Информационная безопасность в Российской национальной библиотеке

В статье на примере Российской национальной библиотеки выясняем, какие организации попадают под понятие "субъект КИИ", а также как следует организовать работу с персональными данными.

Российская национальная библиотека (РНБ), основанная как первая общедоступная библиотека России в 1795 г. Екатериной II, входит в число пяти крупнейших библиотек мира, является второй в России по объему библиотечных фондов и имеет статус особо ценного объекта культурного наследия народов Российской Федерации. Однако является ли столь ценное со всех сторон учреждение и ему подобные объектом критической информационной инфраструктуры (КИИ)? Давайте разберемся, какие организации попадают под понятие "субъект КИИ", как организациям типа РНБ следует организовать работу с персональными данными.

Попадает ли организация под понятие "субъект КИИ"?

Понятие критической информационной инфраструктуры раскрыто в Федеральном законе № 187-ФЗ от 26.07.2017 "О безопасности критической информационной инфраструктуры Российской Федерации".

Критическая информационная инфраструктура – это объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов. Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Первый критерий

Первый критерий – код ОКВЭД (Общероссийский классификатор видов экономической деятельности) организации.

Проверяем, попадает ли РНБ под перечень отраслей, указанных в ФЗ №-187: здравоохранение; наука; транспорт; связь; энергетика; банковская сфера и иные финансовые сферы; топливно-энергетический комплекс; область атомной энергии; оборонная промышленность; ракетно-космическая промышленность; горнодобывающая промышленность; металлургическая промышленность; химическая промышленность; сфера государственной регистрации недвижимости; плюс, дополнительно к КИИ, юридические лица и/или ИП, которые обеспечивают взаимодействие указанных систем или сетей.

Второй критерий

Второй критерий – лицензии и иные разрешительные документы на различные виды деятельности, которые относятся к вышеперечисленным сферам и которые будут в фокусе внимания согласно ФЗ №-187.

Третий критерий

Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций, в которых может быть прописан вид деятельности, указывающий на принадлежность к критичным отраслям.

Пример. Компания по основному виду экономической деятельности имела код ОКВЭД 46.73.6 "Торговля оптовая прочими строительными материалами и изделиями". На первый взгляд ничего особенного, в перечень отраслей согласно ФЗ №-187 не попадает и можно "спать спокойно". Но при детальном изучении устава и лицензий на виды деятельности оказалось, что у компании есть лицензия на деятельность по перевозке грузов железнодорожным транспортом и собственный парк железнодорожного транспорта. Исходя из данных обстоятельств, предприятие относится к отрасли "Транспорт" и, следовательно, необходимо выполнять требования ФЗ №-187.

Если попали под один критерий из трех – вы субъект КИИ.

Четвертый критерий

В перечне отраслей, где имеются объекты КИИ, одним из критериев наличия КИИ четко указана отрасль "наука", а в ЕГРЮЛ от РНБ одной из сфер деятельности указаны: "Научные исследования и разработки в области гуманитарных наук" ОКВЭД 72.20.2. Казалось бы – попадание под перечень отраслей (ФЗ №-187). Но не спешите! Почти в каждой отрасли утвержден подробный документ "Перечень типовых объектов КИИ, функционирующих в сфере …".

Так, в приведенном документе "Перечень типовых объектов КИИ, функционирующих в сфере науки" отсутствует процесс, указанный в ЕГРЮЛ библиотеки – "Научные исследования и разработки в области гуманитарных наук", да еще ОКВЭД 72.20.2 отсутствует! То есть процессы в науке бывают разные, и нам досталась активность, не входящая в Перечень типовых объектов КИИ, функционирующих в сфере науки (табл. 2).

Таблица 1. Фрагмент выписки из ЕГРЮЛ для РНБ. ОКВЭД = 72.20.2

Таблица 2. Фрагмент перечня типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере науки

Пятый критерий

Иногда бывает, что организация подает сведения для ЕГРЮЛ на перспективу. То есть описание деятельности есть, а сама активность еще не ведется. Но это надо будет документально подтвердить. Например, планы на 2030 г., заказ оборудования на 2027 г. и т.д.

Шестой критерий

В феврале 2025 г. были утверждены методические рекомендации по категорированию объектов КИИ, функционирующих в сфере науки. В них указан порядок определения принадлежности организации к субъекту Кии. В частности, "...организация является субъектом КИИ в сфере науки в случае... наличия в качестве основного вида деятельности в учредительных документах организации (устав, учредительный договор) научной и (или) научно-технической деятельности и использования ОКИЭД, приведенного в Приложении 1..." методических рекомендаций. Наш код ОКВЭД 72.20.2 в нем присутствует. Казалось бы, все – библиотека субъект КИИ!

Обратились к юристам за комментарием. Они внимательно изучили документ и нашли ключевые слова: "…наличия в качестве основного вида деятельности...", а деятельность по коду ОКВЭД 72.20.2, согласно ЕГРЮЛ библиотеки, является дополнительной (основной вид деятельности – библиотечная).

Таким образом, после проверки по всем шести критериям, даже если не найден процесс с КИИ, необходимо действовать согласно методическим указаниям, а именно: выпустить приказ о создании комиссии, подготовить протоколы заседаний. Во ФСТЭК направляется уведомление об отсутствии в организации КИИ, и на его основе ФСТЭК принимает решение.

Если активность с КИИ обнаружена, путь более сложный.

Краткий порядок действий

Итак, вы считаете, что ваше учреждение может подпасть под действие законов о безопасности КИИ. Что нужно делать в таком случае? Вот примерный план:

1. Необходимо убедиться в том, что предприятие попадает под действие федерального закона о безопасности КИИ. Для этого следует составить список автоматизированных информационных систем (АИС), с указанием конкретной области их функционирования.
2. Провести категорирование в установленном законом порядке, выделив значимые объекты информационной инфраструктуры (ЗОКИИ) и разделив их на категории.
3. Передать сведения во ФСТЭК, дождаться окончания проверки и получения уведомления о внесении ОКИИ в реестр.
4. Подготовить регламент передачи сведений в ФСБ и подключиться к ИТ-инфраструктуре национального координационного центра по компьютерным инцидентам (НКЦКИ).
5. Создать и утвердить план борьбы с хакерскими атаками и нейтрализации последствий компьютерных инцидентов.
6. Подготовить, согласовать и интегрировать систему безопасности ЗОКИИ в организации.
7. Сделать так, чтобы эксплуатация объекта КИИ была безопасной.

Основные законы и приказы, регулирующие деятельность по защите КИИ

В этой сфере необходимо руководствоваться прежде всего следующими документами:

1. Федеральный закон о безопасности критической информационной инфраструктуры Российской Федерации от 26.07.2017 № 187 (в ред. Федерального закона от 10.07.2023 № 312-ФХ, от 07.04.2025 № 58-ФХ, изменения вступают в силу 01.09.2025).
2. Приказ ФСТЭК от 25.12.2017 № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" (в ред. приказов ФСТЭК России от 09.08.2018 № 138, от 26.03.2019 № 60, от 20.02.2020 № 35, от 28.08.2024 № 159).
3. Приказ ФСТЭК от 21.12.2017 № 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования" (в ред. приказов ФСТЭК России от 27.03.2019 № 64, от 20.04.2023 № 69).
4. Приказ ФСБ России от 19.06.2019 № 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации".

Рис. 1. Этапы категорирования

Создание системы обеспечения информационной безопасности

Если же ваша организация обладает объектами КИИ, то обязательно создание системы обеспечения информационной безопасности – СОИБ, потому что это позволяет:

1. Предотвратить нарушения в работе объектов КИИ. СОИБ сохраняет целостность данных, блокирует несанкционированный доступ, поддерживает контроль за действиями персонала, гарантирует бесперебойную работу оборудования.
2. Восстановить функционирование значимых объектов КИИ.
3. Снизить вероятность возникновения компьютерных инцидентов. Это уменьшает риски экономических потерь при проведении в отношении субъектов КИИ компьютерных атак.
4. Избежать уголовной или административной ответственности. Поддержание безопасности объектов КИИ регламентируется федеральным законом, и несоблюдение его норм грозит ответственностью.

Организационная структура СОИБ

При создании СОИБ следует руководствоваться постановлением Правительства РФ от 15.07.2022 № 1272 "Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)". Создается комиссия СОИБ, в состав которой рекомендуется включить:

• руководителя организации;
• ответственного за общую организацию ИБ;
• комиссию по информационной безопасности (далее – комиссия по ИБ);
• ответственного за обеспечение ИБ;
• ответственного за организацию обработки персональных данных (ПДн);
• ответственного за обеспечение безопасности ПДн;
• ответственного за экономическую безопасность;
• ответственного за физическую безопасность;
• ответственного за ИТ;
• ответственного пользователя криптосредств;
• ответственного за юридический анализ;
• ответственного за управление ролями;
• владельцев активов;
• руководителей подразделений, участвующих в обработке защищаемой информации;
• администраторов информационной безопасности;
• временных групп;
• сотрудников.

Как конкретные сотрудники, так и целые структурные подразделения могут быть назначены ответственными: за ИТ; за обеспечение безопасности персональных данных (ПДн); за юридический анализ; а также ответственным пользователем криптосредств.

Рис. 2. Калькулятор для определения уровня защищенности ИСПДн (https://fstec21.blogspot.com/p/calculator-basic-set-of-measures.html)

Таблица 3. Определение уровня защищенности ИСПДн

Ответственность, связанная с нарушением норм функционирования КИИ

Тут надо "прочитать и испугаться". В зависимости от тяжести нарушения может наступить административная или уголовная ответственность.

Административная ответственность

Административная ответственность наступает при следующих моментах:

• Непредставление во ФСТЭК сведений о присвоении объекту КИИ категории значимости или о том, что присваивать ее не нужно. Штраф для юрлиц от 50 тыс. до 100 тыс. руб.
• Несоблюдение порядка уведомления ФСБ о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий атак в отношении значимых объектов КИИ. Штраф для юрлиц от 100 тыс. до 500 тыс. руб.
• Нарушение правил обмена информацией о компьютерных инцидентах (в частности, между субъектами КИИ). Штраф для юрлиц от 100 тыс. до 500 тыс. руб.
• Нарушение требований к созданию и обеспечению работы систем безопасности значимых объектов КИИ. Штраф для юрлиц от 50 тыс. до 100 тыс. руб.
• Нарушение требований к обеспечению безопасности этих объектов. Штраф для юрлиц от 50 тыс. до 100 тыс. руб.

Штраф для должностных лиц по таким нарушениям составит от 10 тыс. до 50 тыс. руб. Срок давности привлечения к ответственности за все эти нарушения составит один год.

Таблица 4. Определение мер защиты по уровню защищенности

Таблица 5. Ответственность оператора, связанная с ПДн

Уголовная ответственность, связанная с КИИ

Уголовная ответственность за несоблюдение законодательных норм, касающихся КИИ, наступает в соответствии со ст. 274.1 п. 1–4 Уголовного кодекса РФ ("Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации"):

• Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на КИИ.
• Неправомерный доступ к охраняемой компьютерной информации, содержащейся в КИИ.
• Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ.

Если нанесен вред КИИ, виновный наказывается принудительными работами на срок до пяти лет со штрафом до 1 млн руб.

Обработка персональных данных

Обработкой персональных данных считаются любые действия или операции, которые проводятся с ними, в том числе сбор, систематизация, хранение, уточнение, использование, распространение, удаление. Основные документы, регулирующие эту деятельность:

• Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных";
• постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
• приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
• Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации". В документе прописан запрет на бесконечное хранение личных данных: после достижения целей обработки ПДн их нужно удалить или обезличить.

Злоумышленники стремятся использовать ПДн для противоправных действий, из которых они извлекают выгоду. Для подкрепления внимания к этой проблеме учрежден международный день защиты персональных данных, который отмечается ежегодно 28 января.

Лицо, ответственное за организацию обработки ПДн

В соответствии со ст. 22.1. 152-ФЗ "О персональных данных" в организации назначается лицо, ответственное за организацию обработки персональных данных. Этот сотрудник получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетен ему. Какие-либо требования к квалификации или образованию ответственного работника законодательно не установлены, поэтому для выполнения функций по обработке персональных данных подойдет любой квалифицированный работник – специалист отдела кадров, бухгалтер, секретарь.

Сотрудник, ответственный за обработку персональных данных, обязан:

• контролировать, как работодатель и сотрудники соблюдают закон о персональных данных, в том числе требования к их защите;
• информировать сотрудников о положениях закона о персональных данных, локальных актов по вопросам обработки этих данных, требований к их защите;
• принимать и обрабатывать обращения или запросы субъектов персональных данных или их представителей.

Примерный план мероприятий по организации защиты ПДн

Для организации защиты ПДн учреждение разрабатывает примерно такой план:

1. Назначение ответственного за обработку ПДн.
2. Подготовка политики "Об обработке персональных данных работников на предприятии…".
3. Размещение данного документа на сайте предприятия в открытом доступе.
4. Подготовка уведомления об обработке ПДн оператором ПДн.
5. Проведение аудита в каждом подразделении, обрабатывающем ПДн.
6. Подготовка и утверждение организационно-распорядительной документации.

Организационно-распорядительная документация по обработке ПДн

Для обработки ПДн необходимо разработать и утвердить документы, указанные в табл. 6.

Таблица 6. Документы, необходимые для обработки ПДн

Проведение общего аудита

Целью данного мероприятия является текущая ревизия (инвентаризация), проводимая для понимания реального состояния дел по защите информации в организации.

Общий аудит осуществляется по способам защиты ПДн, коммерческой тайны, иной конфиденциальной информации, расположенной на материальных носителях, а также конфиденциальной информации, находящейся в АИС. В РнБ в настоящее время проводится общий аудит с целью определения:

• видов конфиденциальной информации, циркулирующей в РНБ;
• категорий ПДн;
• типов угроз;
• уровней защищенности АИС;
• лидеров команд поддержки АИС (ответственных за поддержку и обновления ОС, прикладного ПО, администраторов БД);
• когда проводились аудиты защищенности АИС, ролей/доступов СУБД и т.д.
• других вспомогательных данных.

Для достижения данной цели в РНБ была разработана контрольная таблица. Руководителям подразделений предложено ее заполнить – это позволит иметь реальную картину текущего состояния защиты информации.

Определение уровней защищенности и конкретных мер защиты по уровню защищенности

Меры защиты по уровню защищенности определяются согласно приложению к приказу ФСТЭК от 18.02.2013 № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Уровни защищенности ИСПДН могут определятся как вручную (табл. 3), так и при помощи широко представленных в интернете интерактивных калькуляторов, например см. рис. 2.

Определив уровень защищенности по таблице, представленной в приказе ФСТЭК от 18.02.2013 № 21, определяем конкретные необходимые меры защиты ПДн для конкретной АИС, а получив информацию о текущих мерах защиты, нетрудно вычислить недостающие.

Главные цели аудита

Является информация конфиденциальной или нет – это определяет исполнитель или владелец информации. исполнитель – субъект, который непосредственно работает с данным видом информации. Владелец – субъект, как правило, руководитель, который подписывает документы, содержащие данные сведения.

По такому принципу проходит первичный аудит, когда выявляются:

1. Наименование подразделения, обрабатывающего ПДн.
2. ФИО исполнителя (заполняющего таблицу).
3. Название автоматизированной информационной системы (ИСПДН).
4. Расположение автоматизированной информационной системы.
5. Виды (типы) обрабатываемой информации ограниченного доступа.
6. Пояснение, что именно содержит указанная информация.
7. На каком материальном носителе обрабатывается информация ограниченного доступа.
8. Меры защиты для документов на материальных носителях, содержащих указанную информацию ограниченного доступа.
9. Меры защиты для автоматизированных информационных систем (АИС), содержащих указанную информацию ограниченного доступа.
10. Тип актуальных угроз АИС.
11. Уровень защищенности ПДн.
12. ФИО владельца АИС.
13. ФИО лидера команды эксплуатации информационной системы.
14. ФИО лидера команды установки обновлений и поддержки ОС, наименование ОС.
15. Дата последнего сканирования на уязвимости (день, месяц, год).
16. Периодичность антивирусного сканирования в днях.
17. Дата последнего аудита ролей/доступов (день, месяц, год).

Главные цели аудита – определить текущее состояние дел по защищенности ИС и помещений от несанкционированных действий, а также соответствие текущего уровня защиты АИС необходимому, согласно требованиям следующих документов:

• Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных";
• постановления Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
• приказа Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Заключение

Мы рассмотрели на примере Российской национальной библиотеки вопросы определения субъекта КИИ, а также различные аспекты обработки ПДн. Надеемся, что этот материал будет полезным для организаций и ведомств, сталкивающихся с подобными задачами.

Иллюстрации предоставлены автором.

Опубликовано в журнале "Системы безопасности" № 2/2025

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

Иллюстрация к статье сгенерирована нейросетью Kandinsky