Объекты критической информационной инфраструктуры (КИИ) — это не просто отдельные компьютеры или сервера. Это цифровые нервы жизненно важных отраслей: энергетики, связи, транспорта, здравоохранения. Поэтому логично, что к их защите предъявляются особые требования. И в первую очередь — к организации процессов защиты, которая формируется через локальные нормативные акты (ЛНА).
Но, как показывает практика, наличие ЛНА ≠ работающая система. Большинство организаций или перегружают документы формализмом, или используют шаблоны, которые никак не отражают их реальную инфраструктуру. В данной статье мы разберем, как правильно актуализировать ЛНА и какие инструменты на российском рынке действительно помогают в этом?
Почему актуализация — это не просто «обновление документов»
Многие воспринимают актуализацию ЛНА как формальность. Но важно понимать, что это не просто юридическая «обвязка», а живая система инструкций, по которым в критический момент будет работать команда. От того, насколько эти документы адаптированы к текущей архитектуре, зависит время реагирования, полнота контроля и даже возможность отстоять свою правоту в случае проверки или инцидента.
Изменилась схема сети? Добавили новый сервис? Назначили нового ответственного? Вышел новый приказ ФСТЭК? Всё это должно находить отражение в ЛНА. Их нужно пересматривать не «раз в год», а каждый раз при значимом изменении, особенно если вы работаете с системами I, II или III категории.
Нормативно-правовая база и регламенты по информационной безопасности КИИ
Когда речь идёт о локальных нормативных актах (ЛНА) организации, обеспечивающих выполнение требований законодательства в области защиты критической информационной инфраструктуры (КИИ), ключевым является их соответствие Федеральному закону № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации», а также подзаконным актам и приказам регуляторов (ФСТЭК и ФСБ России).
К числу основных направлений внутреннего регламентирования относятся:
1. Распределение ролей и зон ответственности.
В соответствии с п. 3 ст. 7 187-ФЗ организация обязана назначить должностных лиц, ответственных за обеспечение безопасности объектов КИИ. Эти обязанности должны быть закреплены в должностных инструкциях, а также в локальных положениях об ИБ.
2. Организация контроля и внутреннего аудита.
Приказ ФСТЭК России № 239 от 25.12.2017 «Об утверждении требований к обеспечению безопасности значимых объектов КИИ» предписывает регулярный контроль состояния защиты информации. В ЛНА необходимо закрепить порядок проведения внутреннего аудита информационной безопасности, его периодичность и формы документирования.
3. Регламентация действий персонала.
Приказ ФСТЭК № 235 от 21.12.2017 «Об утверждении требований к созданию систем безопасности значимых объектов КИИ» обязывает операторов КИИ обучать работников и обеспечивать выполнение ими установленных правил. Внутренние инструкции должны включать порядок работы с носителями информации, использование криптографических средств защиты, а также требования по реагированию на инциденты.
4. Планы реагирования на инциденты.
Согласно Приказу ФСБ России № 368 от 21.12.2017 «Об утверждении порядка уведомления ФСБ России об инцидентах безопасности значимых объектов КИИ», организация обязана иметь утвержденные планы реагирования на компьютерные инциденты. В ЛНА необходимо прописать порядок уведомления ответственных лиц и государственных органов, алгоритмы локализации и минимизации последствий.
Таким образом, система локальных регламентов является не просто формальной обязанностью, а важнейшим инструментом обеспечения устойчивости объектов КИИ. Она позволяет не только соответствовать требованиям федеральных регуляторов, но и реально снижать риски киберугроз для критически важных бизнес-процессов.
Эволюция регламентов: от бумажных инструкций к автоматизированным системам
Ранее регламенты создавались преимущественно в виде статичных документов на бумаге или в виде файлов Word/Excel без автоматизации контроля изменений. В последние годы происходит переход к более структурированным и автоматизированным системам управления документацией:
— Внедрение систем электронного документооборота (ЭДО) позволяет централизованно хранить актуальные версии ЛНА, отслеживать согласования и сроки пересмотра.
— Использование специальных платформ обеспечивает автоматический контроль исполнения процедур, интеграцию с системами инвентаризации активов и моделями угроз.
Практические аспекты актуализации ЛНА
1. Регулярность обновлений: согласно требованиям ФСТЭК и ФСБ, пересмотр ЛНА должен проводиться при значимых изменениях инфраструктуры (добавление новых сервисов, изменение архитектуры сети), а также не реже одного раза в год для подтверждения актуальности.
2. Процедура актуализации:
- Анализ изменений в инфраструктуре и бизнес-процессах.
- Взаимодействие с ответственными подразделениями (ИТ, ИБ, юристы).
- Обновление регламентов с учетом новых требований нормативных актов.
- Проведение внутреннего аудита соответствия обновленных документов.
3. Документирование изменений: важно фиксировать все редакции ЛНА для последующего аудита и проверки соответствия требованиям законодательства.
4. Внедрение системы контроля исполнения: использование автоматизированных платформ позволяет отслеживать выполнение процедур в реальном времени, своевременно выявлять несоответствия и устранять их.
Чем помогают отечественные решения
Актуализация ЛНА — это, по сути, управление документами, ролями, процедурами, контроль сроков, исполнителей и соответствия нормативке. Делать это «вручную» в Excel, Word и через почту — допустимо только в очень небольших компаниях. Если у вас в периметре десятки устройств и подразделений — без специализированных решений не обойтись.
Вот обзор ключевых отечественных платформ и систем, которые уже используются в госсекторе, промышленности и критической инфраструктуре:
«Астрал Безопасность»
Компания предлагает комплексные решения по информационной безопасности, в том числе в части КИИ. Их продукты и консультационные услуги ориентированы на практику — например, помогают выстроить систему защиты с нуля, провести категорирование, внедрить регламенты и провести аудит соответствия требованиям 187-ФЗ.
Особенно полезны сервисы компании в части:
- аутсорсингового сопровождения по КИИ — регулярная актуализация ЛНА силами специалистов;
- проведения аудитов соответствия требованиям 187-ФЗ
- экспертной поддержки при проверках ФСТЭК.
Если у организации нет собственной сильной ИБ-команды, то помощь от «Астрал Безопасности» — это способ сэкономить время и избежать критичных ошибок.
Альфадок КИИ
Альфадок КИИ — российская система автоматизации документооборота и управления регламентами. Эта платформа предназначена для субъектов критической инфраструктуры и обеспечивает комплексное управление документацией, связанной с обеспечением безопасности и функционированием объектов КИИ.
Ключевые возможности:
- Автоматизация процессов управления документацией: создание, редактирование, согласование и утверждение регламентов и инструкций.
- Контроль актуальности документов: система позволяет своевременно обновлять регламенты в соответствии с изменениями нормативных требований.
- Обеспечение соответствия нормативным требованиям: платформа помогает организациям соблюдать требования законодательства в области защиты критической инфраструктуры, включая подготовку отчетности и аудит.
Ручной подход (SharePoint, Excel)
Подходит для небольших организаций и старта процессов. Основные задачи можно решить с помощью:
- Excel-таблиц для учета актуальности и сроков ЛНА;
- Word-шаблонов с подстановкой переменных;
- общей сетевой папки или облака с разграничением прав;
- напоминаний по календарю для пересмотра регламентов.
Главный минус — высокая зависимость от человеческого фактора и отсутствие централизованного контроля. Но при ограниченном бюджете — лучше так, чем никак.
Что еще важно учесть при работе с регламентами
Даже при наличии платформы — не стоит забывать о методологии. Документ должен не только соответствовать приказам ФСТЭК, но и быть читаемым, понятным, практически применимым. Сухие формулировки без увязки с реальностью приводят к тому, что «все подписали, но никто не работает по документу».
- Подключайте сотрудников ИТ, ИБ, эксплуатации и юристов при актуализации.
- Прописывайте ответственных и конкретные действия.
- Документируйте все изменения — это упростит проверку и аудит.
- Используйте опыт коллег — шаблоны, базы знаний, открытые кейсы.
Заключение
Актуализация локальных регламентов — это не разовая задача, а непрерывный процесс. И от того, насколько он системно выстроен, зависит безопасность объектов КИИ не на бумаге, а в реальности. Учитывая, что ответственность за несоблюдение требований 187-ФЗ — административная, а в ряде случаев и уголовная, экономить на этом не стоит. С помощью современных российских решений можно сделать этот процесс не только эффективным, но и экономически оправданным.
Если вы еще ведете регламенты вручную — начните хотя бы с базовой автоматизации и пересмотра логики документооборота. Это шаг навстречу зрелой системе защиты, которая выдержит не только проверку, но и настоящую угрозу.
Автор статьи: Филиппова Анастасия Вячеславовна, специалист по информационной безопасности — Астрал. Безопасность
Оригинал публикации на сайте CISOCLUB: "Актуализация локальных регламентов для объектов КИИ: как это работает на практике и какие решения помогают".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.