239.
Необходимы:

  • Модель угроз безопасности информации. Документ, описывающий актуальные векторы атак, возможности нарушителя и уязвимости системы. Модель должна регулярно пересматриваться.
  • Техническое задание (ТЗ) на создание системы защиты. Описывает требования к средствам защиты, их настройке и интеграции.
  • Технический проект. Детальное описание архитектуры безопасности.
  • Программа и методики испытаний. Документ для проверки эффективности внедренных мер защиты.
VFS Consulting Юридические решения нового поколения
Разработка документов по защите КИИ: полный пакет по 187-ФЗ
+7 (495) 266-06-93
  • Юридическая помощь в решении проблемных ситуаций
  • Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов

    3. Эксплуатационная документация (Регламенты)

    Самый объемный блок, описывающий ежедневную работу.
    В него входят:

    1. Инструкции администраторов и пользователей. Четкие правила: как создавать пароли, как работать со съемными носителями, что делать при ошибках.
    2. Регламент управления инцидентами. Пошаговый алгоритм действий при обнаружении атаки: кого уведомлять, как изолировать сеть, как собирать доказательства.
    3. План реагирования на компьютерные инциденты. Документ, согласованный с требованиями ГосСОПКА (НКЦКИ).
    4. Регламент проведения контроля (аудита). Порядок проверки состояния защищенности своими силами.

    Типичные ошибки при разработке

    Многие компании пытаются использовать типовые шаблоны из интернета. Это опасно по нескольким причинам:

    • Несоответствие реальности. В документах описаны средства защиты, которых нет в организации, или процессы, которые не работают. Это трактуется как введение регулятора в заблуждение.
    • Устаревшие нормы. Законодательство меняется быстро (новые указы Президента по импортозамещению, изменения в приказах ФСТЭК). Шаблоны часто ссылаются на отмененные акты.
    • Отсутствие подписей. Документ не работает, если с ним не ознакомлены сотрудники под роспись.

    Мы предлагаем разработку документов по защите КИИ «под ключ». Наши эксперты проводят аудит, интервьюируют сотрудников и создают комплект документов, который полностью соответствует вашей IT-инфраструктуре и требованиям 187-ФЗ.

    Получить консультацию

    Другие услуги в направлении кибербезопасность и digital reputation

    Сопровождение IT проектов безопасность: DevSecOps с юридической стороны
    Режим коммерческой тайны: пакет документов для защиты информации
    Легализация майнинга в РФ: реестры, налоги и лимиты
    Как удалить отзыв на Яндекс Картах: правовые методы борьбы с негативом
    Налогообложение криптовалют: как платить и не переплачивать
    Аудит соответствия 187-ФЗ: подготовка к проверке ФСТЭК
    Штраф за неуведомление об утечке: как избежать санкций Роскомнадзора

    Кейсы из практики

    cs

    Подготовка Fintech-стартапа к раунду А

    Основатели платежного сервиса планировали привлечь $5 млн инвестиций. Проведенный нами предварительный Vendor Due Diligence выявил критические риски: часть ядра системы была написана аутсорсерами без договоров отчуждения прав, а база данных пользователей не соответствовала требованиям локализации 152-ФЗ. Мы оперативно провели «очистку» прав, заключив ретроспективные договоры, и актуализировали политику processing data, подготовив компанию к проверке юристами фонда.

    Результат

    Инвестиционная сделка закрыта успешно, оценка компании не была дисконтирована из-за правовых рисков.

    cs

    Аудит при покупке конкурента (M-and-A)

    Клиент рассматривал покупку нишевого маркетплейса. В ходе Due Diligence IT проекта наши юристы обнаружили скрытые судебные угрозы: доменное имя приобретаемой компании нарушало права на чужой товарный знак, а ключевые контракты с поставщиками содержали условия, позволяющие разорвать их при смене владельца (Change of Control clause). Мы оценили потенциальные убытки в 40% от стоимости сделки и предоставили клиенту аргументы для пересмотра цены покупки.

    Результат

    Цена сделки снижена на 35%, риски нарушений товарных знаков устранены через ребрендинг до закрытия.

    Часто задаваемые вопросы

    Ответы на вопросы о бюрократии в сфере инфобезопасности.

    Нужно ли согласовывать модель угроз с ФСТЭК?
    Для значимых объектов КИИ модель угроз не подлежит обязательному согласованию с ФСТЭК, но она проверяется при плановых проверках и при аттестации системы. Модель должна быть утверждена руководителем организации. Однако для ГИС (государственных информсистем) согласование может потребоваться.
    Как часто нужно обновлять документы по КИИ?
    Документы подлежат пересмотру при изменении законодательства, изменении архитектуры информационных систем, появлении новых угроз или не реже одного раза в 5 лет (при перекатегорировании). Регламенты реагирования рекомендуется тестировать и обновлять ежегодно в ходе киберучений.
    Кто должен подписывать Акт категорирования?
    Акт подписывается всеми членами комиссии по категорированию (включая IT, ИБ, технологов и режим) и утверждается руководителем субъекта КИИ (Генеральным директором). Ответственность за достоверность сведений несет руководитель.

    Консультация юриста

    Заполните форму, и наш эксперт свяжется с вами для бесплатной консультации





      Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности