Приказ № 282

Кого касается

Предприятия, которым принадлежат объекты критической информационной инфраструктуры (КИИ)

Когда применяется

• Произошел инцидент с объектом КИИ (кибератака, сбой, утечка информации, нарушена связь)
• Объект КИИ включили в реестр значимых объектов критической информационной инфраструктуры

Самое главное

• После включения объекта в реестр значимых объектов КИИ нужно в течение 90 календарных дней разработать план реагирования на компьютерные инциденты. 
• Заверенный руководителем предприятия план необходимо передать в НКЦИ не позднее 7 календарных дней с момента подписания
• Предприятие, владеющее значимым объектом КИИ, обязано сообщить ФСБ об инциденте не позднее 3 часов с момента обнаружения, другим объектом КИИ – не позднее 24 часов
• После проведения мероприятий по ликвидации последствий инцидента, нужно передать результаты в НКЦИ в течение 48 часов

Сокращения и термины, используемые в НПА

Компьютерным инцидент – факт нарушения и (или) прекращения функционирования объекта КИИ, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Объект КИИ – информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:

• здравоохранения;
• науки;
• транспорта;
• связи;
• энергетики;
• банковской и иных сферах финансового рынка;
• топливно-энергетического комплекса;
• атомной энергии;
• оборонной и ракетно-космической промышленности;
• горнодобывающей, металлургической и химической промышленности.

Значимый объект КИИ – объект КИИ, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов КИИ.

Субъект КИИ – организация является субъектом КИИ, если виды деятельности, прописанные в уставных документах данной организации, относятся к области:

• здравоохранения;
• науки;
• транспорта;
• связи;
• энергетики;
• банковской и иных сфер финансового рынка;
• топливно-энергетического комплекса;
• атомной энергии;
• оборонной и ракетно-космической промышленности;
• горнодобывающей, металлургической и химической промышленности.

НКЦИ – национальный координационный центр по компьютерным инцидентам. Координирует деятельность субъектов КИИ РФ, связанную с обнаружением, предупреждением и ликвидацией последствий компьютерных атак и реагированием на компьютерные инциденты.

Сайт: https://cert.gov.ru/

Краткое изложение

Приказ утверждает порядок информирования ФСБ России о компьютерных инцидентах и ликвидации последствий компьютерных атак на объекты критической информационной инфраструктуры (КИИ).

1. Субъекты КИИ информируют ФСБ России обо всех компьютерных инцидентах, связанных с функционированием объектов КИИ.

2. Информирование осуществляется путем направления информации в НКЦКИ.

3. Информация о компьютерном инциденте, связанном с функционированием -значимого объекта КИИ, должна быть направлена в НКЦКИ не позднее 3 часов с момента обнаружения компьютерного инцидента, а в отношении иных объектов КИИ – не позднее 24 часов с момента его обнаружения.

4. Если компьютерный инцидент произошел на объекте КИИ в банковской сфере и в иных сферах финансового рынка, информация также должна быть направлена в Банк России в аналогичные сроки.

5. Не позднее 90 календарных дней со дня включения объекта в реестр значимых объектов КИИ разрабатывается план реагирования на компьютерные инциденты, содержащий:

• технические характеристики и состав значимых объектов КИИ;
• события (условия), при наступлении которых начинается реализация мероприятий, предусмотренных Планом;
• мероприятия, проводимые в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, а также время на их реализацию;
• описание состава подразделений и должностных лиц субъекта КИИ, ответственных за проведение мероприятий.

Разработанный План утверждается руководителем субъекта КИИ. Копия утвержденного Плана направляется в НКЦКИ не позднее 7 календарных дней.

6. При необходимости в План включаются:

• условия привлечения ФСБ России к проведению мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак;
• порядок проведения субъектом КИИ мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак, совместно с ФСБ России.

Проект Плана в случае включения в него настоящих положений разрабатывается субъектом КИИ при методическом обеспечении НКЦКИ и до его утверждения согласовывается с ФСБ России.

ФСБ России рассматривает проект Плана в срок до 30 календарных дней.

7. План, разрабатываемый субъектами КИИ, осуществляющими деятельность в банковской и иных сферах финансового рынка, также должен включать условия привлечения должностных лиц и подразделений Банка России.

Такой План согласовывается с Банком России.

8. Субъект КИИ не реже одного раза в год должен проводить тренировки по отработке мероприятий Плана. При необходимости по результатам тренировок в План вносятся изменения.

9. Субъект КИИ в ходе реагирования на компьютерные инциденты осуществляет:

• анализ компьютерных инцидентов, установление их связи с компьютерными атаками;
• проведение мероприятий в соответствии с Планом;
• определение в соответствии с Планом необходимости привлечения ФСБ России и Банка России.

10. Перед принятием мер по ликвидации последствий компьютерных атак необходимо определить:

• перечень средств, необходимых для принятия мер;
• очередность значимых объектов КИИ (их структурных элементов);
• перечень мер по восстановлению функционирования значимого объекта КИИ.

11. О результатах мероприятий по реагированию субъект КИИ информирует НКЦКИ не позднее 48 часов после завершения таких мероприятий.

Если субъект КИИ осуществляет деятельность в банковской или иных сферах финансового рынка, дополнительно информируется Банк России.