Приказ ФСБ России № 161 от 22.04.2026

1. Центр государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее - ГосСОПКА) должен создаваться в органе (организации), который (которая) не находится под юрисдикцией иностранных государств, прямо или косвенно подконтрольных им либо аффилированных с ними.

2. Центр ГосСОПКА должен создаваться в органе (организации), имеющем (имеющей) лицензию ФСБ России на право осуществления работ, связанных с использованием сведений, составляющих государственную тайну<1>.

<1> Постановление Правительства Российской Федерации от 15 апреля 1995 г. № 333 "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны".

4. Деятельность центра ГосСОПКА должна осуществляется в соответствии с аттестатом аккредитации по следующим направлениям:

а) обнаружение компьютерных атак и регистрация компьютерных инцидентов;

б) реагирование на компьютерные инциденты и ликвидация их последствий;

в) предупреждение компьютерных атак на информационные ресурсы;

г) координация субъектов ГосСОПКА<3> в рамках деятельности, указанной в подпунктах "а" - "в" настоящего пункта, а также анализ и выработка мер по повышению защищенности информационных ресурсов.

<3> Пункт 3 раздела 3 ГОСТ Р 59709-2022 "Защита информации. Управление компьютерными инцидентами. Термины и определения", утвержденного и введенного в действие приказом Росстандарта от 29 ноября 2022 г. № 1375-ст (М: Стандартинформ, 2022).

5. Для осуществления своей деятельности центр ГосСОПКА должен выполнять следующие функции:

6. Для осуществления своей деятельности центр ГосСОПКА должен иметь следующие документы, утвержденные руководителем органа (организации), в котором (которой) он создается, либо уполномоченным им лицом:

7. Присвоение наименования центру ГосСОПКА должно осуществляться посредством добавления к словам "центр ГосСОПКА" названия органа (организации), в рамках которого (которой) он функционирует. Допускается добавление слов "ведомственный", "корпоративный" или "отраслевой" перед словами "центр ГосСОПКА" в случае организации центра по ведомственному, корпоративному или отраслевому принципу<4>.

<4> Пункт 6 раздела 3 ГОСТ Р 59709-2022 "Защита информации. Управление компьютерными инцидентами. Термины и определения", утвержденного и введенного в действие приказом Росстандарта от 29 ноября 2022 г. № 1375-ст.

10. Руководитель, заместитель руководителя и работники центра ГосСОПКА должны иметь гражданство Российской Федерации, не имея гражданства другого государства.

11. Руководитель центра ГосСОПКА и его заместитель должны соответствовать одному из следующих требований:

12. Руководитель центра ГосСОПКА и его заместитель должны иметь допуск к работе со сведениями, составляющими государственную тайну.

13. Допускается совмещать должность заместителя руководителя центра ГосСОПКА с должностью начальника одного из его подразделений. Совмещение других должностей в центре ГосСОПКА не допускается.

14. Начальник подразделения по обнаружению компьютерных атак и регистрации компьютерных инцидентов должен соответствовать одному из следующих требований:

15. Сотрудники подразделения по обнаружению компьютерных атак и регистрации компьютерных инцидентов должны соответствовать одному из следующих требований:

16. В подразделении по обнаружению компьютерных атак и регистрации компьютерных инцидентов должно быть не менее одного начальника подразделения и 5 сотрудников.

18. Начальники подразделений по реагированию на компьютерные инциденты и ликвидации их последствий, предупреждению компьютерных атак на информационные ресурсы и координации подразделений субъектов ГосСОПКА должны соответствовать одному из следующих требований:

19. Сотрудники подразделений по реагированию на компьютерные инциденты и ликвидации их последствий, предупреждению компьютерных атак на информационные ресурсы и координации подразделений субъектов ГосСОПКА должны соответствовать одному из следующих требований:

20. В подразделениях по реагированию на компьютерные инциденты и ликвидации их последствий, предупреждению компьютерных атак на информационные ресурсы и координации подразделений субъектов ГосСОПКА должно быть не менее одного начальника подразделения и 2 сотрудников.

21. Центр ГосСОПКА должен обеспечить наличие в штате работников, владеющих знаниями нормативных правовых актов Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования ГосСОПКА, национальных стандартов, международных стандартов и методических документов НКЦКИ<9> в части, касающейся обеспечения информационной безопасности и ОКА и РКИ, а также навыками ОКА и РКИ в соответствии с методическими документами НКЦКИ<9>.

<9> Подпункт 4.3 пункта 4 Положения № 366.

22. Работники центра ГосСОПКА должны проходить повышение квалификации не реже одного раза в 3 года (срок - не менее 40 часов)<8>.

<8> Пункт 17 Порядка № 1316.

а) выполнение функций в соответствии с направлением (направлениями) деятельности, указанным (указанными) в аттестате аккредитации центра ГосСОПКА, и методическими документами НКЦКИ<9>;

<9> Подпункт 4.3 пункта 4 Положения № 366.

в) при осуществлении направления деятельности по обнаружению компьютерных атак и регистрации компьютерных инцидентов на информационные ресурсы или реагированию на компьютерные инциденты и ликвидации их последствий круглосуточный режим работы;

г) при проведении мероприятий по оценке защищенности информационных ресурсов, находящихся в зоне ответственности аккредитованного центра ГосСОПКА, от компьютерных атак, в том числе методом тестирования на проникновение, предварительное уведомление об этом НКЦКИ не позднее чем за 5 календарных дней до планируемого дня их проведения, а также направление в адрес НКЦКИ результатов указанных мероприятий. В случае если решение о проведении указанных мероприятий принимается менее чем за 5 календарных дней до планируемого дня их проведения допускается информировать НКЦКИ в день проведения таких мероприятий;

д) при осуществлении направления деятельности по реагированию на компьютерные инциденты и ликвидации их последствий направление в НКЦКИ в срок не позднее 3 календарных дней со дня начала проведения таких мероприятий промежуточных отчетов о проводимых мероприятиях, а также не позднее 5 календарных дней со дня завершения таких мероприятий - итоговых отчетов о результатах реагирования на компьютерные инциденты и ликвидации их последствий;

е) передачу в НКЦКИ сведений об оказании третьим лицам услуг по выявлению признаков компьютерных атак, мониторингу информационной безопасности, анализу событий информационной безопасности, выявлению уязвимостей в программном обеспечении, анализу сведений об угрозах информационной безопасности, восстановлению работоспособности информационных ресурсов (в случае ее нарушения), фиксации следов вредоносного воздействия компьютерной атаки, установлению причин возникновения компьютерных инцидентов и устранению их последствий, проведению оценки защищенности информационных ресурсов, в том числе методом тестирования на проникновение, организации и проведению учений и тренировок (в том числе с использованием учебно-тренировочных центров) в течение 5 календарных дней со дня возникновения основания об оказании таких услуг, а по запросу НКЦКИ представление результатов проводимых мероприятий.

Указанные сведения должны содержать полное (сокращенное (при наличии) наименование юридического лица или фамилию, имя, отчество (при наличии) индивидуального предпринимателя, которому оказывались указанные услуги, индивидуальный номер налогоплательщика (ИНН), код причины постановки на учет (КПП), дату оказания услуг);

ж) представление в НКЦКИ сведений о состоянии защищенности, а также о выявляемых компьютерных атаках и компьютерных инцидентах в информационных ресурсах, находящихся в зоне ответственности центра ГосСОПКА, не реже одного раза в квартал;

з) направление в адрес владельцев информационных ресурсов, находящихся в зоне ответственности центра ГосСОПКА, информации, получаемой от НКЦКИ, для информирования владельцев информационных ресурсов, а также рекомендаций по устранению угроз информационной безопасности;

к) проведение по уведомлению силами НКЦКИ мероприятий по оценке защищенности информационных ресурсов центра ГосСОПКА от компьютерных атак, в том числе методом тестирования на проникновение, своих информационных ресурсов. В случае выявления недостатков в обеспечении информационной безопасности информационных ресурсов центра ГосСОПКА или защите обрабатываемой в них информации центр ГосСОПКА в 6-месячный срок со дня завершения указанных мероприятий должен устранить выявленные недостатки либо реализовать компенсирующие меры, позволяющие минимизировать вызванные этими недостатками угрозы информационной безопасности. Об окончании указанных работ центр ГосСОПКА должен проинформировать НКЦКИ;

м) хранение информации о компьютерных инцидентах и связанных с ними событиях (электронные журналы, инвентаризационная информация, сведения о выявленных уязвимостях, сетевой трафик) не менее 3 лет со дня их обнаружения;

о) информирование органов (организаций), в отношении которых аккредитованный центр ГосСОПКА выполняет свои функции, в случае приостановления или отзыва аккредитации центра ГосСОПКА.

24. Включение информационных ресурсов в зону ответственности аккредитованного центра ГосСОПКА и исключение из нее должно осуществляться с уведомлением об этом НКЦКИ.

25. Уведомление НКЦКИ о включении (об исключении) информационных ресурсов в зону (из зоны) ответственности аккредитованного центра ГосСОПКА должно осуществляться в течение 24 часов с момента возникновения (прекращения) основания, в соответствии с которым информационные ресурсы включаются в зону ответственности (исключаются из зоны ответственности) аккредитованного центра ГосСОПКА.

26. Центр ГосСОПКА должен ежегодно проводить оценку защищенности своих информационных ресурсов от компьютерных атак (в соответствии с методическими документами НКЦКИ<9>) силами другого центра ГосСОПКА, аккредитованного по направлению деятельности "предупреждение компьютерных атак на информационные ресурсы", с представлением отчетности в НКЦКИ. В случае выявления недостатков в обеспечении информационной безопасности центр ГосСОПКА, в отношении информационных ресурсов которого проводились указанные мероприятия, в 6-месячный срок со дня их завершения должен устранить выявленные недостатки либо реализовать компенсирующие меры, позволяющие минимизировать вызванные этими недостатками угрозы информационной безопасности, и проинформировать об этом НКЦКИ.

<9> Подпункт 4.3 пункта 4 Положения № 366.

28. При выявлении ошибок в работе средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, центр ГосСОПКА должен уведомить об этом производителя этих средств в срок не позднее 5 календарных дней со дня выявления таких ошибок, включив в данное уведомление предложения по совершенствованию этих средств (при наличии). Копию указанного уведомления центр ГосСОПКА должен направить в НКЦКИ.

29. Руководителю, заместителю руководителя и работникам центра ГосСОПКА запрещается:

30. Центру ГосСОПКА запрещается осуществлять деятельность по направлению (направлениям), по которому (которым) он не аккредитован.

1. В информационных ресурсах центра ГосСОПКА должны обеспечиваться:

2. Обеспечение информационной безопасности информационных ресурсов центра ГосСОПКА и защиты обрабатываемой в них информации должно осуществляться силами центра ГосСОПКА.

3. Объектами защиты информационных ресурсов центра ГосСОПКА должны являться программно-аппаратные средства (в том числе автоматизированные рабочие места, серверы, телекоммуникационное оборудование, линии связи), программные средства (общесистемное и прикладное программное обеспечение), системы управления базами данных, машинные носители информации, средства защиты информации, конфигурация информационных систем и информационно-телекоммуникационных сетей.

4. Защита информации, содержащейся в информационных ресурсах центра ГосСОПКА, должна осуществляться посредством применения совокупности организационных и технических мер, направленных на обеспечение целостности указанной информации и исключение в отношении нее неправомерных действий.

5. Принимаемые организационные и технические меры по обеспечению информационной безопасности информационных ресурсов центра ГосСОПКА и защиты обрабатываемой в них информации не должны приводить к нарушению функционирования информационных ресурсов, входящих в зону ответственности центра ГосСОПКА.

6. Методы и способы обеспечения информационной безопасности информационных ресурсов центра ГосСОПКА и защиты обрабатываемой в них информации должны определяться руководством центра ГосСОПКА и соответствовать настоящим требованиям.

7. Достаточность принимаемых мер, направленных на обеспечение информационной безопасности информационных ресурсов центра ГосСОПКА и защиты обрабатываемой в них информации, должна оцениваться центром ГосСОПКА при проведении мероприятий по их разработке, внедрению и контролю за их выполнением.

8. При организации размещения информационных ресурсов центра ГосСОПКА должны обеспечиваться их сохранность, включая сохранность машинных носителей информации и средств защиты информации, а также исключаться возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

9. В информационных ресурсах центра ГосСОПКА должны быть обеспечены:

10. Организация информационной безопасности информационных ресурсов центра ГосСОПКА должна включать разработку и внедрение механизмов обеспечения информационной безопасности центра ГосСОПКА, а также обеспечение информационной безопасности информационных ресурсов центра ГосСОПКА в ходе их эксплуатации.

11. Разработка механизмов обеспечения информационной безопасности центра ГосСОПКА должна включать:

12. Внедрение механизмов обеспечения информационной безопасности центра ГосСОПКА должно включать:

13. Обеспечение информационной безопасности информационных ресурсов центра ГосСОПКА должно включать:

14. Контроль доступа пользователей к информационным ресурсам центра ГосСОПКА должен осуществляться с использованием автоматизированных средств регистрации в электронном журнале. Содержание электронного журнала должно проверяться работниками, ответственными за обеспечение информационной безопасности центра ГосСОПКА, не реже одного раза в месяц.

15. При обнаружении нарушений порядка доступа к информации руководитель центра ГосСОПКА обязан организовать работу по выявлению причин нарушений и устранению этих причин. Посредством использования механизмов обеспечения информационной безопасности должно обеспечиваться восстановление информации в срок до 8 часов.

16. При обеспечении информационной безопасности информационных ресурсов должны использоваться:

<14> Подпункт 5.4 пункта 5 приложения 1 к Положению о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ - ГТ), утвержденному приказом ФСБ России от 13 ноября 1999 г. № 564 (зарегистрирован Минюстом России 27 декабря 1999 г., регистрационный № 2028).