Журнал "Системы Безопасности" № 2‘2025

S E C U R I T Y A N D I T M A N A G E M E N T 25 "спать спокойно". но при детальном изучении устава и лицензий на виды деятельности ока- залось, что у компании есть лицензия на дея- тельность по перевозке грузов железнодорож- ным транспортом и собственный парк желез- нодорожного транспорта. исходя из данных обстоятельств, предприятие относится к отрас- ли "Транспорт" и, следовательно, необходимо выполнять требования Фз №-187. Если попали под один критерий из трех – вы субъект Кии. Четвертый критерий в перечне отраслей, где имеются объекты Кии, одним из критериев наличия Кии четко указана отрасль "наука", а в ЕГРюл от РнБ одной из сфер деятельности указаны:"научные исследо- вания и разработки в области гуманитарных наук" ОКвЭд 72.20.2. Казалось бы – попадание под перечень отраслей (Фз №-187). но не спе- шите! Почти в каждой отрасли утвержден под- робный документ "Перечень типовых объектов Кии, функционирующих в сфере …". Так, в приведенном документе "Перечень типо- вых объектов Кии, функционирующих в сфере науки" отсутствует процесс, указанный в ЕГРюл библиотеки – "научные исследования и разработки в области гуманитарных наук", да еще ОКвЭд 72.20.2 отсутствует! То есть про- цессы в науке бывают разные, и нам досталась активность, не входящая в Перечень типовых объектов Кии, функционирующих в сфере науки (табл. 2). Пятый критерий иногда бывает, что организация подает сведе- ния для ЕГРюл на перспективу. То есть описание деятельности есть, а сама активность еще не ведется. но это надо будет документально под- твердить. например, планы на 2030 г., заказ оборудования на 2027 г. и т.д. Шестой критерий в феврале 2025 г. были утверждены методиче- ские рекомендации по категорированию объ- ектов Кии, функционирующих в сфере науки. в них указан порядок определения принадлеж- ности организации к субъекту Кии. в частности, "...организация является субъектом Кии в сфере науки в случае... наличия в качестве основного вида деятельности в учредительных документах организации (устав, учредительный договор) научной и (или) научно-технической деятельно- сти и использования ОКвЭд, приведенного в Приложении 1..." методических рекоменда- ций. наш код ОКвЭд 72.20.2 в нем присутству- ет. Казалось бы, все – библиотека субъект Кии! Обратились к юристам за комментарием. Они внимательно изучили документ и нашли ключе- вые слова: "…наличия в качестве основного вида деятельности...", а деятельность по коду ОКвЭд 72.20.2, согласно ЕГРюл библиотеки, является дополнительной (основной вид деятельности – библиотечная). Таким образом, после проверки по всем шести критериям, даже если не найден процесс с Кии, необходимо действовать согласно мето- дическим указаниям, а именно: выпустить при- каз о создании комиссии, подготовить прото- колы заседаний. во ФСТЭК направляется уве- домление об отсутствии в организации Кии, и на его основе ФСТЭК принимает решение. Если активность с Кии обнаружена, путь более сложный. Краткий порядок действий итак, вы считаете, что ваше учреждение может подпасть под действие законов о безопасности Кии. Что нужно делать в таком случае? вот при- мерный план: 1. необходимо убедиться в том, что предприя- тие попадает под действие федерального зако- на о безопасности Кии. для этого следует составить список автоматизированных инфор- мационных систем (АиС), с указанием конкрет- ной области их функционирования. 2. Провести категорирование в установленном законом порядке, выделив значимые объекты информационной инфраструктуры (зОКии) и разделив их на категории. 3. Передать сведения во ФСТЭК, дождаться окончания проверки и получения уведомления о внесении ОКии в реестр. 4. Подготовить регламент передачи сведений в ФСБ и подключиться к иТ-инфраструктуре национального координационного центра по компьютерным инцидентам (нКЦКи). 5. Создать и утвердить план борьбы с хакерски- ми атаками и нейтрализации последствий ком- пьютерных инцидентов. 6. Подготовить, согласовать и интегрировать систему безопасности зОКии в организации. 7. Сделать так, чтобы эксплуатация объекта Кии была безопасной. Основные законы и приказы, регулирующие деятельность по защите КИИ в этой сфере необходимо руководствоваться прежде всего следующими документами: 1. Федеральный закон о безопасности критиче- ской информационной инфраструктуры Рос- сийской Федерации от 26.07.2017 № 187 (в ред. Федерального закона от 10.07.2023 № 312-Фз, от 07.04.2025 № 58-Фз, измене- ния вступают в силу 01.09.2025). 2. Приказ ФСТЭК от 25.12.2017 № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" (в ред. приказов ФСТЭК России от 09.08.2018 № 138, от 26.03.2019 № 60, от 20.02.2020 № 35, от 28.08.2024 № 159). 3. Приказ ФСТЭК от 21.12.2017 № 235 "Об утверждении Требований к созданию систем безопасности значимых объектов крити- ческой информационной инфраструктуры Рос- сийской Федерации и обеспечению их функ- ционирования" (в ред. приказов ФСТЭК России от 27.03.2019 № 64, от 20.04.2023 № 69). www.secuteck.ru апрель – май 2025 СПЕЦПРОЕКТ АнТиТЕРРОР. БЕзОПАСнОСТь мЕСТ С мАССОвым ПРЕБывАниЕм людЕй Рис. 1. Этапы категорирования