V. Порядок участия членов комиссии в проведении экспертной оценки состояния антитеррористической защищенности и безопасности охраняемого объекта (территории)
Экспертная оценка состояния антитеррористической защищенности охраняемого объекта (территории) проводится членами межведомственной комиссии в рамках участия в деятельности комиссии по его обследованию и категорированию.
Для проведения категорирования объекта (территории) по решению руководителя органа (организации), являющегося правообладателем объекта (территории), создается межведомственной комиссия по обследованию и категорированию объекта (территории) (далее — комиссия).
В состав комиссии включаются представители органа (организации), являющегося правообладателем объекта (территории), работники объекта (территории), а также представитель территориального органа безопасности, представитель территориального органа Федеральной службы войск национальной гвардии Российской Федерации или подразделения вневедомственной охраны войск национальной гвардии Российской Федерации (Росгвардии), представитель территориального органа Министерства Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий (ГУ МЧС России) по месту нахождения объекта (территории) (по согласованию).
Для участия в проведении экспертной оценки антитеррористической защищенности и безопасности охраняемого объекта (территории) решениями руководителя территориального органа безопасности, руководителя территориального органа Росгвардии, руководителя территориального органа ГУ МЧС России по месту нахождения объекта (территории) назначаются сотрудники подразделений из числа наиболее подготовленных, обладающих необходимыми навыками в установленной сфере деятельности, имеющие соответствующий допуск к сведениям, составляющим государственную тайну.
В состав комиссии могут включаться (помимо указанных в пункте 9 Требований):
сотрудники организации, отвечающие за организацию внутриобъектового и пропускного режимов АТЗ, пожарную безопасность, инженерно-техническое и материально-техническое обеспечение деятельности организации. руководители объектов (территорий) или уполномоченные ими лица;
представители организации-соправообладателя, если здание (объект) используется на законном основании двумя или более правообладателями;
представитель частной охранной организации, оказывающей услуги по охране объектов организации в соответствии с действующим контрактом;
представитель (представители) от управ районов или органов местного самоуправления муниципальных округов (городских округов, поселений), на территории которых расположены объекты организации (по согласованию).
При проведении экспертной оценки член комиссии в пределах своей компетенции имеет право:
знакомиться с организационно-распорядительной и технической документацией по организации антитеррористической защиты, имеющейся на объекте (территории), а также при необходимости запрашивать другие информационные материалы, необходимые для обеспечения объективности при проведении экспертной оценки конкретного объекта (территории);
принимать участие в проверке:
проведения организационных мероприятий по обеспечению антитеррористической защищенности объекта (территории);
инженерно-технического оборудования объекта (территории) и обеспечения контроля за наличием и работоспособностью инженерно-технических средств охраны объекта (территории), а также технического обслуживания инженерно-технических средств охраны объекта (территории);
обеспечения пропускного и внутриобъектового режимов на объекте (территории).
Проведение экспертной оценки осуществляется путем непосредственного обследования объекта (территории), в ходе которого определяются:
расположение объекта (территории) на местности;
общая протяженность и протяженность линейных участков (участков прямой видимости);
количество уязвимых мест и вероятные способы проникновения через них (открывание, взлом или пролом, другие способы);
количество критических элементов объекта (территории), совершение террористического акта в отношении которых может привести к прекращению функционирования всего объекта (территории) и возникновению чрезвычайной ситуации;
режим работы объекта (территории), наличие ограничения доступа в отдельные здания или помещения, на отдельные территории;
наличие смежных строений;
наличие кабельных и иных сетей, электропитания;
наличие физической охраны объекта (территории), количество постов, время охраны;
наличие технических средств охраны (систем охранной и тревожной сигнализации, контроля и управления доступом, видеонаблюдения, охранного освещения, оповещения).
Член комиссии, включенный в состав комиссии, проводит проверку:
инженерно-технической укрепленности объекта на ее соответствие предъявляемым требованиям к АТЗ и инженерно-технической укрепленности объекта (территории), а также техническому заданию на проектирование по оснащению объекта (территории) инженерными средствами защиты и техническими средствами охраны, утвержденному руководителем (правообладателем) объекта (территории);
инфраструктуры физической охраны, обеспечивающей внутриобъектовый и пропускной режимы;
работоспособности технических средств охраны;
организации эксплуатационно-технического обслуживания технических средств охраны (наличия договора с обслуживающей организацией).
При изучении состояния инженерно-технической укрепленности объекта (территории) следует учитывать, что требования к оборудованию объектов (территорий) инженерно-техническими средствами охраны, утвержденные соответствующими постановлениями Правительства Российской Федерации, носят в основном общий характер.
В связи с этим при обследовании каждого конкретного объекта (территории), помимо постановлений Правительства Российской Федерации, следует руководствоваться ведомственными нормативными правовыми актами соответствующего федерального органа исполнительной власти (при их наличии), которые конкретизируют требования к инженерно-технической составляющей защиты объекта (территории).
О комиссии по категорированию объектов критической информационной инфраструктуры
В соответствии с Федеральным законом от 26.07.2017 № 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации», постановлением Правительства Российской Федерации
от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации,
а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»:
- Создать комиссию по категорированию объектов критической
информационной инфраструктуры в составе согласно приложению № 1. - Утвердить Положение о комиссии по категорированию объектов критической информационной инфраструктуры согласно приложению № 2.
- Контроль за исполнением настоящего постановления возложить на первого заместителя главы администрации Козловского района Пушкова Г.М.
- Настоящее постановление вступает в силу после его официального опубликования в периодическом печатном издании «Козловский вестник».
Козловского района А.Н. Людков
к постановлению администрации Козловского района
от 05.10.2022 № 517
Состав комиссии по категорированию объектов
критической информационной инфраструктуры
Пушков Геннадий Михайлович
— Первый заместитель главы администрации Козловского района, председатель комиссии
Васильева Татьяна Леонидовна
— заместитель главы администрации — начальник отдела организационно-контрольной и кадровой работы , заместитель председателя комиссии
Петрова Екатерина Александровна
— ведущий специалист-эксперт отдела строительства и общественной инфраструктуры администрации Козловского района , секретарь комиссии
Рузанов Иван Геннадьевич
— заведующий сектором специальных программ администрации Козловского района
Макарова Марина Александровна
— главный врач БУ «Козловская ЦРБ им. И.Е. Виноградова» (по согласованию)
Илларионова Кристина Александровна
— начальник отдела юридической и информационной службы администрации Козловского района
Краснов Сергей Юрьевич
— ведущий инженер СП Козловский (по согласованию)
Ситнова Наталья Юрьевна
— заместитель начальника отдела строительства и общественной инфраструктуры администрации Козловского района
к постановлению администрации Козловского района
Положение
о комиссии по категорированию объектов
критической информационной инфраструктуры
- Общие положения
1.1. Настоящее Положение о комиссии по категорированию объектов критической информационной инфраструктуры (далее — Положение),
определяет функции, порядок и обеспечение деятельности комиссии
по категорированию объектов критической информационной
инфраструктуры (далее — Комиссия).
1.2. Комиссия создается для проведения категорирования объектов критической информационной инфраструктуры объектов, находящихся на территории Козловского района.
1.3. Комиссия является постоянно действующим консультативно-совещательным органом администрации Козловского района.
1.4. Комиссия руководствуется в своей деятельности правовыми актами Российской Федерации, администрации Козловского района и настоящим Положением.
- Функции комиссии
2.1. Функциями Комиссии являются:
а) определение управленческих, технических, производственных, финансово-экономических и (или) иных процессов, в рамках выполнения функций (полномочий) или осуществления видов деятельности администрации Козловского района;
б) выявление наличия критических процессов у объектов, находящихся на территории Козловского района;
в) выявление объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, подготовка предложений для включения в перечень объектов;
г) рассмотрение возможных действий нарушителей в отношении объектов критической информационной инфраструктуры, а также иных источников угроз безопасности информации;
д) анализ угроз безопасности информации и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах
критической информационной инфраструктуры;
е) оценка в соответствии с перечнем показателей критериев значимости масштаба возможных последствий, в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры;
ж) присвоение каждому из объектов критической информационной инфраструктуры одной из категорий значимости либо принятие решения
об отсутствии необходимости присвоения им категорий значимости.
- Порядок и обеспечение деятельности комиссии
3.1. Заседания Комиссии проводятся по мере необходимости
по решению председателя Комиссии.
3.2. Заседание Комиссии считается правомочным при присутствии
на нем не менее половины от общего числа членов Комиссии.
Присутствие на заседании Комиссии иных лиц, кроме членов Комиссии, допускается с разрешения председателя Комиссии.
3.3. Председатель Комиссии:
назначает дату, время и место проведения заседаний Комиссии;
утверждает повестку заседания Комиссии;
руководит заседанием Комиссии;
распределяет обязанности между членами Комиссии;
подписывает акты и иные документы, подготовленные Комиссией;
пользуется правами члена Комиссии наравне с другими членами Комиссии.
В случае отсутствия председателя Комиссии его полномочия осуществляет заместитель председателя Комиссии.
3.4. Секретарь Комиссии:
координирует деятельность членов Комиссии;
готовит проекты повесток заседаний Комиссии и представляет
на утверждение председателю Комиссии;
своевременно информирует членов Комиссии о дате, времени, месте
и повестке заседаний Комиссии;
в случае необходимости совместно с членами Комиссии готовит информацию, документы, иные материалы к заседаниям Комиссии;
в течение 3 рабочих дней с даты проведения заседания Комиссии
и в соответствии с ее решением готовит акт и представляет
его на подпись председателю Комиссии, заместителю председателя Комиссии, иным членам Комиссии;
организует и ведет делопроизводство Комиссии.
3.5. Члены Комиссии имеют право:
участвовать в работе Комиссии;
участвовать в обсуждении вопросов, включенных в повестку заседания Комиссии, вносить по ним предложения;
знакомиться с информацией, документами и материалами по вопросам, вынесенным на обсуждение Комиссии, на стадии их подготовки, вносить свои предложения;
в случае несогласия с принятым решением изложить свое особое мнение в письменном виде, которое прилагается к соответствующему заключению Комиссии.
3.6. Решения Комиссии принимаются простым большинством голосов членов Комиссии как присутствующих на заседании, так и отсутствующих, выразивших свое мнение в письменном виде и представивших
его на заседание Комиссии.
Каждый член Комиссии имеет один голос. При равенстве голосов принятым считается решение, за которое проголосовал председательствующий на заседании Комиссии.
3.7. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте КИИ, результаты анализа угроз безопасности информации объекта КИИ, реализованные меры
по обеспечению безопасности объекта КИИ, сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, а также сведения о необходимых мерах по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов КИИ, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.
Акт подписывается председателем, заместителем председателя, секретарем и другими членами Комиссии и утверждается главой администрации Козловского района.
3.8. Организационное и материально-техническое обеспечение деятельности Комиссии осуществляет администрация Козловского района.
Антитеррористическая защищенность объекта: что должен знать руководитель
кандидат технических наук, эксперт по технологиям оценки профессиональных рисков, систем мотивации и обучения персонала, аудитор систем менеджмента качества, генеральный директор Центра инжиниринга безопасных условий труда, эксперт‑аудитор внутренних проверок СМК
Рассказываем, каковы обязанности руководителя организации в части защиты объектов от террористического акта, как обеспечить безопасность работников и посетителей, избежать административного или уголовного наказания
Основные понятия и нормативно-правовое регулирование
Что такое антитеррористическая защищенность объекта
Противодействовать терроризму обязаны не только органы государственной и муниципальной власти. Обычные граждане, индивидуальные предприниматели и юридические лица должны организовать работу по предупреждению терроризма. Для этого необходимо обеспечить безопасность собственных или арендуемых зданий и сооружений.
Каждый объект должен быть максимально защищен от угрозы извне. Если это школа, директор принимает меры, чтобы террористы не проникли на территорию, а если такое произошло, чтобы помощь была вызвана мгновенно. Персонал должен знать свои действия на случай террористической угрозы, уметь оказать первую помощь пострадавшим.
Антитеррористическая защищенность объекта (далее — АТЗ) — состояние здания или территории, которое не позволит совершить террористический акт. Цель АТЗ — сберечь жизнь и здоровье людей, сохранность имущества, окружающей среды, флоры и фауны.
Чтобы обеспечить АТЗ, организация должна:
- провести оценку уязвимости,
- составить акт обследования;
- категорировать объект защиты;
- составить, согласовать паспорт безопасности и актуализировать его по мере необходимости;
- отслеживать, как выполняется план по повышению защищенности, проводить ежегодные проверки.
Какие объекты подлежат антитеррористической защите
Марина Шобохонова, специалист по техносферной безопасности, эксперт по независимой оценке квалификации в области охраны труда:
Согласно ч. 6 ст. 3 Закона «О противодействии терроризму» от 06.03.2006 № 35-ФЗа антитеррористической защищенности подлежат места массового пребывания, к которым относятся:
- территории общего пользования поселения, муниципального округа или городского округа,
- специально отведенные территории за их пределами,
- места общего пользования в здании, строении, сооружении или ином объекте, на которых при определенных условиях может одновременно находиться более 50 человек.
В одной организации может быть несколько объектов защиты, если в каждом из зданий или строений находится одновременно больше 50 человек.
Какие нормативные акты регулируют эту сферу
Требования к антитеррористической защищенности объектов и территорий, их категории и формы паспортов безопасности утверждает Правительство РФ (п. 4 ч. 2 ст. 5 Федерального закона от 06.03.2006 № 35-ФЗ). Для разных сфер деятельности разработаны отдельные документы. Они содержат правила категорирования, формы паспортов безопасности и пр.
Перечень действующих нормативных правовых актов вы найдете в нашей шпаргалке.
В конце статьи есть шпаргалка
Категорирование объекта
Каковы критерии оценки риска
Категорию зданию или территории устанавливают, опираясь на сведения о совершенных или предотвращенных террористических актах не только на самом объекте, но и в районе его расположения. Эта информация есть в сводках федеральной службы безопасности, национальной гвардии, других статистических материалах.
Также для категоризации объектов защиты специалисты применяют математико-статистические методы расчета ущерба, которые могут оценить возможные потери населения и материального оснащения в случае террористического акта.
Чем выше категория риска, тем больше мероприятий предстоит выполнить руководству организации, чтобы обеспечить защиту.
Как организовать категорирование объекта
Критерии по категорированию перечислены в постановлениях Правительства РФ. Единого набора не существует, к разным объектам применяются разные критерии, их выбор зависит от официальной статистики по предотвращенным терактам, прогнозных показателей по количеству пострадавших и материальному ущербу.
Приказ об обследовании и категорировании объекта вы найдете в нашей шпаргалке.
В конце статьи есть шпаргалка
Чтобы правильно присвоить категорию, нужны статистические данные по совершенным или предотвращенным терактам — их необходимо получить в территориальном органе безопасности района расположения организации.
Прогнозный показатель количества пострадавших принимается равным максимальному количеству единовременно пребывающих людей на объекте или территории в рабочие дни. Прогнозный показатель материального ущерба — равным балансовой стоимости объекта или территории.
Пример. Расчет категории для детских учреждений стационарного типа
Учреждение для отдыха и оздоровления детей (Постановление Правительства РФ от 14.05.2021 № 732)
Антитеррористическая защищенность объектов
Какие документы надо оформить
Марина Шобохонова, специалист по техносферной безопасности, эксперт по независимой оценке квалификации в области охраны труда:
Для того чтобы работа по АТЗ была систематизированной, руководитель предприятия должен разработать несколько документов. Первый — это план организационных и технических мероприятий по защищенности вверенных ему объектов с массовым пребыванием людей.
Организационные мероприятия | Технические мероприятия |
---|---|
Назначение ответственных за АТЗ | Установка систем контроля доступа на территорию, в здания и помещения |
Обучение и инструктажи по АТЗ, тренировки, обучение оказанию первой помощи пострадавшим при теракте; повышение квалификации для ответственных лиц и руководителя организации | Установка системы оповещения на случай террористического акта |
Заключение договоров с охранными предприятиями | Оснащение объекта и территории инженерно-техническими средствами и системами охраны |
Категорирование мест массового пребывания людей, с учетом степени потенциальной опасности и угрозы совершения на них террористического акта и его возможных последствий | |
Разработка, утверждение, актуализация паспорта безопасности |
Приказ о создании комиссии, которая реализует этот план, обследует и присвоит объекту категорию риска, станет следующим документом. В комиссию кроме руководителя организации должны войти представители территориальных органов безопасности, МВД, Росгвардии.
В организации также должны быть:
- Паспорт безопасности объекта или территории с перечнем мероприятий по обеспечению АТЗ. Это основной документ, подлежащий проверке. Его составляют с учетом присвоенной категории риска, сроков реализации мероприятий, объема планируемых работ и выделенных средств на два финансовых года, следующих за текущим.
- Приказ о мерах по защите информации при разработке и хранении паспорта безопасности.
- План взаимодействия с территориальными органами безопасности, МВД РФ, Росгвардии. Нужен, потому что система антитеррористической защиты не может существовать обособленно. Она должна соответствовать характеру деятельности, быть интегрированной в систему управления предприятием.
- Положение (инструкция) об организации пропускного и внутриобъектового режимов и план действий при установлении уровней террористической опасности.
Какие мероприятия провести
Нужна обучающая работа с персоналом организации и посетителями. Если речь идет о школе, то каждый ученик должен знать план эвакуации в случае сигнала угрозы теракта.
Проводите плановые учения и тренировки по отработке правильных действий. Всех работников и посетителей известите о правилах эвакуации, применении средств индивидуальной и коллективной защиты, месте сбора при эвакуации. Для этой цели нужно проводить инструктажи по АТЗ. Уделите внимание отработке действий при условном совершении террористического акта. Проводите устные опросы, записи о них вносите в журналы проведения инструктажа и практических занятий.
Кого назначить ответственным за АТЗ
Для реализации всех планов, включая тренировки, оснащение СКУД, взаимодействие с ведомствами и пр., необходимо назначить ответственных. Они вместе с руководителем организации должны пройти повышение квалификации по АТЗ.
Нельзя назначать ответственными тех, кто не обладает административно-управленческим ресурсом. Полномочия зафиксируйте в должностных инструкциях сотрудников, формулировки вы найдете в отраслевых постановлениях Правительства РФ.
Примеры должностных обязанностей:
- вести общее руководство обеспечением АТЗ
- утверждать паспорта безопасности объектов
- анализировать эффективность системы защищенности
- планировать мероприятия по обеспечению АТЗ объектов и территорий
- обеспечивать мероприятия по АТЗ ресурсами
- координировать деятельность подразделений и должностных лиц организации по обеспечению АТЗ объектов (территорий)
- организовать взаимодействие с территориальными органами безопасности, МВД, МЧС, Росгвардии
- разрабатывать и согласовывать проекты локальных нормативных актов в части обеспечения АТЗ объектов и территорий
- координировать совместные действия с территориальными органами безопасности, МВД, МЧС, Росгвардии
- участвовать в планировании и выполнении мероприятий по обеспечению АТЗ
- проводить инструктажи и обучения по АТЗ
Как обучить оказанию первой помощи пострадавшим
Сергей Мещерин, к.м.н., врач-хирург, организатор здравоохранения:
Обучение работников и посетителей объекта, например учеников школы или пациентов больницы, проводится по программам, которые не отличаются от программ обучения оказанию первой помощи пострадавшим на производстве. Составляются они на основе Приказа Минздравсоцразвития России от 04.05.2012 № 477н. Обучение можно провести внутри самой организации или направить сотрудников в учебный центр.
Первая помощь при терактах нужна в следующих ситуациях:
- отсутствие сознания,
- остановка дыхания и кровообращения,
- наружные кровотечения,
- инородные тела в верхних дыхательных путях,
- травмы различных областей тела,
- ожоги, эффекты воздействия высоких температур, теплового излучения,
- отморожение и другие эффекты воздействия низких температур,
- отравления.
Чтобы обучить работников и посетителей, организация должна приобрести и подготовить технические средства: тренажеры, учебные пособия, плакаты, стенды, памятки.
Обратите внимание: работник, который будет проводить обучение оказанию первой помощи при терактах, обязан пройти повышение квалификации в учебном центре по курсу «» 16 ак. часов ().
Паспорт безопасности объекта и другие документы
Как заполнить паспорт
В постановлениях Правительства РФ, регулирующих эту сферу, фигурирует понятие «паспорт безопасности». Поэтому юридически правильным будет использовать именно этот термин, а не «паспорт антитеррористической защищенности», который также встречается в различных нормативных правовых актах.
Паспорт безопасности состоит из обязательных разделов:
- Общие сведения об объекте (территории). Это сведения из устава организации, ЕГРЮЛ/ЕГРИП, из кадастрового паспорта.
- Сведения о работниках, обучающихся и иных лицах, находящихся на объекте (территории). Укажите среднее количество сотрудников и посетителей, сведения о площади объекта и режиме работы организации, например, количество смен.
- Сведения о критических элементах объекта (территории). Это важная информация, которая опирается на вероятностные методы. Критические элементы — это потенциально опасные элементы объекта, незаконное вмешательство в которые приведет к нарушению функционирования объекта.
- Прогноз последствий в результате совершения на объекте (территории) террористического акта.
- Оценка социально-экономических последствий совершения террористического акта. Этот раздел заполняется на основе бухгалтерских данных с учетом стоимости активов.
- Силы и средства, привлекаемые для обеспечения антитеррористической защищенности объекта (территории). Укажите, кто охраняет объект: частное охранное предприятие или войска Росгвардии.
- Меры по инженерно-технической, физической защите и пожарной безопасности объекта. Перечислите, какие автоматические системы оповещения и связи, средства пожаротушения применяются на объекте.
- Выводы и рекомендации.
- Дополнительные сведения с учетом особенностей объекта (территории).
Подробный алгоритм и образец заполнения паспорта безопасности вы получите на курсе повышения квалификации «А»
Как оформить акт обследования и категорирования объекта
Акт обследования и категорирования объекта защиты — это первый этап создания паспорта безопасности. Акт составляют в двух экземплярах. Как и паспорту безопасности, ему присваивают гриф «ДСП» (для служебного пользования) или гриф секретности. Выбор зависит от категории объекта (ст. 8 Закона РФ от 21.07.1993 № 5485-1).
Категорирование проводят в момент ввода объекта в эксплуатацию и в случае значимых изменений его характеристик, например, при монтаже новой автоматической системы пожаротушения.
Каждый федеральный орган исполнительной власти (министерство, ведомство), в ведении которого находятся организации, разрабатывает методический материал, который помогает составлять акт обследования и категорировать объекты защиты.
Пример. Для вузов применяется Письмо Минобрнауки России от 22.02.2018 № ТС-543/12. Для школ и детских садов — Письмо Минпросвещения России от 28.01.2020 № ВБ-85/12.
Акт обследования и категорирования объекта защиты составляет комиссия, назначенная приказом руководителя организации. Требования к созданию комиссии в органах исполнительной власти различны. Во всех случаях можно привлекать сотрудников органов безопасности и МВД России.
В некоторых ведомствах допустимо привлекать:
- сотрудников специализированных организаций;
- экспертов специализированных организаций, у которых есть право проводить экспертизу безопасности объектов (территорий);
- работников организаций, специализирующихся в области инженерно-технического оборудования объектов, проектирования и монтажа технических средств охраны;
- экспертов в области проектирования и эксплуатации технологических систем.
Каких-либо нормативно закрепленных прямых ограничений или запретов, кроме конфиденциальности информации, по составу комиссии нет. Собственник должен в первую очередь защищать информацию, представляющую интерес для террористов.
Ответственность за неисполнение законодательных требований
Наталья Герасименко, юрист, к.ю.н., эксперт по охране и экономике труда, руководитель направления «Охрана труда» в Контур.Школе:
Многие работодатели, к сожалению, халатно относятся к обеспечению АТЗ, притом что ужесточены меры ответственности за неисполнение законодательных требований — вплоть до уголовной ответственности.
В конце 2019 года в КоАП РФ появилась ст. 20.35, которая предусматривает ответственность за нарушения антитеррористического законодательства для объектов и территорий.
За нарушения организациям грозит штраф от 100 000 до 500 000 руб., должностным лицам — дисквалификация от полугода до трех лет или штраф от 30 000 до 50 000 руб.
Если действия виновных будут содержать признаки уголовного преступления, наступят основания для уголовного преследования конкретного человека — руководителя организации или сотрудника, который по должности занимался обеспечением безопасности и антитеррористической защищенности.
Пример. Школа не организовала режим антитеррористической защищенности, и в результате нападения погибли ученики и учителя. При этом согласно федеральному закону «Об образовании в РФ» (ч. 6-7 ст. 28 Закона от 29.12.2012 № 273-ФЗ) школа обязана создавать безопасные условия для учащихся и педагогов и отвечает за неисполнение этой функции. Кроме того, в отношении педагогов действует ст. 212 ТК РФ, где сказано, что работодатель обязан обеспечить безопасность своих сотрудников во время выполнения трудовых обязанностей.
В этой ситуации директор школы и его заместитель по безопасности могут быть привлечены к уголовной ответственности по ч. 3 ст. 293 УК РФ за халатность, которая привела к гибели людей. А это принудительные работы на срок до пяти лет, а также в некоторых случаях лишение права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. Второй вариант — лишение свободы на срок до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Категорирование КИИ
Попадание компании или учреждения под действие закона, определяющего меры безопасности в отношении КИИ РФ, автоматически означает, что нужно проводить ряд мероприятий по обеспечению защиты АСУ, ИС и ИТКС. Наиболее сложной и трудоемкой среди них является категорирование объектов КИИ. Что это такое? Как проходит процедура? Какие есть особенности её осуществления? Получить ответы на эти вопросы позволит анализ законодательства и обращение к специалистам по ИБ.
Категорирование объектов КИИ осуществляется исходя из требований, которые прописаны в ФЗ-187, ПП РФ № 127 и приказах ФСТЭК № 235, 239 и 236. Основная нормативно-правовая база сформировалась в однако ежегодно в неё вносят те или иные корректировки, чтобы можно было обеспечивать максимально высокий уровень защиты КИИ в условиях постоянного совершенствования методов злоумышленников. Предприятиям важно проводить мониторинг законодательных изменений, а также сотрудничать со специалистами по информационной безопасности для регулярного аудита и доработки СЗИ. Наш центр предлагает выгодные условия сотрудничества для всех субъектов: индивидуальных предпринимателей, компаний и т.д.
Какие КИИ подлежат категорированию?
В соответствии с ФЗ-187 и правительственным постановлением от 08.02.2018, под категорированием понимают процесс определения тех объектов критической инфраструктуры, к которым необходимо применять особые защитные меры в связи с их значимостью для населения и государства в целом. К КИИ, в свою очередь, относятся ИС, ИТКС и автоматизированные системы управления, а также сети, которые задействуются при обеспечении деятельности либо взаимодействии предприятий:
- оборонного и топливного комплексов
- науки и здравоохранения;
- металлургической отрасли;
- атомной и других видов энергетики;
- сферы связи;
- космической, ракетостроительной и химической промышленности;
- транспорта;
- горнодобывающей отрасли;
- банковской или иной финансовой сферы.
Идентификация организации как субъекта КИИ
Перед тем, как выяснять нюансы передачи в реестр ФСТЭК данных об объектах КИИ и разбираться в процедуре категорирования, предусмотренной ФЗ-187, нужно определить, считается ли организация субъектом критической инфраструктуры. Если руководствоваться нормативно-правовыми документами, то это госучреждения и органы государственной власти, а также учреждения и юр. лица, которые:
- Являются владельцами объектов КИИ (временными или постоянными), то есть имеют бумаги, подтверждающие право собственности, факт аренды либо другое законное основание для распоряжения АСУ, ИС и ИТКС. Также к субъектам относятся госструктуры, фирмы и предприниматели, обеспечивающие взаимодействие информационных, управляющих, телекоммуникационных сетей и систем в указанных выше сферах.
- Имеют регистрацию на территории Российской Федерации. Если организация иностранная, то ей не нужно производить категорирование объектов КИИ по правилам ФСТЭК.
Если хотя бы одно из перечисленных условий не выполнено, то проводить процедуру не нужно. К сожалению, на практике без узкоспециализированных знаний провести идентификацию сложно — мешают нечетко прописанные в ФЗ и других нормативно-правовых актах понятия (яркий пример — нет определения, что означает «принадлежать», «сфера» и т.д.). В результате, ответственное за принятие решения лицо руководствуется собственными соображениями, которые не всегда соотносятся с пониманием контролирующих структур.
Как точно понять, есть ли объекты КИИ, подлежащие категорированию?
Если следовать рекомендациям ФСТЭК, то основным инструментом, который позволяет решить, нужно ли выделять ресурсы на определение категорий, является устав компании и Единый реестр организаций в форме ОКВЭД. Если указанные там виды деятельности идентичны тем, которые прописаны в ФЗ-187 (тем более, когда работа фирмы предполагает получение лицензий), скорее всего, придется заниматься категорированием ИТ-инфраструктуры. Но вместе с тем, не всегда наличие соответствующих кодов ОКВЭД обуславливает необходимость в категорировании, а их отсутствие избавляет от прохождения процедуры. Чтобы разобраться в ситуации, нужно учитывать следующие моменты:
- не всегда организация в действительности занимается всеми теми видами деятельности, которые указаны в учредительных документах;
- практически все вносят в устав пометку о возможности заниматься иными направлениями работ, разрешенными действующим законодательством (в том числе теми, при которых нужно вносить данные в реестр значимых объектов КИИ);
- в области науки существует возможность проведения исследований с дотациями от государства, что обозначает формальную принадлежность к числу субъектов критической инфраструктуры. Но на практике выполнять требованиями ФЗ-187 нужно только, если в рамках текущей работы задействованы АСУ, ИС или ИТКС;
- сам факт того, что компания работает в важной для государства отрасли, не обязывает её проводить категорирование — потребность в этом возникает только, если один либо несколько из используемых объектов принадлежат к КИИ.
Подводя итоги, можно сказать, что окончательное установление принадлежности к числу субъектов критической инфраструктуры происходит непосредственно на этапе категорирования.
Суть категории значимости и потребность в её определении
Между коммерсантами, государством и социумом существует определенный конфликт интересов. Представители бизнеса заинтересованы в минимизации затрат и увеличении прибыли, что предполагает принятие решений о внедрении мер защиты, соизмеримых с потенциальными потерями в случае её отсутствия. Но есть серьезный нюанс — в расчет берутся именно убытки предприятия, а не последствия для граждан и государства. Пример — отключение тепловой электростанции на дня для компании, которая обеспечивает её работу, приведет к снижению дохода всего на пару процентов, тогда как потребителям предстоит столкнуться с серьезными проблемами из-за отсутствия отопления, электрики и горячего водоснабжения.
Для урегулирования подобных трудностей на законодательном уровне закреплено понятие «категория значимости» — это характеристика объекта критической инфраструктур, с помощью которой удается четко определить, с какими ИТ-элементами предприятие может работать без ограничений, а какие необходимо дополнительно обезопасить от внутренних и внешних угроз. При установлении категории объектов КИИ в расчет берутся 14 типов негативных итогов прекращения или нарушения их работы, прописанных в правительственном постановлении № 127. К ним относятся:
- ухудшение функциональности систем обеспечения жизнедеятельности населения;
- нанесение вреда состоянию здоровья и жизни граждан;
- сбои связи;
- уменьшение суммы доходов местного, федерального бюджетов;
- перебои с транспортным снабжением и т.д.
Проведение анализа по совокупности критериев позволяет определить значимые объекты критической информационной инфраструктуры, основываясь на размере вероятного наносимого вреда. При этом есть ряд трудностей, с которыми приходится сталкиваться при выяснении категории значимости в отношении каждого конкретного объекта:
- Не всегда есть возможность точно понять, какое количество людей в теории могут пострадать от нарушения целостности и снижения работоспособности элемента ИТ-инфраструктуры.
- В качестве объекта КИИ выступает не компания или учреждение в целом, а только те АСУ, ИС и ИТКС, которые применяются в прописанных в ФЗ-187 отраслях.
- Бывает сложно разграничить категории значимости в отношении сложных информационных систем, где элементы могут быть отдельными объектами, в отношении которых необходимо выполнять оценку степени вреда.
В связи с перечисленными затруднениями, очевидно, что заниматься категорированием, как и защитой значимых объектов КИИ, должны те, кто разбирается в терминологии, методиках, а также располагают техническими ресурсами для составления моделей действий нарушителей (внутренних и внешних). Сотрудничество с нашим центром позволяет сократить время и финансовые затраты на урегулирование формальностей, дав возможность осуществлять деятельность без претензий со стороны ФСТЭК, клиентов и партнеров по бизнесу.
Почему важно выделить незначимые и значимые объекты критической информационной инфраструктуры?
Чтобы проводить категорирование, критическая информационная инфраструктура должна быть классифицирована, но при этом нет единого подхода к дифференциации объектов. Если какой-то из них не относится к числу значимых, то тратить денежные и технические средства на обеспечение его безопасности нет необходимости. Вместе с тем, элементы ИТ-инфраструктуры, которые могут в теории нанести серьезный вред, должны быть надежно защищены от угроз, исходящих извне и изнутри.
Руководствуясь положениями ФЗ-187 и ФСТЭК, можно определить две разновидности объектов КИИ — значимые и незначимые, причем первые разделяются между собой на 3 категории, среди которых первая является высшей, а третья — низшей. Принадлежность к той или иной категории определяет:
- подбор и реализацию тех или иных мер по противодействию угрозам, способным вызвать остановку либо нарушение функционирования. Чем выше категория, тем серьезней должны быть применяемые методы блокировки, чтобы исключить негативные последствия действий нарушителя с высоким, базовым повышенным или базовым потенциалом;
- использование конкретных средств борьбы со злоумышленниками;
- перечень требований к обеспечению целостности и доступности информационной системы, а также затраты на интеграцию соответствующих СЗИ.
Обязательно ли осуществлять категорирование объектов информатизации?
В ПП № 127 четко прописано, что начать процедуру нужно каждому субъекту КИИ, при этом есть полгода на согласование деталей (а точнее — перечня объектов, сроков) с контролирующим органом. Также установлены определенные временные лимиты на решение формальностей, и если их не соблюдать, то ФСТЭК направит официальный запрос с требованием исполнить положения ФЗ-187. Игнорировать его рискованно — за неисполнение полагаются серьезные штрафные санкции и другие наказания в рамках КоАП. В современных реалиях, когда за ИТ-безопасностью тщательно следят, разумнее и выгоднее изначально позаботиться о проведении необходимых процедур, чем в дальнейшем разбираться с негативным последствиями.
Специфика анализа угроз
При планировании и реализации аналитического процесса нужно разграничивать оценку угроз ИС согласно Приказу ФСТЭК № 239 и определение негативных результатов инцидентов с исследуемым объектом при выполнении категорирования. Если в первом случае требуется задействовать централизованную БД уязвимостей и протестировать различные варианты действий нарушителей, то во втором столь детальную проработку выполнять нет смысла. Также необходимо принимать в расчет, что не следует выделять перечень объектов критической информационной инфраструктуры, руководствуясь исключительно их функциональным назначением — нужно ориентироваться, прежде всего, на реальную сферу эксплуатации.
Формализация процесса
Как и другие процедуры, регулируемые законодательством, категорирование имеет определенные ограничения по времени проведения того или иного этапа, а также ряд особенностей, которые нужно учитывать:
- контрольными точками процедуры являются составление списка объектов КИИ и присвоение им той или иной категории значимости (либо решение, что элемент ИТ-инфраструктуры не относится к числу значимых);
- 5 рабочих дней дается на информирование ФСТЭК об утверждении перечня;
- с момента подготовки акта категорирования объекта КИИ (образец можно скачать в Интернете) есть 10 дней на то, чтобы уведомить контролирующий орган по каждому из объектов;
- на протяжении десяти дней ведомство проверяет данные и сообщает о наличии недоработок, на устранение которых дается также 10 суток;
- весь процесс должен быть завершен в течение 12 месяцев после составления перечня, при этом проводить анализ на их соответствие правовым нормативам может проводиться только через 3 года.
Профессиональный подход к категорированию объектов критической информационной инфраструктуры
Чтобы оптимизировать решение формальностей и технических аспектов выделения значимых объектов КИИ, имеет смысл воспользоваться помощью экспертов. В комплекс предлагаемых нашим центром услуг может входить:
- исследование деятельности на этапе подготовки к создания проекта для получения необходимого массива данных об элементах информационной инфраструктуры, которые подлежат категорированию;
- выделение критических процессов, а также ИТКС, АСУ и ИС, которые необходимы для их работы;
- составление комплекта документов для передачи в контролирующие органы;
- установление степени вреда, который может быть нанесен при наступлении инцидентов;
- подготовка актов категорирования с учетом актуальным нормативно-правовых требований.
Мы успешно сотрудничаем с частными клиентами и компаниями, располагаем лицензией ФСТЭК, устанавливая демократичные цены на все виды услуг. Свяжитесь с нами онлайн или по телефону, чтобы обсудить детали и проконсультироваться по поводу сроков и стоимости работ.