Переход субъектов КИИ РФ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ РФ должен быть завершен до 1 января 2030 года. Также вспомним определение объекта КИИ, приведенное в 187-ФЗ, согласно которому объектами КИИ является некое множество ИС/ИТ/АСУ, принадлежащих субъекту КИИ. После осознания руководством предприятия принадлежности к субъектам КИИ, необходимо создать внутреннюю комиссию по категорированию. Современные вызовы КИИ российской промышленности».
Закон о безопасности КИИ в вопросах и ответах
Подтверждением отсутствия произведенных в РФ доверенных программно-аппаратных комплексов, являющихся аналогами приобретенных, являются заключения, выданные Минпромторгом России Определен перечень федеральных органов исполнительной власти и российских юридических лиц, ответственных за организацию перехода субъектов КИИ на принадлежащих им значимых объектах на преимущественное применение доверенных программно-аппаратных комплексов в соответствующих сферах областях деятельности. Дата публикации на сайте: 17.
Соблюдение цифрового суверенитета на объектах КИИ Выполнение требований к безопасности КИИ осложняется тем, что организации обязаны соблюдать не менее строгие требования по импортозамещению программного обеспечения. С тех пор нормативно-правовая база в области обеспечения независимости от иностранных технологий заметно расширилась, а в 2022 году был выпущен Указ Президента РФ N 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», который запрещает Закупать иностранное ПО для использования на объектах КИИ с 31 марта 2022 года, Использовать иностранное ПО в КИИ с 1 января 2025 года. Даже если организация успела приобрести ПО от иностранного вендора до 2022 года, ей все равно придется осуществить миграцию на отечественные технологии.
Чем дольше она откладывает переход, тем сложнее будет уложиться в срок. Но даже если абстрагироваться от требований законодательства, такие организации сейчас подвергаются гораздо большему риску, чем им кажется, рассчитывая на собственную внутреннюю ИТ-экспертизу. Одно из следствий ухода зарубежных вендоров с российского рынка и отсутствия техподдержки и обновлений — это накопление багов и уязвимостей в программном обеспечении, создающее удобное поле для кибератак. Трудности импортозамещения ПО По данным экспертов в России насчитывается порядка 300 тысяч объектов КИИ, поэтому жесткие требования импортозамещения программного обеспечения в нашей стране действительно являются критически важными.
При этом, несмотря на то, что ответственные лица почти в каждой организации имеют KPI по импортозамещению, вопрос о невозможности уложиться в срок до 2025 года остается актуальным. В чем же проблема?
Бюджетов на защиту выделяется недостаточно. При этом при их дефиците нет и каких-то значимых мер господдержки, чтобы операторы ПД могли активнее внедрять защищающее ПО, особенно в сфере малого и среднего бизнеса», — комментирует Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ». По всем организациям, которые относятся к субъектам КИИ, системообразующим или операторам ПД эти цифры выше. Компании, у которых затраты на ИБ в 2022 году выросли, заметно чаще направляют бюджет на закупку нового оборудования и ПО. Мы связываем это в большей степени с тем, что в компаниях стремились оплатить «железо» до того, как оно подорожало или опасаясь дефицита. На какие цели тратят ИБ-бюджеты Реальные потребности бизнеса по-прежнему заметно обгоняют мотив выполнять требование регуляторов. Зеркальная картина только у компаний — субъектов КИИ, госорганизаций. Строгие законодательные требования позитивно сказываются на оснащенности защитными решениями.
Но ИБ-программы — это как правило сложные системы, с которыми нужно работать.
Лица, обеспечивающие функционирование значимых объектов Лица, обеспечивающие безопасность значимых объектов Невыполнение требований по безопасности КИИ, в случае наступления инцидента с тяжкими последствиями до 10 лет лишения свободы УК РФ ст. КоАП РФ ст. Категории значимости объектов КИИ представлены в трех уровнях: высокий 1 , средний 2 и низкий 3.
Важно отметить, что если объект относится к высшей категории по одному из показателей критериев, то расчет по остальным показателям не выполняется.
Обзор Постановления Правительства Российской Федерации от 14.11.2023 № 1912
Марченко также напомнил о законодательстве в сфере КИИ – на слайдах более десятка различных нормативных документов, в том числе о проверках субъектов КИИ. Около трети направленных сведений о результатах присвоения объекту КИИ категории значимости ФСТЭК России возвращает промышленным объектам на доработку. Что важно делать всем субъектам КИИ, и кто такие субъекты вообще. Вывод строя или уничтожение субъектов КИИ подорвет безопасность, экономическую ситуацию, общественное здравоохранение. Основные сферы, в которых могут быть объекты КИИ.
Критическая информационная инфраструктура (КИИ)
Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области ИБ. Согласно данному закону, КИИ – это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. К субъектам КИИ относятся органы власти, ИП и российские организации, которые владеют объектами критической информационной инфраструктуры или обеспечивают взаимодействие. Около трети направленных сведений о результатах присвоения объекту КИИ категории значимости ФСТЭК России возвращает промышленным объектам на доработку. Вывод строя или уничтожение субъектов КИИ подорвет безопасность, экономическую ситуацию, общественное здравоохранение. Основные сферы, в которых могут быть объекты КИИ. Для подключения субъекта КИИ к ГосСОПКА необходимо направить письменный запрос в ФСБ России по адресу: 107031, г. Москва, ул. Большая Лубянка д. 1/3.
Подписан закон об изменении перечня субъектов критической информационной инфраструктуры
Согласно документу, речь идёт о переходе на преимущественное использование отечественных программ для электронных вычислительных машин ЭВМ , а также баз данных и радиоэлектронной продукции. Если закон будет принят, то он вступит в силу с 1 марта следующего года. Субъекты критической информационной инфраструктуры КИИ — государственные органы и учреждения, а также компании и индивидуальные предприниматели ИП , которым принадлежат информационные системы, телекоммуникационные сети, а также автоматизированные системы управления, работающие в области здравоохранения, науки, транспорта, связи, энергетики и многих других сферах.
RU - Правительство РФ внесло в Госдуму законопроект, наделяющий кабинет министров полномочиями определять в каждой отрасли типы информационных систем, которые необходимо будет относить к значимым объектам критической информационной инфраструктуры КИИ с учетом отраслевых особенностей, говорится в сообщении Минцифры, которое подготовило проект. Как отмечает министерство, по таким объектам КИИ правительство будет устанавливать сроки перехода на российские ИТ-продукты. Согласно тексту проекта, в частности, предлагается наделить правительство полномочиями устанавливать требования к используемым на значимых объектах КИИ программному обеспечению ПО и радиоэлектронной продукции, в том числе - к телеком-оборудованию и программно-аппаратным комплексам ПАК. Также правительство будет устанавливать случаи и порядок согласования использования на значимых объектах КИИ иностранного ПО, радиоэлектроники, телеком-оборудования и ПАК.
Что будет, если не проводить категорирование? В случае непредставления субъектом КИИ сведений о результатах категорирования объекта критической информационной инфраструктуры происходит нарушение ч. Невыполнение данного требования влечет за собой административную ответственность по статьям 19. Таким образом, с учетом выше описанного, не рекомендуется пренебрегать исполнением требований Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".
Иногда бывают ситуации, когда часть приложений наших партнеров разрабатывается за границей. Этот вопрос мы должны контролировать в том числе». Среди требований к производителю и разработчику: собственная сеть сервисных центров на территории РФ; наличие прав на документацию, технологию, патентов и исключительных прав на ПО; поддержка продукта на протяжении всего жизненного цикла. Также отдельно Евгений Абакумов остановился на требованиях к аппаратному и программному обеспечению ПАК. Председатель Ассоциации КП ПОО Рената Абдулина представила результаты анализа основных нормативных правовых актов, организационных и методических документов по обеспечению безопасности КИИ: в итоговую карту вошло более 20 документов, которые сегодня регулируют вопросы в этой сфере. Так как сегодня в достаточно сжатые сроки требуется перевести на отечественные решения все объекты КИИ, нам необходимы выверенные термины и правила, которые будут трактоваться однозначно.
Субъектов телевещания могут признать объектами критической информационной инфраструктуры
Сильнее всего бюджет на безопасность вырос среди компаний, которые относятся к критической инфраструктуре – 39% опрошенных представителей субъектов КИИ сообщили об этом. Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. После осознания руководством предприятия принадлежности к субъектам КИИ, необходимо создать внутреннюю комиссию по категорированию. нарушить правила обмена информацией об инцидентах (в частности, между субъектами КИИ).