ФСБ России приказом от 25 декабря 2025 года №547 утвердила «Порядок информирования ФСБ России о компьютерных атаках и компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации и иных информационных ресурсов Российской Федерации, принадлежащих органам и организациям, на которые возложены обязанности, предусмотренные частью 4 статьи 9 Федерального закона от 26 июля 2017 г. №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»».
Приказ вступил в силу с 30 января 2026 г.
Субъекты критической информационной инфраструктуры (КИИ) РФ обязаны (п.1):
- Информировать ФСБ России обо всех компьютерных атаках и компьютерных инцидентах;
- Реагировать на них, и
- Принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ, принадлежащих им на праве собственности, аренды или ином законном основании.
В части информационных ресурсов Российской Федерации, принадлежащих органам и юридическим лицам на праве собственности, аренды или ином законном основании, то их руководители обязаны информировать ФСБ России обо всех компьютерных атаках и компьютерных инцидентах, связанных с функционированием принадлежащих им информационных ресурсов (п.2). Это должны делать руководители:
- Государственных органов (за исключением органов внешней разведки РФ, органов государственной охраны, федерального органа обеспечения мобилизационной подготовки органов государственной власти РФ, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры РФ);
- Государственных унитарных предприятий;
- Государственных учреждений;
- Государственных фондов;
- Государственных корпораций (компаний);
- Иных российских юридических лиц, которые, если иное не предусмотрено международным договором РФ, находятся под контролем Российской Федерации, и (или) субъекта РФ, и (или) контролируемых ими совместно или по отдельности лиц.
Информирование ФСБ России осуществляется путем направления информации в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) в соответствии с определенными форматами представления информации о компьютерных атаках и компьютерных инцидентах в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ, а также с иными не являющимися субъектами КИИ органами и организациями, в том числе иностранными и международными.
В случае отсутствия подключения к данной технической инфраструктуре информирование осуществляется посредством почтовой связи или электронной связи по адресам НКЦКИ, указанным на официальном сайте в сети «Интернет» ( www.cert.gov.ru ) (п.2).
Информация о компьютерном инциденте направляется в НКЦКИ (п.3):
- в значимом объекте КИИ - в срок не позднее 3 часов с момента его обнаружения;
- в иных объектах КИИ - в срок не позднее 24 часов с момента его обнаружения;
- на информационном ресурсе Российской Федерации органа (организации) - в срок не позднее 24 часов с момента его обнаружения.
Информация о компьютерной атаке направляется в НКЦКИ:
- проведенной в отношении объекта КИИ или информационного ресурса Российской Федерации органа (организации), в срок не позднее 24 часов с момента обнаружения компьютерной атаки.
Субъекты КИИ, которые осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, информация также направляют в Банк России.
Для подготовки к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектом КИИ разрабатывается план реагирования (п.5), который утверждается руководителем (п.6). Копия плана направляется в НКЦКИ.
Проект плана реагирования, содержащий эти положения и проект о внесении изменений в него разрабатываются субъектом КИИ при методическом обеспечении НКЦКИ и до их утверждения направляются на согласование в Центр защиты информации и специальной связи ФСБ России (п.8).
Субъект КИИ не реже одного раза в год обязан организовывать и проводить тренировки по отработке мероприятий плана реагирования. Объем и содержание тренировки определяются субъектом КИИ исходя из мероприятий, содержащихся в плане реагирования (п.10).
Организация и проведение тренировок возлагаются на подразделения и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак.
По результатам тренировок в план реагирования вносятся изменения в случае выявления недостатков, предусмотренных планом реагирования мероприятий.
В ходе ликвидации последствий компьютерных атак субъектом КИИ принимаются меры по восстановлению функционирования и проверке работоспособности значимого объекта КИИ (п.13)
Субъект КИИ обязан информировать НКЦКИ в срок не позднее 48 часов после завершения мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак о результатах таких мероприятий (п.14).
Информацию о результатах реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, связанных с функционированием принадлежащих органам (организациям) информационных ресурсов Российской Федерации, органы (организации) в течение 24 часов с момента окончания мероприятий направляют в НКЦКИ.
Органы (организации) в целях принятия мер по ликвидации последствий компьютерных атак, связанных с функционированием принадлежащих им информационных ресурсов РФ, обязаны (п.16):
- Определить состав подразделений и должностных лиц, ответственных за проведение мероприятий,
- Их задачи в рамках принимаемых мер,
- Очередность информационных ресурсов РФ (их структурных элементов), в отношении которых будут приниматься меры по ликвидации последствий компьютерных атак,
- Перечень мер по восстановлению функционирования информационного ресурса РФ и
- Направить указанную информацию в НКЦКИ
Органы (организации) после ликвидации последствий компьютерных атак и принятия мер по восстановлению функционирования и проверке работоспособности информационных ресурсов РФ обязаны информировать об этом НКЦКИ в течение 24 часов с момента завершения таких мер (п.17).
Мой комментарий: Документ содержит требования к созданию целого ряда документов. Это:
План реагирования на компьютерные инциденты (ПР) – это основной документ, который должен быть разработан (п.5-9 Порядка). В этом документе может быть определен:
- Состав группы реагирования на инциденты с перечислением их ролей и контактов (включая круглосуточные), а также порядок их взаимодействия;
- Процесс реагирования при обнаружении;
- Процедура информирования: кто, в каком формате (ссылка на форму), через какой канал, кому (внутри, в НКЦКИ, в Банк России) отправляет уведомление;
- Восстановление: Приоритеты объектов (как в п.12), процедуры;
- Завершение: Критерии закрытия инцидента, процедура итогового информирования НКЦКИ (п.14).
Поскольку данный документ требуется согласовывать с ФСБ/Банком России, нужно обязательно сохранять все версии и протоколы согласований.
Документы по проведению тренировок – прежде всего включают утвержденную программу и график тренировок, а также отчет об итогах тренировки, ключевой документ, подтверждающий выполнение п.10 и обосновывающий изменения в Плане реагирования. Все отчеты по тренировкам хранятся для предъявления ФСБ.
Документирование в данном случае - это создание системы доказательств вашей добросовестности и операционной готовности. Создание качественной и реально работающей документации сейчас многократно окупятся при реальном инциденте или во время проверки, минимизируя юридические и репутационные риски.
Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=523709
Комментариев нет:
Отправить комментарий