Регулирование безопасности критической информационной инфраструктуры (КИИ) в России строится на системе подзаконных актов, издаваемых Федеральной службой по техническому и экспортному контролю (ФСТЭК России). Федеральный закон № 187-ФЗ задает рамки, а конкретные технические и организационные требования детализируются в приказах. Приказы ФСТЭК по КИИ — это свод правил, обязательных для исполнения всеми субъектами. Незнание этих документов или работа по устаревшим редакциям приводит к ошибкам в категорировании, построении защиты и, как следствие, к ответственности.
Ключевые документы образуют единую экосистему требований. Приказ № 235 регулирует организацию работ, Приказ № 239 задает технические стандарты защиты, а Приказ № 236 определяет формат отчетности. В последние годы в них вносились изменения, связанные с импортозамещением и усилением контроля за цепочками поставок. Понимание иерархии и сути этих приказов необходимо каждому руководителю и специалисту по ИБ.
Основные приказы и их суть
В системе регулирования КИИ выделяются «три кита»:
1. Приказ ФСТЭК России от 21.12.2017 № 235
«Об утверждении Требований к созданию систем безопасности значимых объектов КИИ…».
Этот документ говорит о том, **КАК организовать процесс**.
Он требует:
- Создать структурное подразделение по безопасности.
- Разработать комплект ОРД (политики, инструкции).
- Обеспечить силы и средства реагирования на инциденты.
2. Приказ ФСТЭК России от 25.12.2017 № 239
«Об утверждении Требований по обеспечению безопасности значимых объектов КИИ…».
Этот документ говорит о том, **ЧЕМ и КАК защищать**.
Он содержит:
- Каталог мер защиты (идентификация, аудит, антивирусы и др.).
- Требования к выбору мер в зависимости от категории значимости (1, 2, 3).
- Требования к средствам защиты информации (сертификация) и прикладному ПО (безопасная разработка).
Именно в 239-й приказ вносятся изменения, касающиеся импортозамещения и запрета на удаленный доступ из недружественных стран.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов
3. Приказ ФСТЭК России от 22.12.2017 № 236
«Об утверждении формы направления сведений о результатах присвоения… категории значимости…».
Чисто процедурный документ. Он утверждает форму (таблицу), которую нужно заполнить по итогам категорирования и отправить регулятору. Ошибка в заполнении формы — повод для возврата документов.
Дополнительные нормативные акты
Помимо основных, существуют и другие важные приказы:
- Приказ № 31 (о Банке данных угроз). Требование использовать БДУ ФСТЭК при моделировании угроз.
- Приказы ФСБ (по ГосСОПКА). Регламентируют обмен информацией об инцидентах.
- Постановление Правительства № 127. Правила категорирования (основа для применения приказов ФСТЭК).
Применение на практике
Сложность заключается не в чтении приказов, а в их интерпретации. Например, Приказ № 239 содержит сотни требований. Но не все они обязательны. Субъект КИИ должен провести адаптацию базового набора мер: выбрать только те, которые актуальны для его модели угроз и архитектуры. Это позволяет сэкономить бюджет, не нарушая закон. Мы помогаем адаптировать требования приказов под реалии конкретного бизнеса, разрабатывая технические задания и проекты защиты.