II. Установка и эксплуатация средств, предназначенных для поиска признаков компьютерных атак, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ

10. Установка и эксплуатация средств, предназначенных для поиска признаков компьютерных атак, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ (далее - средства ППКА), в том числе в банковской сфере и в иных сферах финансового рынка, включают:

определение необходимости установки средств ПИКА;

установку средств ППКА, их подключение к каналам связи, необходимым для управления и получения информации от средств ППКА;

прием в эксплуатацию средств ППКА;

обеспечение непрерывной работы средств ППКА;

проведение технического обслуживания, замену и демонтаж средств ППКА;

обеспечение сохранности средств ППКА;

осуществление мониторинга функционирования средств ППКА.

11. Необходимость установки средств ППКА на информационные ресурсы субъекта КИИ или органа (организации) определяется ФСБ России в соответствии с пунктом 8 части 4 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

12. Для установки средств ППКА ФСБ России должна направить субъекту КИИ или органу (организации) следующую информацию и документы:

уведомление о необходимости установки средств ППКА на информационные ресурсы субъекта КИИ или органа (организации) в целях их устойчивого функционирования при проведении в их отношении компьютерных атак;

условия для размещения средств ППКА;

фамилия, имя, отчество (при наличии) представителя ФСБ России или наименование структурного подразделения ФСБ России, ответственного за организацию работ;

проект регламента взаимодействия по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее - регламент).

13. Субъект КИИ или орган (организация) не позднее 10 календарных дней с даты получения уведомления, предусмотренного пунктом 12 настоящего Порядка, должен определить должностных лиц, ответственных за организацию взаимодействия по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак.

14. Субъект КИИ или орган (организация) в срок не более 30 календарных дней с даты получения информации, предусмотренной пунктом 12 настоящего Порядка, должен направить в ФСБ России:

согласованный проект регламента;

информацию об информационных ресурсах, включающую описание инфраструктуры, хостов, подсистем, сервисов, доменных имен, средств защиты информации, телекоммуникационного оборудования и его настроек, а также правила межсетевого экранирования;

структурно-функциональную схему информационных ресурсов;

информационно-алгоритмическую модель информационных ресурсов, включающую правила доступа к подсистемам и сервисам, маршрутизацию пользователей, распределение пользователей по подсетям, наличие и расположение контроллера доменов, наличие и расположение сервисов авторизации пользователей, наличие виртуальных сетей и их маршрутизацию, наличие удаленного доступа к подсистемам и сервисам.

15. ФСБ России в течение 45 календарных дней со дня получения документов и информации, предусмотренных пунктом 14 настоящего Порядка, должна определить места установки средств ППКА и направить субъекту КИИ или органу (организации) утвержденный руководством Центра защиты информации и специальной связи ФСБ России регламент с указанием мест установки средств ППКА или запросить дополнительную информацию, необходимую для определения мест установки средств ППКА.

16. Субъект КИИ или орган (организация) в течение 30 календарных дней со дня получения утвержденного регламента должен направить уведомление в ФСБ России о сроке подготовки своих информационных ресурсов для установки средств ППКА в соответствии со структурно-функциональной схемой информационных ресурсов. Указанный срок не должен превышать 6 месяцев со дня направления уведомления, предусмотренного настоящим пунктом.

17. Установка средств ППКА осуществляется силами и средствами ФСБ России на безвозмездной основе.

18. Прием в эксплуатацию средств ППКА осуществляется после выполнения требований пунктов 12 - 16 настоящего Порядка назначенной субъектом КИИ или органом (организацией) комиссией по приему средств ППКА в эксплуатацию (далее - комиссия). В состав комиссии включаются сотрудники субъекта КИИ или органа (организации) и представители ФСБ России (по согласованию).

19. В ходе приема в эксплуатацию средств ППКА проверяются технические условия установки и эксплуатации средств ППКА, предусмотренные приложением N 2 к настоящему приказу.

20. По результатам приема в эксплуатацию средств ППКА в соответствии с пунктом 19 настоящего Порядка оформляется акт приема средств ППКА в эксплуатацию, в котором указываются:

наименование информационного ресурса;

дата приемки средств ППКА в эксплуатацию;

фамилии, имена, отчества (при наличии) и должности членов комиссии;

состав и серийные номера средств ППКА;

результат проверки выполнения технических условий установки и эксплуатации средств ППКА;

реквизиты утвержденного регламента.

21. Акт приема средств ППКА в эксплуатацию подписывается всеми членами комиссии и хранится у субъекта КИИ или органа (организации). Копия указанного акта направляется в ФСБ России в течение 7 календарных дней со дня его оформления.

Субъект КИИ или орган (организация), который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, дополнительно должен направить копию акта приема средств ППКА в эксплуатацию в указанный срок в Банк России.

22. Субъект КИИ или орган (организация) должен обеспечить непрерывную работу своей информационной инфраструктуры для корректной работы средств ППКА.

23. Эксплуатация средств ППКА осуществляется ФСБ России.

24. Непрерывность функционирования в круглосуточном режиме и сохранность средств ППКА обеспечиваются субъектом КИИ или органом (организацией) самостоятельно путем соблюдения технических условий установки и эксплуатации средств ППКА, предусмотренных приложением N 2 к настоящему приказу.

25. Техническое обслуживание средств ППКА проводится ФСБ России.

26. Субъект КИИ или орган (организация) не менее чем за 7 календарных дней до дня начала проведения в своей информационной инфраструктуре плановых работ, которые могут повлечь нарушение функционирования средств ППКА, должен уведомить ФСБ России о сроках и продолжительности проведения указанных плановых работ.

27. Замена средств ППКА осуществляется ФСБ России в случае нарушения их функционирования или необходимости их модернизации.

28. После замены средств ППКА осуществляется их прием в эксплуатацию в соответствии с пунктами 18 - 21 настоящего Порядка.

29. Демонтаж средств ППКА проводится ФСБ России в случае необходимости изменения мест установки средств ППКА, в связи с реорганизацией, ликвидацией или прекращением деятельности субъекта КИИ или органа (организации), или по решению ФСБ России.

30. В случае необходимости изменения мест установки средств ППКА демонтаж средств ППКА должен проводиться после выполнения мероприятий, предусмотренных пунктами 12 - 21 настоящего Порядка.

31. Демонтаж средств ППКА в связи с реорганизацией, ликвидацией или прекращением деятельности субъекта КИИ или органа (организации) проводится в сроки, согласованные с ФСБ России, но не позднее чем за 45 календарных дней до дня завершения реорганизации, ликвидации или прекращения деятельности субъекта КИИ или органа (организации).

32. Демонтаж средств ППКА по решению ФСБ России проводится в срок, не превышающий 30 календарных дней со дня уведомления субъекта КИИ или органа (организации) о принятии такого решения.

33. По результатам демонтажа средств ППКА ФСБ России и субъект КИИ или орган (организация) должны составить акт о демонтаже средств ППКА в двух экземплярах, по одному для каждой из сторон, в котором указываются:

полное наименование субъекта КИИ или органа (организации);

дата демонтажа средств ППКА;

фамилия, имя, отчество (при наличии) представителя ФСБ России и субъекта КИИ или органа (организации);

места установки средств ППКА (адрес, помещение), в отношении которых проведен демонтаж;

состав и серийные номера средств ППКА, в отношении которых проведен демонтаж;

реквизиты утвержденного регламента.

34. Мониторинг функционирования средств ППКА осуществляется ФСБ России в круглосуточном режиме.