Главная / Кибербезопасность и Digital Reputation
Юридический аутсорсинг в сфере Кибербезопасность и Digital Reputation

Включение в Реестр значимых объектов КИИ ФСТЭК: сопровождение

Помогаем включить системы в Реестр значимых объектов КИИ ФСТЭК. Проводим категорирование, готовим документы по 187-ФЗ, защищаем от проверок и штрафов.
Консультация юриста Обсудить проект в Telegram

Определение субъекта КИИ по закону 187-ФЗ

Федеральный закон № 187-ФЗ обязывает владельцев критических информационных систем защищать государственные интересы. Статус субъекта КИИ возникает у организации автоматически при наличии лицензий или видов деятельности в стратегических отраслях. Руководители частных клиник, банков и транспортных узлов часто игнорируют этот факт. Они ошибочно считают КИИ прерогативой оборонных предприятий или атомных станций. Закон трактует понятие шире.

Субъект КИИ обязан выявить значимые объекты и передать сведения о них во ФСТЭК России. Игнорирование этого требования влечет административную и уголовную ответственность.

Организация становится субъектом КИИ, если она владеет информационными системами, автоматизированными системами управления (АСУ ТП) или информационно-телекоммуникационными сетями. Эти системы должны обеспечивать работу в определенных секторах экономики. Перечень сфер деятельности зафиксирован в статье 2 профильного закона. Регистрация самого юридического лица в специальном реестре не требуется. Контролю подлежат конкретные ИТ-системы.

Отрасли под контролем регуляторов

Регуляторы относят к субъектам КИИ предприятия из тринадцати ключевых сфер. Если компания оказывает услуги связи или обрабатывает платежи, она попадает под действие закона. Медицинские организации с цифровыми картами пациентов и диагностическим оборудованием также входят в этот список. Промышленные заводы с программным управлением станков обязаны провести аудит своих систем.

Список отраслей, подпадающих под регулирование:

  • Здравоохранение и фармакология.
  • Транспортная инфраструктура и логистика.
  • Связь и телекоммуникации.
  • Финансовый сектор и банковские услуги.
  • Энергетика и топливная промышленность.
  • Атомная энергия и оборонная промышленность.
  • Металлургия, химия и горнодобыча.
  • Наука и государственное управление.

Владелец системы обязан самостоятельно инициировать процедуру категорирования. ФСТЭК проверяет полноту представленных списков. Если ведомство обнаружит неучтенные системы, оно пришлет предписание о включении объектов в перечень. Отказ выполнять требования регулятора приведет к проверкам прокуратуры.

Процедура категорирования и внесения в реестр

Процесс начинается с создания постоянно действующей комиссии внутри организации. Руководитель издает приказ и назначает ответственных лиц из числа ИТ-специалистов и сотрудников службы безопасности. Комиссия анализирует все бизнес-процессы компании. Цель работы: найти точки, где сбой ИТ-системы приведет к социальному, экономическому или экологическому ущербу. Выявленные системы называют объектами КИИ.

Комиссия оценивает каждый объект по показателям значимости. Существует три категории: первая (высшая), вторая и третья. Если система не соответствует ни одному критерию, ей присваивают статус без категории. Результаты оценки оформляют актом категорирования. Этот документ компания отправляет во ФСТЭК России в течение десяти рабочих дней после подписания.

VFS CONSULTING Юридические решения для малого, среднего и крупного бизнеса в России и за рубежом
Консультация
+7 (495) 118 24 84

Реестр значимых объектов КИИ является закрытым государственным информационным ресурсом. Доступ к нему имеют только уполномоченные сотрудники регуляторов.

Этапы работы с Реестром ЗОКИИ:

  1. Формирование перечня объектов, подлежащих категорированию.
  2. Согласование этого перечня с профильным министерством или ФСТЭК.
  3. Оценка масштаба последствий от возможных компьютерных атак.
  4. Присвоение категории значимости или обоснование ее отсутствия.
  5. Направление сведений по установленной форме в центральный аппарат ФСТЭК.
  6. Получение уведомления о включении объекта в Реестр.

Обязанности после включения в реестр

Нахождение в Реестре ЗОКИИ накладывает на бизнес жесткие обязательства. ФСТЭК контролирует выполнение требований по защите информации. Вы должны построить систему безопасности согласно Приказу № 239. Это подразумевает использование сертифицированных средств защиты: межсетевых экранов, систем обнаружения вторжений и средств антивирусного контроля. Регулятор проверяет наличие этих средств при плановых инспекциях.

Субъект КИИ обязан подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Вы должны передавать данные о любых инцидентах в НКЦКИ. Срок уведомления о серьезных атаках составляет несколько часов. За сокрытие информации об инцидентах предусмотрены штрафы по статье 13.12.1 КоАП РФ. Уголовный кодекс предусматривает лишение свободы за нарушение правил эксплуатации ЗОКИИ.

Импортозамещение стало обязательным требованием. Указ Президента № 166 запрещает использование иностранного программного обеспечения на значимых объектах КИИ с 1 января 2026 года. Организациям запрещено закупать софт из недружественных стран. Вы должны заменить операционные системы, базы данных и офисные пакеты на отечественные аналоги. ФСТЭК следит за темпами перехода в ходе проверок.

Изменение сведений и исключение из реестра

Данные в Реестре должны соответствовать реальности. Если вы модернизируете ИТ-инфраструктуру, меняете сетевую архитектуру или обновляете ПО, статус объекта может измениться. Организация обязана уведомить ФСТЭК об изменениях в течение 20 рабочих дней. Перекатегорирование проводят при смене собственника или изменении масштаба деятельности предприятия. Мы готовим пакеты документов для корректировки реестровых записей.

Исключение объекта из Реестра возможно при его выводе из эксплуатации. Если компания ликвидирует систему или переходит на аутсорсинг с полным удалением инфраструктуры, она направляет уведомление регулятору. Простое нежелание числиться в реестре не является основанием для исключения. ФСТЭК потребует доказательства, что объект перестал влиять на безопасность государства или населения.

Взаимодействие с аутсорсинговыми компаниями требует особого внимания. Передача функций администрирования не снимает ответственности с владельца КИИ. Вы должны прописывать требования безопасности в договорах с подрядчиками. Контроль за действиями системных администраторов на аутсорсинге остается вашей обязанностью. Юридическая поддержка помогает распределить риски и избежать санкций за ошибки третьих лиц.

Смотрите так же в направлении кибербезопасность и digital reputation

Разработка Обязательства о неразглашении персональных данных (ПДн)
Возврат похищенных средств с расчетного счета: как взыскать деньги с банка и дропов
Форензик: внутренние корпоративные ИТ-расследования мошенничества
Право на забвение Яндекс: юридическая помощь в удалении ссылок по 264-ФЗ
Разработка документов по защите КИИ: подготовка ОРД под требования ФСТЭК
Юридическое удаление компромата и зачистка поиска Яндекса
Адвокат по кардингу: защита по статьям 158, 159.3, 187 УК РФ
Оставьте заявку или напишите вTelegram
360°
Комплексный подход
от 3500
Юридическая поддержка
AI
ИИ-аналитика
90%
Услуг оказаны удаленно

Кейсы из практики

cs

Структурирование сделки M-and-A для IT стартапа

На сопровождение поступил проект по продаже доли в SaaS-сервисе профильному стратегическому инвестору. Сложность заключалась в том, что активы (код, базы данных, домены) были распределены между несколькими ИП и ООО на УСН, что создавало риски при проведении Due Diligence. В рамках комплексного сопровождения мы консолидировали интеллектуальную собственность на головной компании (IP Holding), разработали корпоративный договор (SHA) для защиты миноритариев и согласовали условия вестинга для основателей, остающихся в проекте.

Результат

Сделка закрыта успешно, оценка компании не снизилась после юридического аудита.

cs

Защита от утечки базы данных клиентов

В рамках сопровождения IT-компании мы столкнулись с инцидентом: уволенный менеджер продаж пытался увести клиентскую базу конкурентам. Благодаря тому, что ранее мы внедрили на предприятии режим коммерческой тайны (NDA) и регламентировали доступ к CRM, у нас была доказательная база. Мы оперативно зафиксировали факт неправомерного доступа, подготовили заявление в полицию и досудебную претензию бывшему сотруднику и его новому работодателю о нарушении законодательства о защите конкуренции.

Результат

База данных удалена конкурентом добровольно, получен запрет на использование контактов.

Получить консультацию

Часто задаваемые вопросы

Ответы на вопросы о государственном учете критических систем.

Является ли реестр ЗОКИИ публичным?
Нет, сведения из Реестра значимых объектов КИИ являются информацией ограниченного доступа (конфиденциальной или даже секретной). Доступ к нему имеют только сотрудники ФСТЭК и уполномоченные органы. Выписку может получить только сам субъект в отношении своих объектов.
Обязательно ли иметь лицензию ФСТЭК, чтобы быть субъектом КИИ?
Нет, сам статус субъекта КИИ не требует лицензии. Однако работы по технической защите информации (ТЗИ) на объектах КИИ должны выполняться либо лицензиатом ФСТЭК (подрядчиком), либо собственным подразделением, если деятельность по ТЗИ осуществляется только для собственных нужд (хотя наличие лицензии приветствуется).
Что делать, если мы арендуем серверы в облаке (SaaS/IaaS)?
Если информационная система принадлежит вам (или вы обладаете правами на ее эксплуатацию), вы остаетесь субъектом КИИ, даже если «железо» арендовано. Вы обязаны обеспечить категорирование и защиту, прописав соответствующие требования в договоре с облачным провайдером (включая право на аудит и доступ к средствам защиты).

Задать вопрос юристу

Заполните форму, и наш специалист свяжется с вами для согласования даты и времени Он-лайн консультации


    — или —
    Задайте вопрос в Telegram vfsconsulting