Критическая информационная инфраструктура (КИИ) требует особого правового регулирования и соблюдения строгих требований безопасности. Эксперты FindCert проанализировали актуальную нормативную базу и подготовили подробное руководство по применимым постановлениям и их практическому использованию для объектов КИИ.
Основные постановления для критической инфраструктуры
📌 Постановление Правительства РФ № 127 от 08.02.2018 является базовым документом, определяющим правила категорирования объектов КИИ и требования к обеспечению их безопасности. Данный нормативный акт устанавливает критерии отнесения объектов к критической информационной инфраструктуре и порядок их защиты.
определение критериев значимости объектов КИИ по отраслевому принципу;
установление категорий значимости (первая, вторая, третья);
требования к системам безопасности и мониторинга;
порядок взаимодействия с ФСТЭК России и ФСБ России.
⚡ Постановление Правительства РФ № 832 от 17.07.2019 дополняет базовые требования специальными положениями о лицензировании деятельности по технической защите конфиденциальной информации на объектах КИИ. Этот документ критически важен для организаций, работающих с государственной тайной.
🔍 Постановление Правительства РФ № 2299 от 31.12.2020 регулирует особенности применения требований к обеспечению безопасности персональных данных при их обработке в информационных системах КИИ. Документ устанавливает дополнительные меры защиты персональных данных в критически важных системах.
Выбор конкретного постановления зависит от отраслевой принадлежности объекта, категории значимости и специфики обрабатываемой информации. Энергетические объекты, банковская сфера, транспорт и связь имеют различные требования к документообороту и сертификации.
Пошаговый алгоритм определения применимого постановления
📊 Этап 1: Идентификация отраслевой принадлежности
здравоохранение — применяется Постановление № 127 с учетом специфики медицинских данных;
энергетика — дополнительно учитывается Постановление № 1564 от 09.12.2020;
банковская сфера — применяется комплекс постановлений включая № 2299;
транспорт и связь — базовое Постановление № 127 с отраслевыми дополнениями.
🎯 Этап 2: Определение категории значимости объекта
Категорирование проводится на основании критериев, установленных в приложениях к Постановлению № 127. Первая категория предполагает наиболее строгие требования, третья — базовый уровень защиты.
первая категория — объекты, нарушение функционирования которых может привести к социально значимым последствиям;
вторая категория — объекты со значительным влиянием на безопасность государства;
третья категория — объекты с ограниченным воздействием на критически важные функции.
⚠️ Этап 3: Анализ типа обрабатываемой информации
Для объектов, обрабатывающих персональные данные, государственную тайну или конфиденциальную информацию, применяются дополнительные постановления. Необходимо проверить совместимость требований различных нормативных актов.
💡 Этап 4: Консультация с надзорными органами
ФСТЭК России предоставляет методические рекомендации по применению постановлений. Рекомендуется получить письменное разъяснение по спорным вопросам до начала процедуры категорирования.
Необходимые документы и процедуры
📋 Базовый пакет документов для категорирования:
заявление о присвоении объекту КИИ категории значимости;
сведения об объекте КИИ по форме, утвержденной ФСТЭК России;
результаты обследования объекта КИИ;
техническое задание на создание системы безопасности;
план мероприятий по обеспечению безопасности КИИ.
🔍 Дополнительные документы в зависимости от применимого постановления:
лицензии на деятельность по технической защите информации (при работе с гостайной);
согласования с ФСБ России на применение средств криптографической защиты;
заключения о соответствии требованиям по защите персональных данных;
сертификаты соответствия средств защиты информации.
Сроки рассмотрения документов составляют от 30 до 90 рабочих дней в зависимости от категории объекта и применимого постановления. Неполный пакет документов приводит к возврату заявления без рассмотрения.
Практические вопросы и рекомендации экспертов
❓ Какое постановление применить для медицинской организации с электронными картами пациентов?
Для медицинских организаций применяется Постановление № 127 как базовое, дополненное требованиями Постановления № 2299 в части защиты персональных данных. Если организация обрабатывает более 100 000 записей пациентов в год, она может быть отнесена к объектам КИИ второй или третьей категории.
❓ Нужно ли банку применять все постановления одновременно?
Банковские организации должны соблюдать требования Постановления № 127 для основных информационных систем, № 2299 для защиты персональных данных клиентов, а также отраслевые требования Банка России. Применение происходит комплексно с учетом иерархии нормативных актов.
❓ Как определить категорию значимости для транспортного объекта?
Транспортные объекты категорируются на основании пропускной способности, стратегической важности маршрутов и потенциального ущерба от нарушения функционирования. Аэропорты федерального значения обычно относятся к первой категории, региональные — ко второй или третьей.
❓ Можно ли изменить категорию объекта КИИ после присвоения?
Пересмотр категории возможен при существенном изменении характеристик объекта или требований законодательства. Процедура включает подачу нового заявления с обоснованием изменений и может занять до 120 рабочих дней.
💡 Типичные ошибки при выборе постановления:
игнорирование отраслевой специфики при применении базового Постановления № 127;
неучет требований к защите персональных данных в комплексных системах;
применение устаревших версий постановлений без учета актуальных изменений;
неправильная интерпретация критериев категорирования объектов.
⚡ Рекомендации FindCert по оптимизации процесса: Начинайте подготовку документов за 6 месяцев до планируемого запуска системы. Привлекайте сертифицированных консультантов для анализа применимых требований. Ведите подробную документацию всех этапов категорирования для последующих проверок надзорных органов.
Заключение и поддержка FindCert
Выбор правильного постановления для объектов критической инфраструктуры требует глубокого понимания нормативной базы и отраслевой специфики. Базовым документом остается Постановление № 127, но его применение должно учитывать дополнительные требования специальных постановлений в зависимости от сферы деятельности организации.
🎯 FindCert предлагает комплексную поддержку в определении применимых постановлений через сеть из 17 проверенных партнеров-консультантов. Наш каталог включает все необходимые документы для работы с КИИ, а персональные менеджеры помогут выбрать оптимальное решение для вашего объекта. Обращайтесь за экспертной консультацией — правильный выбор нормативной базы критически важен для успешного функционирования объектов критической инфраструктуры.
Автор: Эксперт FindCert
Специалист в области сертификации товаров и услуг
Более 10 лет опыта в сфере сертификации, декларирования и получения разрешительных документов. Помогает бизнесу легально работать на российском рынке.
