Журнал "Системы Безопасности" № 2‘2025

S E C U R I T Y A N D I T M A N A G E M E N T 26 4. Приказ ФСБ России от 19.06.2019 № 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реа- гирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации". Создание системы обеспечения информационной безопасности Если же ваша организация обладает объектами Кии, то обязательно создание системы обес- печения информационной безопасности – СОиБ, потому что это позволяет: 1. Предотвратить нарушения в работе объектов Кии. СОиБ сохраняет целостность данных, бло- кирует несанкционированный доступ, поддержи- вает контроль за действиями персонала, гаран- тирует бесперебойную работу оборудования. 2. восстановить функционирование значимых объектов Кии. 3. Снизить вероятность возникновения компью- терных инцидентов. Это уменьшает риски эко- номических потерь при проведении в отноше- нии субъектов Кии компьютерных атак. 4. избежать уголовной или административной ответственности. Поддержание безопасности объектов Кии регламентируется федеральным законом, и несоблюдение его норм грозит ответственностью. Организационная структура СОИБ При создании СОиБ следует руководствоваться постановлением Правительства РФ от 15.07.2022 № 1272 "Об утверждении типово- го положения о заместителе руководителя органа (организации), ответственном за обес- печение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (орга- низации), обеспечивающем информационную безопасность органа (организации)". Создается комиссия СОиБ, в состав которой рекоменду- ется включить: l руководителя организации; l ответственного за общую организацию иБ; l комиссию по информационной безопасности (далее – комиссия по иБ); l ответственного за обеспечение иБ; l ответственного за организацию обработки персональных данных (Пдн); l ответственного за обеспечение безопасности Пдн; l ответственного за экономическую безопасность; l ответственного за физическую безопасность; l ответственного за иТ; l ответственного пользователя криптосредств; l ответственного за юридический анализ; l ответственного за управление ролями; l владельцев активов; l руководителей подразделений, участвующих в обработке защищаемой информации; l администраторов информационной безопас- ности; l временных групп; l сотрудников. Как конкретные сотрудники, так и целые струк- турные подразделения могут быть назначены ответственными: за иТ; за обеспечение безопас- ности персональных данных (Пдн); за юриди- ческий анализ; а также ответственным пользо- вателем криптосредств. Ответственность, связанная с нарушением норм функционирования КИИ Тут надо "прочитать и испугаться". в зависимо- сти от тяжести нарушения может наступить административная или уголовная ответствен- ность. Административная ответственность Административная ответственность наступает при следующих моментах: l непредставление во ФСТЭК сведений о при- своении объекту Кии категории значимости или о том, что присваивать ее не нужно. Штраф для юрлиц от 50 тыс. до 100 тыс. руб. l несоблюдение порядка уведомления ФСБ о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации послед- ствий атак в отношении значимых объектов Кии. Штраф для юрлиц от 100 тыс. до 500 тыс. руб. l нарушение правил обмена информацией о компьютерных инцидентах (в частности, между субъектами Кии). Штраф для юрлиц от 100 тыс. до 500 тыс. руб. l нарушение требований к созданию и обес- печению работы систем безопасности значи- апрель – май 2025 www.secuteck.ru СПЕЦПРОЕКТ АнТиТЕРРОР. БЕзОПАСнОСТь мЕСТ С мАССОвым ПРЕБывАниЕм людЕй Рис. 2. Калькулятор для определения уровня защищенности ИСПДн (https://fstec21.blogspot.com/p/calculator-basic-set-of-measures.html) Таблица 3. Определение уровня защищенности ИСПДн Ц елью общего аудита является текущая ревизия (инвентаризация), проводимая для понимания реального состояния дел по защите инфор- мации в организации.