ПОСТАНОВЛЕНИЕ
от 17 февраля 2018 года N 162
В соответствии с пунктом 2 части 2 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" Правительство Российской Федерации
постановляет:
Утвердить прилагаемые Правила осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.
Председатель Правительства
Российской Федерации
Д.Медведев
Правила осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации
1. Настоящие Правила устанавливают порядок осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, и его территориальными органами (далее - орган государственного контроля) мероприятий по государственному контролю в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (далее соответственно - критическая информационная инфраструктура, государственный контроль).
2. Государственный контроль проводится в целях проверки соблюдения субъектами критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, требований, установленных Федеральным законом "О безопасности критической информационной инфраструктуры Российской Федерации" и принятыми в соответствии с ним нормативными правовыми актами (далее соответственно - требования по обеспечению безопасности, проверка).
3. Государственный контроль осуществляется путем проведения плановых и внеплановых выездных проверок.
4. Для осуществления проверки органом государственного контроля создается комиссия в составе не менее 2 должностных лиц. Внеплановая проверка, проводимая по основанию, указанному в подпункте "а" пункта 20 настоящих Правил, может осуществляться одним должностным лицом органа государственного контроля.
5. Проверка проводится должностными лицами органа государственного контроля, которые указаны в приказе органа государственного контроля о проведении проверки.
6. Срок проведения плановой проверки не должен превышать 20 рабочих дней.
7. Срок проведения внеплановой проверки не должен превышать 10 рабочих дней.
8. Срок проведения каждой из проверок, предусмотренных пунктом 3 настоящих Правил, в отношении субъекта критической информационной инфраструктуры, который осуществляет свою деятельность на территориях нескольких субъектов Российской Федерации, устанавливается отдельно по каждому филиалу, представительству и обособленному структурному подразделению субъекта критической информационной инфраструктуры, при этом общий срок проведения проверки не может превышать 60 рабочих дней.
9. Проверки в отношении значимых объектов критической информационной инфраструктуры, которые на праве собственности, аренды или ином законном основании принадлежат Министерству обороны Российской Федерации, Службе внешней разведки Российской Федерации, Федеральной службе безопасности Российской Федерации, Федеральной службе охраны Российской Федерации и Главному управлению специальных программ Президента Российской Федерации, а также значимых объектов критической информационной инфраструктуры, защита которых входит в их компетенцию, проводятся по согласованию с руководителями указанных федеральных органов исполнительной власти.
10. Информация об организации проверок, в том числе об их планировании, о проведении и результатах таких проверок, в органы прокуратуры не направляется, за исключением информации о результатах проверок, проведенных на основании требования прокурора об осуществлении внеплановой проверки в рамках проведения надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.
11. Предметом плановой проверки является соблюдение субъектом критической информационной инфраструктуры требований по обеспечению безопасности.
12. Основаниями для осуществления плановой проверки являются истечение 3 лет со дня:
а) внесения сведений об объекте критической информационной инфраструктуры в реестр значимых объектов критической информационной инфраструктуры;
б) окончания осуществления последней плановой проверки в отношении значимого объекта критической информационной инфраструктуры.
13. Ежегодный план проведения плановых проверок утверждается руководителем органа государственного контроля до 20 декабря года, предшествующего году проведения плановых проверок.
14. Ежегодный план проведения плановых проверок содержит следующую информацию:
а) сведения о субъекте критической информационной инфраструктуры;
б) сведения о лице, эксплуатирующем значимый объект критической информационной инфраструктуры;
в) дату окончания последней плановой проверки;
г) месяц и срок проведения проверки;
д) основание проведения проверки;
е) наименование органа государственного контроля.
15. Выписки из утвержденного ежегодного плана проведения плановых проверок направляются до 1 января года проведения плановых проверок органом государственного контроля субъектам критической информационной инфраструктуры.
16. О проведении плановой проверки субъект критической информационной инфраструктуры уведомляется органом государственного контроля не менее чем за 3 рабочих дня до начала ее проведения посредством направления копии приказа органа государственного контроля о проведении плановой проверки любым доступным способом, обеспечивающим возможность подтверждения факта такого уведомления.
17. Плановая проверка проводится на основании утвержденного ежегодного плана проведения плановых проверок и приказа органа государственного контроля о проведении проверки.
18. В приказе органа государственного контроля о проведении проверки указываются:
а) наименование органа государственного контроля, номер и дата издания приказа;
б) должности, фамилии, имена и отчества должностных лиц органа государственного контроля, уполномоченных на проведение проверки;
в) сведения о субъекте критической информационной инфраструктуры;
г) сведения о лице, эксплуатирующем значимый объект критической информационной инфраструктуры;
д) задачи проверки;
е) дата начала и окончания проверки;
ж) срок проведения проверки;
з) правовые основания проведения проверки, в том числе нормативные правовые акты, соблюдение положений которых подлежит проверке;
и) перечень мероприятий по контролю, необходимых для выполнения задач проверки.
19. Предметом внеплановой проверки является соблюдение субъектом критической информационной инфраструктуры требований по обеспечению безопасности, выполнение предписания органа государственного контроля, а также проведение мероприятий по предотвращению негативных последствий на значимом объекте критической информационной инфраструктуры, причиной которых является возникновение компьютерного инцидента.
20. Основаниями для осуществления внеплановой проверки являются:
а) истечение срока выполнения субъектом критической информационной инфраструктуры выданного органом государственного контроля предписания об устранении выявленного нарушения требований по обеспечению безопасности;
б) возникновение компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия;
в) приказ органа государственного контроля, изданный в соответствии с поручением Президента Российской Федерации или Правительства Российской Федерации либо на основании требования прокурора об осуществлении внеплановой проверки в рамках проведения надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.
21. О проведении внеплановой проверки (за исключением внеплановой проверки, основание для осуществления которой указано в подпункте "б" пункта 20 настоящих Правил) субъект критической информационной инфраструктуры уведомляется органом государственного контроля не менее чем за 24 часа до начала ее проведения любым доступным способом, обеспечивающим возможность подтверждения факта такого уведомления.
22. В случае если внеплановая проверка проводится по основанию, указанному в подпункте "б" пункта 20 настоящих Правил, орган государственного контроля вправе приступить к проведению внеплановой проверки незамедлительно.
23. Внеплановая проверка проводится на основании приказа органа государственного контроля о проведении проверки, оформленного в соответствии с пунктом 18 настоящих Правил.
24. Плановая и внеплановая проверка проводится по месту нахождения субъекта критической информационной инфраструктуры, лица, эксплуатирующего значимый объект критической информационной инфраструктуры, и значимого объекта критической информационной инфраструктуры.
25. Проверка начинается с предъявления служебного удостоверения должностными лицами органа государственного контроля, обязательного ознакомления руководителя субъекта критической информационной инфраструктуры или уполномоченного им должностного лица с приказом органа государственного контроля о проведении проверки.
26. Руководителю субъекта критической информационной инфраструктуры или уполномоченному им должностному лицу под расписку передается копия приказа органа государственного контроля о проведении проверки, заверенная печатью органа государственного контроля.
27. Руководитель субъекта критической информационной инфраструктуры или уполномоченное им должностное лицо обязаны предоставить должностным лицам органа государственного контроля, осуществляющим проверку, возможность ознакомиться с документами, связанными с предметом и задачами проверки, а также обеспечить с учетом требований пропускного режима беспрепятственный доступ проводящих проверку должностных лиц на территорию, в используемые при осуществлении деятельности здания, строения, сооружения, помещения и к значимым объектам критической информационной инфраструктуры.
28. Для оценки эффективности принимаемых мер во исполнение требований по обеспечению безопасности должностными лицами органа государственного контроля используются сертифицированные по требованиям безопасности информации программные и аппаратно-программные средства контроля, в том числе имеющиеся у субъекта критической информационной инфраструктуры.
Возможность и порядок использования таких средств контроля с учетом особенностей функционирования значимого объекта критической информационной инфраструктуры согласовывается с руководителем субъекта критической информационной инфраструктуры или уполномоченным им должностным лицом.
29. При проведении проверки должностные лица органа государственного контроля не вправе:
а) проверять выполнение требований по обеспечению безопасности, если они не относятся к полномочиям органа государственного контроля, от имени которого действуют эти должностные лица;
б) проводить проверку в случае отсутствия при ее проведении руководителя субъекта критической информационной инфраструктуры или уполномоченного им должностного лица, за исключением случая проведения проверки по основанию, указанному в подпункте "б" пункта 20 настоящих Правил;
в) требовать представления документов и информации, если они не относятся к предмету проверки, а также изымать оригиналы таких документов;
г) распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную и иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации;
д) превышать установленные сроки проведения проверки;
е) осуществлять выдачу субъектам критической информационной инфраструктуры предписаний или предложений о проведении за их счет мероприятий по контролю;
ж) осуществлять действия с техническими средствами обработки информации, в результате которых может быть нарушено и (или) прекращено функционирование значимого объекта критической информационной инфраструктуры.
30. Должностные лица органа государственного контроля при проведении проверки обязаны:
а) своевременно и в полной мере исполнять предоставленные в соответствии с законодательством Российской Федерации полномочия по предупреждению, выявлению и пресечению нарушений субъектом критической информационной инфраструктуры требований по обеспечению безопасности;
б) соблюдать права и законные интересы субъекта критической информационной инфраструктуры, проверка которого проводится;
в) проводить проверку на основании приказа органа государственного контроля о ее проведении в соответствии с ее предметом и задачами;
г) проводить проверку во время исполнения служебных обязанностей и при предъявлении служебных удостоверений и копии приказа органа государственного контроля о проведении проверки;
д) не препятствовать руководителю субъекта критической информационной инфраструктуры или уполномоченному им должностному лицу присутствовать при проведении проверки и давать разъяснения по вопросам, относящимся к предмету проверки;
е) предоставлять руководителю субъекта критической информационной инфраструктуры или уполномоченному им должностному лицу, присутствующим при проведении проверки, информацию и документы, относящиеся к предмету проверки;