В обзоре изменений за апрель 2023 года рассмотрим: дополнительные требования для значимых объектов КИИ с удаленным управлением, госконтроль и аккредитация. Ответ: Субъекты КИИ, владельцы значимых объектов КИИ, обязаны в срок не позднее 90 календарных дней с момента включения данного объекта в реестр значимых объектов КИИ. По нему к субъектам КИИ относятся те организации, которые для страны жизненно важны и потому должны работать при любой ситуации.
Обзор Постановления Правительства Российской Федерации от 14.11.2023 № 1912
Понять, что такое объекты критической инфраструктуры, предельно просто — это элементы ИТ-инфраструктуры компаний, попадающих под определение субъектов КИИ. Субъект КИИ — это организация, т.е. государственный орган, государственное учреждение, юридическое лицо или индивидуальный предприниматель, у кого присутствует объект КИИ. По таким объектам КИИ установят сроки перехода на российские продукты. Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле. Так как сегодня в достаточно сжатые сроки требуется. С 1 сентября 2024 г. субъектам КИИ России будет запрещено приобретать и использовать ПАК, которые не является доверенными.
ФСТЭК сообщила об увеличении категории значимости для более чем 40 объектов КИИ в 2023 году
С 1 сентября 2024 г. субъектам КИИ России будет запрещено приобретать и использовать ПАК, которые не является доверенными. Сегодня в отечественной индустрии разработки программных продуктов сложилась уникальная ситуация, когда практически все субъекты КИИ и разработчики прикладного ПО. К субъектам КИИ относятся.
Субъекты КИИ перейдут на российский софт к 2030 году
Для подключения субъекта КИИ к ГосСОПКА необходимо направить письменный запрос в ФСБ России по адресу: 107031, г. Москва, ул. Большая Лубянка д. 1/3. Все субъекты КИИ должны быть подключены к ведомственным или корпоративным центрам ГосСОПКА либо создать свой центр ГосСОПКА. Новости законодательства. Самих себя субъекты КИИ как владельцы информации, информационных систем или киберфизических систем как-то защищают, причем, скорее всего, вполне адекватно. Президент России Владимир Путин подписал закон о расширении перечня субъектов критической информационной инфраструктуры.
Обновление подборки законодательства о КИИ на сентябрь 2023
Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. Процесс категорирования объектов КИИ проводится внутренней комиссией по категорированию субъекта КИИ, в результате чего формируется список объектов КИИ с категориями значимости. Максимальный срок категорирования не должен превышать 1 года со дня утверждения субъектом КИИ перечня объектов. На официальном веб-ресурсе правовой информации появился документ, предполагающий расширение перечня субъектов критической информационной инфраструктуры (КИИ).
Критическая информационная инфраструктура (КИИ)
На рис. Рекомендуем закладывать процессы таким образом, чтобы в дальнейшем расширять их до охвата всех необходимых этапов жизненного цикла. Далее мы рассмотрим проект по внедрению процесса БРПО в соответствии с требованиями регулятора. Когда прикладное ПО разрабатывается силами собственных разработчиков, необходимо внедрить наиболее полный состав процессов безопасности. В случае заказной разработки или использования вендорского ПО необходимо обеспечить наличие всех необходимых свидетельств по процессам безопасности, выстроенным на стороне вендора — производителя ПО, и приобщить их в проектную документацию на ЗО КИИ. Как правило, типовой проект внедрения процессов безопасной разработки ПО разделяется на пять основных этапов. На первом этапе готовится технико-экономическое обоснование для руководства с верхнеуровневыми финансовыми параметрами проекта, основными этапами работ, основными результатами, которые достигаются в ходе проекта, а также персоналом, который требуется привлечь. На втором этапе проводится аудит текущих бизнес-процессов разработки, формируется целевое состояние процессов разработки, исходя из требований регулятора либо бизнес-потребностей, далее выявляются несоответствия и формируются рекомендации по внедрению организационных и технических мероприятий. На третьем этапе рекомендации ранжируются по степени их реализуемости и сводятся в дорожную карту.
Настоятельно рекомендуем разрабатывать детальный план перехода и пояснительную записку с обоснованием принятых решений, чтобы всегда можно было поднять историю и причины принятых решений. Четвертый этап — это уже непосредственно работа проектной команды, которая движется по дорожной карте. Исходя из практики, оптимальным вариантом является тот, в котором техническое лидерство в проекте остается за разработчиками, а организационное лидерство, то есть руководство проектом, возложено на специалиста по информационной безопасности. В этом случае происходит тесная интеграция компетенций безопасников и разработчиков. И наконец, на последнем этапе происходит контроль функционирования внедренных процессов. Через несколько месяцев после завершения внедрения производится сбор и анализ всех свидетельств и записей процессов безопасной разработки ПО на предмет их полноты и достаточности. Разумеется, подобных процессов безопасности и проверок может быть гораздо больше: сканирование на уязвимости, сканирование зависимостей, антивирусная проверка, анализ дампа сетевого трафика при динамическом анализе ПО или анализ логов при сборке проекта, любые другие виды проверок ПО на стендах или проведение пентестов.
Согласно документу, речь идёт о переходе на преимущественное использование отечественных программ для электронных вычислительных машин ЭВМ , а также баз данных и радиоэлектронной продукции.
Если закон будет принят, то он вступит в силу с 1 марта следующего года. Субъекты критической информационной инфраструктуры КИИ — государственные органы и учреждения, а также компании и индивидуальные предприниматели ИП , которым принадлежат информационные системы, телекоммуникационные сети, а также автоматизированные системы управления, работающие в области здравоохранения, науки, транспорта, связи, энергетики и многих других сферах.
Функции защиты на уровне идентификации, аутентификации пользователей, управления доступом реализованы во множестве ПАК, не являющихся сертифицированными СЗИ например, коммутатор, программируемый логический контроллер — это как раз те самые встроенные средства защиты, приоритетное использование которых предписывает Приказ ФСТЭК России от 25. Акцент на соблюдение законодательства о государственной тайне тоже оставляет вопросы. Тут можно порекомендовать субъектам КИИ ориентироваться на отраслевые планы перехода от Уполномоченных органов, с каким грифом или пометкой они придут, с такими же отправлять собственные разработанные планы и отчеты о ходе их реализации. Планы субъектов КИИ должны содержать довольно большой перечень информации.
Для иных видов радиоэлектронной продукции указывается производитель оборудования и модель оборудования». Здесь можно порекомендовать субъектам КИИ на начальном этапе автоматизировать процесс сбора требуемой информации о ЗОКИИ инвентаризация информационных ресурсов, которая, например, есть в тех же средствах анализа защищенности.
Процедура включает формирование комиссии, составление и согласование точного списка исследуемых объектов с последующей отправкой его в ФСТЭК, сбор исходных сведений и изучение угроз ИБ.
На основании полученных сведений осуществляется непосредственно категорирование, после чего данные направляются в контролирующий орган. Дополнительно требуется провести независимую экспертизу проведенных мероприятий. Создание проекта и интеграцию системы обеспечения ИБ, в которую включается совокупность мер технического и организационного характера, направленных на поддержание оптимального уровня информационной защиты.
Кроме проектирования и внедрения СОИБ КИИ нужно будет подготовить ОРД, и для этого целесообразнее привлечь специалистов, чтобы не терять время и выполнить многочисленные нормативно-правовые требования. При грамотном подходе к обеспечению безопасности объектов КИИ защита информации будет на высоком уровне, что является залогом поддержания хорошей репутации, отсутствия штрафных санкций и постоянных проблем с утечкой данных. При этом сертифицированные СЗИ, приобретение и настройка которых сопряжены с существенными финансовыми и трудозатратами, необходимы не всегда.
Определить наиболее удачные технические решения помогут сотрудники нашего центра, к которым можно обратиться по указанному на сайте телефону либо с помощью отправки онлайн-запроса.
Обновление подборки законодательства о КИИ на сентябрь 2023
Многие субъекты КИИ только в 2022 году начали реально инвестировать в защиту инфраструктуры. При этом большинству пришлось выбирать между российскими решениями, аналогами из стран БРИКС и серым импортозамещением. Подробности — в этой статье. От аудитов к делу По официальным данным, критическую инфраструктуру в России используют 5 тыс. Эксперты считают, что реальная цифра может быть в 3-5 раз больше. Казалось бы, инвестиции в ПО и оборудование для них — дело привычное. Однако реальной защитой критической инфраструктуры многие занялись лишь после февраля 2022-го. Дмитрий Кузин Начальник управления ИБ АСУ ТП Cloud Networks Если раньше было много запросов на так называемые аудиты ИБ обследования объектов, анализ уровня защищенности и правильности выстраивания процессов , то сейчас бизнес хочет не просто получить результаты обследований, но и сразу начинать выстраивать процессы, внедряя организационные и технические меры защиты.
Простой пример: в результате обследования объектов в прошлом году мы изучали немало результатов аудитов прошлых периодов, которые так и остались лежать на полке. То есть аудит был проведен, но дальше дело не пошло. Главной причиной пересмотреть расходы на безопасность в субъектах КИИ стала политическая ситуация, на фоне которой изменилось законодательство, усилился курс на импортозамещение и ушло множество западных ИБ-компаний с рынка. Как результат, наиболее радикальные изменения потребовались в организациях, где ранее использовали иностранные средства защиты. Кроме того, в нормативном поле появилось предъявление требований к операторам ПДн в части информирования регуляторов об инцидентах ИБ. Но и это еще не все — уже скоро в стране введут оборотные штрафы за утечку персональных данных. Анатолий Сазонов Руководитель направления безопасности промышленных предприятий Infosecurity a Softline company В связи со всеми законодательными изменениями бизнес и госструктуры понимают, что им необходимо правильно строить или улучшать существующую систему ИБ, опираясь при этом преимущественно на отечественные решения.
Куда уходят деньги Как отмечают собеседники Cyber Media, в 2022 году основная масса средств направлялась на замену иностранных решений. В итоге к 2023 году субъекты КИИ подошли с разной степенью готовности: часть компаний успела полностью заменить системы защиты, другая — спроектировать и закупить, третья — только запланировать.
Как отметила Черкессова, в министерстве формируют требования по этому вопросу. Во второй половине марта 2022 года президент России Владимир Путин подписал закон о технологической независимости России. Закон подразумевает запрет на приобретение иностранного программного обеспечения ПО для объектов критической информационной структуры России.
Постановлением Правительства от 20. Основные положения: Согласно новой редакции статьи 19. Напоминаем также, что согласно требованиям пункта 19.
Структура процессов по КИИ. Рекомендуемый формат описание Процесса. Соотнесение Процессов и нормативных требований.
НДС не облагается Онлайн участие —14 700 руб. НДС не облагается У вас появились вопросы?
Категорирование КИИ
Для доказательства наличия аналогичных ПАК, которые могут быть приобретены, субъекты КИИ должны опираться на заключения об отнесении продукции к промышленной продукции Минпромторга на основании Постановления Правительства N 1135. Определены уполномоченные органы в сферах деятельности для перехода на иные доверенные комплексы, которым поручено утверждение планов и определение ответственных лиц. Отраслевые планы перехода, начиная с 2026 года, содержат информацию о мерах по переходу субъектов критической рабочей силы по использованию доверенных программно-аппаратных комплексов и о долях этих комплексов в их общем количестве.
В части субъектов КИИ, осуществляющих деятельность в сфере связи, за исключением указанных организаций, рассмотрение перечней и сведений осуществляется управлением ФСТЭК России по федеральному округу, на территории которого расположены указанные субъекты КИИ.
Сами сотрудники, непосредственно отвечающие за обеспечение безопасности объектов КИИ, а не только руководители, должны регулярно повышать свою квалификацию, чтобы быть подготовленными к актуальным угрозам и противодействовать злоумышленникам, число и уровень которых постоянно растет. В частности, по-прежнему в разработке находятся Методики оценки показателей критериев экономической значимости объектов КИИ РФ, социальной значимости, по работе комиссий по категорированию объектов КИИ. Если у компании не хватает ресурсов для подготовки к проверке регулятора, рекомендуем обратиться за помощью к специалистам.
Проект постановления правительства предусматривает ряд исключений, учитывающих специфику всех отраслей, а также отсутствие на сегодняшний день отдельных российских аналогов используемых на объектах КИИ оборудования, продукции и ПО. При переходе на преимущественное использование российского ПО и или оборудования должны учитываться в том числе текущие сроки амортизации используемого субъектом КИИ оборудования и сроки действия прав на использование ПО в отношении используемого ПО и или оборудования, сведения о которых не включены в реестры". Что такое объекты КИИ? При этом объекты КИИ подразделяются на категории — первую, вторую, третью — по важности для информационной безопасности, также есть объекты КИИ, которым не присвоена категория. Этот момент вызывает отдельные споры: одна из главных просьб бизнеса — не налагать обязательства по импортозамещению на КИИ третьей категории. Какие аргументы против у российского бизнеса?
В письме РСПП, выдержки из которого опубликованы в РБК , приводятся следующие аргументы против готовящейся директивы: Переход предприятий, управляющих КИИ, на российское ПО и оборудование потребует существенные затраты, что приведет к росту цен и снижению конкуренции на рынке, а в конечном счете к ухудшению качества услуг и отставанию в развитии разных сегментов рынка. В перечень предприятий, которые собираются обязать выполнять требования, включены наименее важные объекты третьей категории и объекты без присвоенной категории.
Безопасность критической информационной инфраструктуры
Федеральный закон принят Государственной Думой 28 июня 2023 года и одобрен Советом Федерации 5 июля 2023 года. Опубликован 10 июля. Ранее «Телеспутник» писал , что правительство в ближайшее время разработает нормативное определение программно-аппаратного комплекса и представит стандарт для оборудования в сфере критической информационной инфраструктуры.
Работа для нас понятная, ведем ее вместе со всеми отраслями», — подчеркнул директор Департамента цифровых технологий Министерства промышленности и торговли России Владимир Дождев. В рамках дискуссии Евгений Абакумов рассказал про критерии доверенности ПАК, которые видятся важными для крупнейших заказчиков: «Нам важно знать, кто является производителем решения, как выстроены процессы их разработки.
Иногда бывают ситуации, когда часть приложений наших партнеров разрабатывается за границей. Этот вопрос мы должны контролировать в том числе». Среди требований к производителю и разработчику: собственная сеть сервисных центров на территории РФ; наличие прав на документацию, технологию, патентов и исключительных прав на ПО; поддержка продукта на протяжении всего жизненного цикла. Также отдельно Евгений Абакумов остановился на требованиях к аппаратному и программному обеспечению ПАК.
В простейшем случае динамический анализ кода проводится в виде ряда тестов: модульного, регрессионного и системного. Модульные тесты разрабатываются на те функции, которые принимают входные значения из внешних данных то есть составляют поверхность атаки. В ходе инструментирования кода счетчиками ошибок санитайзерами и отладочными аллокаторами необходимо провести автоматизированный запуск этих тестов, собрать тестовое покрытие и проанализировать результаты. На основании результатов можно в том числе увидеть участки кода, которые в ходе выполнения не были задействованы, а значит, требуют дополнительного внимания. К примеру, они могут быть проверены на отсутствие недекларированных возможностей в ручном режиме.
Фаззинг-тестирование с его исполнением. Для данного процесса необходимо разработать специальные функции либо наборы входных данных методами «мутационного» или «генерационного» фаззинга , которые подаются на вход тех же самых функций, составляющих поверхность атаки. И точно так же, как в динамическом анализе, для фаззинга собирается покрытие и анализируются результаты, а выявленные ошибки включаются в план устранения недостатков. Отслеживание исправления ошибок, уязвимостей в ходе жизненного цикла. На данном этапе проводится автоматизация процедур реагирования на выявленные уязвимости, которые возникли в ходе разработки либо по сообщениям от пользователей.
Как правило, в информационных системах разработки заводятся тикеты. По данным тикетам разработчикам ставится в план задача по устранению критических уязвимостей и уязвимостей, имеющих высокий приоритет. Устранив уязвимость, разработчик в комментариях может сделать пометку с идентификатором тикета. Тем самым будет обеспечена прослеживаемость закрытия выявленных уязвимостей. Информирование о выявленных уязвимостях и компенсирующих мероприятиях конечных пользователей.
В качестве примера можно привести сообщения на сайтах крупных разработчиков средств защиты информации.
Поэтому это важно для достаточно узкого круга лиц", — полагает он. На объекте недвижимого имущества может быть инфраструктура, которая подвергается атакам, поэтому внесение в список КИИ тут видится логичным, убеждён Павел Катков. Возможно, депутаты пытаются защитить эти системы от хакерских атак, которые могли бы осуществляться в целях срыва этих сделок. Может, это ещё окажет воздействие на риелторов, но косвенное, ведь они не регистрируют сделки непосредственно", — рассуждает эксперт. Ценный опыт Если говорить общими словами, то раньше компания сама разбиралась со своими проблемами, связанными с безопасностью, а сейчас обязана уведомлять и информировать о них вышестоящие инстанции, комментирует законодательную новеллу Ольга Звагольская, руководитель инсорсинговых направлений ГК Itglobal. Если раньше компания могла где—то безответственно подходить к безопасности, то теперь она обязана выполнять требования к безопасности. А значит и безопасность данных, в том числе в области недвижимости, станет выше", — считает она. С этим согласен Данияр Исхаков, заместитель директора департамента консалтинга IT—компании Innostage: "Активная позиция государственных регуляторов в области защиты информации, а также отраслевых регуляторов например, Минэнерго заставляет организации уделять вопросам обеспечения информационной безопасности всё большее внимание.
Вместе с тем сами организации, осознавая необходимость устойчивого функционирования в условиях постоянных кибератак, зачастую транслируют полученный опыт в защите значимых объектов КИИ, а также реализованные организационные и технические меры по защите информации на всю инфраструктуру организации". Лента новостей.
Закон о безопасности КИИ в вопросах и ответах
После того, как сведения поступят в госорган, представители последнего в течение месяца его рассмотрят и решат вносить ли его в список аналогичных планов. Если вердикт будет положительным, то уполномоченные органы оповестят компанию о нем в течение 5 рабочих дней, а дальше будут вести специальный отчет. По стандарту план перехода утверждает руководитель субъекта КИИ, а затем в течение последующих 10 дней отправляет в уполномоченные органы, соблюдая требования законодательства в отношении гостайны. Отметим, организация вправе при определенных обстоятельствах изменить план. Для этого нужно отправить копию утвержденного документа, приложив сопроводительное письмо с правками. Далее уполномоченный орган повторит те же действия, что и при утверждении: в течение месяца рассмотрит, а в последующие 5 дней сообщит о решении.
Программное обеспечение, используемое в составе программно-аппаратного комплекса, соответствует требованиям к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц« за исключением организаций с муниципальным участием , на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, утвержденным постановлением Правительства Российской Федерации от 22 августа 2022 г. Программно-аппаратный комплекс в случае реализации в нем функции защиты информации соответствует требованиям, установленным Федеральной службой по техническому и экспортному контролю и или Федеральной службой безопасности Российской Федерации в пределах их полномочий, что должно быть подтверждено соответствующим документом сертификатом. Что будет, если этого не сделать? ФСТЭК редко проводит ее в компаниях, а вот прокуратура вполне может осуществить. Что грозит компаниям, если при проверке выявится правонарушение: Уголовная ответственность по ст. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации; Штраф от 10 до 20 тысяч рублей. Невыполнение предписаний органов власти.
За невыполнение этих условий грозит достаточно серьезная ответственность.
Как обеспечивается информационная безопасность КИИ? Проконсультироваться по поводу того, относится ли ваше предприятие к субъектам КИИ, можно у наших экспертов в сфере информационной безопасности если своими силами это определить не получается.
Следующий этап — сделать так, чтобы критическая информационная инфраструктура функционировала без сбоев, а также была в достаточной степени защищена от внешних и внутренних угроз безопасности. Весь спектр работ можно разделить на: Выделение категорий объектов по степени значимости. Процедура включает формирование комиссии, составление и согласование точного списка исследуемых объектов с последующей отправкой его в ФСТЭК, сбор исходных сведений и изучение угроз ИБ.
На основании полученных сведений осуществляется непосредственно категорирование, после чего данные направляются в контролирующий орган. Дополнительно требуется провести независимую экспертизу проведенных мероприятий. Создание проекта и интеграцию системы обеспечения ИБ, в которую включается совокупность мер технического и организационного характера, направленных на поддержание оптимального уровня информационной защиты.
Представитель Минпромторга отметил, что ведомство обеспечит взаимодействие с целью мониторинга состояния перехода путем обмена сводными отчетами и выписками. Федеральная служба государственной регистрации , кадастра и картографии будет отвечать за переход субъектов КИИ в сфере регистрации прав на недвижимое имущество и сделок с ним, « Росатом » в области атомной энергии , а « Роскосмос » в области ракетно- космической промышленности. Необходимо отметить, что Банк России будет отвечать за этот переход в банковской сфере и иных сферах финансового рынка, а также будет частично организовать его для ряда финансовых организаций. Перечисленные ведомства должны будут определить должностное лицо в должности не ниже заместителя руководителя уполномоченного органа, которое будет отвечать за организацию перехода субъектов КИИ на использование доверенных ПАК.