Переход субъектов КИИ РФ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ РФ должен быть завершен до 1 января 2030 года. Также к субъектам КИИ относятся юридические лица и индивидуальные предприниматели, обеспечивающие взаимодействие объектов КИИ. В КоАП внесена ответственность за предоставление недостоверных сведений о категорировании объектов КИИ, а также утверждены правки в процедуру категорирования объектов КИИ и. Сегодня в отечественной индустрии разработки программных продуктов сложилась уникальная ситуация, когда практически все субъекты КИИ и разработчики прикладного ПО, планирующие.
Что такое КИИ?
На официальном веб-ресурсе правовой информации появился документ, предполагающий расширение перечня субъектов критической информационной инфраструктуры (КИИ). Процесс категорирования объектов КИИ проводится внутренней комиссией по категорированию субъекта КИИ, в результате чего формируется список объектов КИИ с категориями значимости. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов КИИ. Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле. Что важно делать всем субъектам КИИ, и кто такие субъекты вообще.
ФСТЭК сообщила об увеличении категории значимости для более чем 40 объектов КИИ в 2023 году
Ответ: Субъекты КИИ, владельцы значимых объектов КИИ, обязаны в срок не позднее 90 календарных дней с момента включения данного объекта в реестр значимых объектов КИИ. Субъект КИИ — это организация, т.е. государственный орган, государственное учреждение, юридическое лицо или индивидуальный предприниматель, у кого присутствует объект КИИ. Субъекты критической информационной инфраструктуры (КИИ) должны предоставлять во ФСТЭК сведения в том числе о программных, программно-аппаратных средствах, а также. Методические рекомендации по категорированию объектов КИИ Порядок принятия решения о признании организации субъектом КИИ. Права и обязанности субъектов КИИ, реестр значимых объектов (ЗО) КИИ, надзорная деятельность регулятора. Сейчас субъекты КИИ регулярно и специально снижают степень значимости имеющихся в их распоряжении объектов КИИ, и эту проблему отмечают в Правительстве РФ уже давно.
Что является целью Закона и как он должен работать?
- Импортозамещение программного обеспечения в России
- Как выполнить требования закона о защите критической инфраструктуры
- Сроки категорирования объектов КИИ
- С сентября 2024 субъекты КИИ должны использовать только доверенные ПАК -
- Обеспечение безопасности КИИ
- ФЗ-187 — основной нормативно-правовой акт в отношении КИИ
Субъектов телевещания могут признать объектами критической информационной инфраструктуры
Президент России Владимир Путин подписал Федеральный закон «О внесении изменения в статью 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». Федеральный закон принят Государственной Думой 28 июня 2023 года и одобрен Советом Федерации 5 июля 2023 года. Опубликован 10 июля.
Присвоение каждому из объектов КИИ одной из категорий значимости в соответствии с наивысшим значением показателей, либо принятие решения об отсутствии необходимости присвоения категории. Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией под председательством руководителя субъекта КИИ или уполномоченного им лица , его работников и, при необходимости, приглашённых специалистов ведомств-регуляторов в соответствующей сфере. Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения направляется во ФСТЭК России. Предоставленные материалы в тридцатидневный срок со дня получения проверяются регулятором на соответствие порядку осуществления категорирования и оценивается правильность присвоения категории. Категория значимого объекта КИИ может быть изменена по мотивированному решению ФСТЭК России в рамках государственного контроля безопасности значимых объектов КИИ, в случае изменения самого объекта КИИ, а также в связи с реорганизацией субъекта КИИ в том числе ликвидацией, изменением его организационно-правовой формы и т. ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак далее — силы и средства ОПЛ КА.
К силам ОПЛ КА относятся: уполномоченные подразделения ФСБ России; национальный координационный центр по компьютерным инцидентам, который создается ФСБ России для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов; подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты. В данной системе должна собираться и агрегироваться вся информация о компьютерных атаках и инцидентах, получаемая от субъектов КИИ. Перечень информации и порядок ее предоставления в ГосСОПКА будет определен соответствующим приказом, проект которого был представлен на общественное обсуждение. Согласно текущей версии документа, срок предоставления информации о кибератаке составляет 24 часа с момента обнаружения. Кроме того, в рамках ГосСОПКА организуется обмен информацией о компьютерных атаках между всеми субъектами КИИ, а также международными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты. При этом центры ГосСОПКА могут быть ведомственными, то есть организованными государственными органами, а также корпоративными — построенными государственными и частными корпорациями, операторами связи и другими организациями-лицензиатами в области защиты информации. Государство же будет выступать только в качестве регулятора и координатора.
Что интересно, практически все отзывы были от людей, непосредственно работающих с объектами КИИ: эксплуатирующих их, проектирующих системы защиты объектов КИИ, проводящих оценку соответствия. Тем они особенно ценны. Приведу несколько: «… ты тут на старые грабли наступаешь.
Уже давно все это обсосали, что по сфере функционирования организации, а не системы считать надо, хотя да, есть указ президента более ранний, который прописывал, что системы функционирующие и есть еще системы, функционирующие в сфере здравоохранения, понятие в 323-фз». Страдает юридическая техника, впрочем повсеместно. Смотри внимательно на запятые. Системы, функционирующие... В той что сейчас формулировке». И в итоге: «- Главное - сформулировал конкретное предложение как прекратить всё это.
При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должно быть обосновано применение компенсирующих мер, а при приемочных испытаниях аттестации оценена достаточность и адекватность данных компенсирующих мер для блокирования нейтрализации угроз безопасности информации. В качестве компенсирующих мер могут быть рассмотрены меры по обеспечению промышленной, функциональной и или физической безопасности значимого объекта, поддерживающие необходимый уровень его защищенности. Часть 3.
Анализ угроз безопасности информации должен включать: выявление источников угроз безопасности информации и оценку возможностей потенциала внешних и внутренних нарушителей; анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств; определение возможных способов сценариев реализации возникновения угроз безопасности информации; оценку возможных последствий от реализации возникновения угроз безопасности информации. В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России. Модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации, в том числе модель нарушителя, и описание всех угроз безопасности информации, актуальных для значимого объекта. Описание каждой угрозы безопасности информации должно включать: источник угрозы безопасности информации; уязвимости ошибки , которые могут быть использованы для реализации способствовать возникновению угрозы безопасности информации; возможные способы сценарии реализации угрозы безопасности информации; возможные последствия от угрозы безопасности информации. Для определения угроз безопасности информации и разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России. В случае если базовый набор мер не позволяет обеспечить блокирование нейтрализацию всех угроз безопасности информации, в него дополнительно включаются меры, приведенные в приложении к П-239. При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должна быть обоснована достаточность применения мер по обеспечению промышленной безопасности или физической безопасности для блокирования нейтрализации соответствующих угроз безопасности информации. Исходя из вышеописанного, можно сделать вывод, что Модель угроз является ключевым документом для определения состава мер защиты значимых объектов КИИ в соответствии с требованиями П-239. Организационные меры защиты значимых объектов КИИ В соответствии с п.
Организационно-распорядительные документы по безопасности значимых объектов являются частью документов по вопросам обеспечения информационной безопасности защиты информации субъекта КИИ. При этом положения, определяющие порядок и правила обеспечения безопасности значимых объектов КИИ , могут быть включены в общие документы по вопросам обеспечения информационной безопасности защиты информации , а также могут являться частью документов по вопросам функционирования значимого объекта КИИ. Организационно-распорядительные документы по безопасности значимых объектов должны быть доведены до руководства субъекта КИИ , подразделения по безопасности, специалистов по безопасности, а также до иных подразделений работников , участвующих в обеспечении безопасности значимых объектов КИИ , в части, их касающейся. Технические меры защиты значимых объектов КИИ В соответствии с п.
Обзор законодательства РФ о критической информационной инфраструктуре
Приобретение ПАК, не являющихся доверенными, с 01. Функции защиты на уровне идентификации, аутентификации пользователей, управления доступом реализованы во множестве ПАК, не являющихся сертифицированными СЗИ например, коммутатор, программируемый логический контроллер — это как раз те самые встроенные средства защиты, приоритетное использование которых предписывает Приказ ФСТЭК России от 25. Акцент на соблюдение законодательства о государственной тайне тоже оставляет вопросы. Тут можно порекомендовать субъектам КИИ ориентироваться на отраслевые планы перехода от Уполномоченных органов, с каким грифом или пометкой они придут, с такими же отправлять собственные разработанные планы и отчеты о ходе их реализации. Планы субъектов КИИ должны содержать довольно большой перечень информации. Для иных видов радиоэлектронной продукции указывается производитель оборудования и модель оборудования».
Системы, функционирующие... В той что сейчас формулировке». И в итоге: «- Главное - сформулировал конкретное предложение как прекратить всё это. Оно более правильные формулировки дает». Субъекты КИИ и запятая Ещё раз посмотрим на формулировку в статье 2 187-ФЗ: «8 субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и или индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и или индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».
Вот если бы перед запятой был союз «и», тогда слово «функционирующие» относилось бы к юрлицам и т. Для этого не надо быть филологом. Учёт и контроль - кого или чего? А как в НПА?
В чем суть готовящихся требований? Речь о том, чтобы предприятия, управляющие КИИ, при выборе софта или оборудования отдавали предпочтение российским продуктам, если таковые имеются. Сегодня доля отечественного ПО и оборудования на таких предприятиях меньше, чем доля импортного. Госкомпании начнут согласовывать приобретение зарубежного софта с Минцифры В требованиях Минцифры не указана доля российского ПО и оборудования, которая должна использоваться на предприятиях.
На запрос ТАСС в пресс-службе ведомства уточнили: "При обосновании, в котором могут быть описаны все риски для бесперебойной, безопасной и эффективной работы объектов КИИ, субъект КИИ вправе продолжить использовать иностранное ПО, телекоммуникационное оборудование и радиоэлектронную продукцию. Преимущественное использование означает, что при наличии выбора между аналогичным российским и иностранным ПО и или оборудованием приоритет должен отдаваться российским продуктам. Проект постановления правительства предусматривает ряд исключений, учитывающих специфику всех отраслей, а также отсутствие на сегодняшний день отдельных российских аналогов используемых на объектах КИИ оборудования, продукции и ПО. При переходе на преимущественное использование российского ПО и или оборудования должны учитываться в том числе текущие сроки амортизации используемого субъектом КИИ оборудования и сроки действия прав на использование ПО в отношении используемого ПО и или оборудования, сведения о которых не включены в реестры".
Информация об изменениях: См. Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры. По мере необходимости указанный перечень может быть изменен в порядке, предусмотренном для его разработки и утверждения. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов внесения изменений в перечень объектов. Перечень объектов в течение 10 рабочих дней после утверждения направляется в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры. В перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Допускается оформление единого акта по результатам категорирования нескольких объектов критической информационной инфраструктуры, принадлежащих одному субъекту критической информационной инфраструктуры. Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта критической информационной инфраструктуры. Субъект критической информационной инфраструктуры обеспечивает хранение акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости.
Подписан закон об изменении перечня субъектов критической информационной инфраструктуры
Новости законодательства. Министерство цифрового развития, связи и массовых коммуникаций России готовит документ, в соответствии с которым субъекты телевещания признают объектами критической. Подробный план перехода субъектов КИИ будет утвержден до 1 сентября 2024 года. Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле. Так как сегодня в достаточно сжатые сроки требуется. По таким объектам КИИ установят сроки перехода на российские продукты. нарушить правила обмена информацией об инцидентах (в частности, между субъектами КИИ).
Hормативные акты по КИИ
Однако реальной защитой критической инфраструктуры многие занялись лишь после февраля 2022-го. Дмитрий Кузин Начальник управления ИБ АСУ ТП Cloud Networks Если раньше было много запросов на так называемые аудиты ИБ обследования объектов, анализ уровня защищенности и правильности выстраивания процессов , то сейчас бизнес хочет не просто получить результаты обследований, но и сразу начинать выстраивать процессы, внедряя организационные и технические меры защиты. Простой пример: в результате обследования объектов в прошлом году мы изучали немало результатов аудитов прошлых периодов, которые так и остались лежать на полке. То есть аудит был проведен, но дальше дело не пошло. Главной причиной пересмотреть расходы на безопасность в субъектах КИИ стала политическая ситуация, на фоне которой изменилось законодательство, усилился курс на импортозамещение и ушло множество западных ИБ-компаний с рынка. Как результат, наиболее радикальные изменения потребовались в организациях, где ранее использовали иностранные средства защиты. Кроме того, в нормативном поле появилось предъявление требований к операторам ПДн в части информирования регуляторов об инцидентах ИБ. Но и это еще не все — уже скоро в стране введут оборотные штрафы за утечку персональных данных. Анатолий Сазонов Руководитель направления безопасности промышленных предприятий Infosecurity a Softline company В связи со всеми законодательными изменениями бизнес и госструктуры понимают, что им необходимо правильно строить или улучшать существующую систему ИБ, опираясь при этом преимущественно на отечественные решения. Куда уходят деньги Как отмечают собеседники Cyber Media, в 2022 году основная масса средств направлялась на замену иностранных решений. В итоге к 2023 году субъекты КИИ подошли с разной степенью готовности: часть компаний успела полностью заменить системы защиты, другая — спроектировать и закупить, третья — только запланировать.
Именно поэтому в текущем году тренд продолжается — ведется проектирование, закупка, внедрение и доработка систем для защиты КИИ. И хотя инвестиции возросли, безопасность критической инфраструктуры пока зачастую остается на том же уровне. Но это в лучшем случае. Есть немало историй с печальным финалом — сетуют эксперты. Федор Музалевский Директор технического департамента RTM Group Дело в том, что даже кратный рост бюджета не позволяет покупать средства защиты больше или лучше. Рост цен на отечественные межсетевые экраны, средства управления уязвимостями и иные технические средства защиты информации — все это нивелирует рост бюджета.
Правила включают порядок подачи и рассмотрения заявления на аккредитацию, содержание такого заявления, сроки мероприятий в рамках получения аккредитации, основания для приостановления и прекращения действия аккредитации, внесения изменений в перечень аккредитованных органов, а также порядок обжалования полученных решений. Постановление вступает в силу с 1 июня 2023 года и действует до 1 июня 2029 года. Электронные документы, удостоверяющие личность Для общественного обсуждения представлен проект Указа Президента Российской Федерации «О предъявлении документов с использованием информационных технологий».
Общественное обсуждение проекта завершилось 27 апреля, по итогам обсуждения опубликована версия, доработанная в соответствии с поступившими предложениями. Согласно проекту, предъявление сведений из документов, удостоверяющих личность, размещенных в мобильном приложении федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг» Госуслуги будет приравниваться к предъявлению оригинала таких документов. Использование мобильного приложения для указанных целей осуществляется гражданами добровольно. Согласно проекту, Президент РФ постановляет Правительству РФ определить порядок и условия применения мобильного приложения, а также состав и порядок обработки и защиты предъявляемых сведений. При этом для использования мобильного приложения необходимо применять шифровальные криптографические средства защиты, указанные в ч1. Проект находится на стадии независимой антикоррупционной экспертизы. Приказ вносит ряд изменений, в том числе: уточнены критерии проверки требований, предъявляемых к организации обработки персональных данных далее — ПДн по поручению; уточнены критерии проверки выполнения требований в части трансграничной передачи данных; добавлена проверка обязательности обслуживания клиента при его отказе в предоставлении биометрических ПДн; добавлены критерии проверки соблюдения требований по уведомлению об инцидентах защиты ПДн; добавлены критерии проверки соблюдения требований по процедурам прекращения обработки ПДн и их уничтожению и т. Цифровые отпечатки в финансовых сервисах Центральный Банк Российской Федерации опубликовал Стандарт обеспечения безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств. Стандарт устанавливает рекомендации по формированию цифровых отпечатков устройств в рамках дистанционного предоставления финансовых и банковских услуг для кредитных и некредитных финансовых организаций.
Под цифровым отпечатком в стандарте понимается идентификатор устройства, сформированный в виде производного значения из значений параметров устройства, позволяющий идентифицировать устройство пользователя при получении им банковских и финансовых услуг. Стандарт формируется для противодействия осуществлению переводов денежных средств без согласия клиента, расследования инцидентов защиты информации, использования в качестве фактора аутентификации. Стандарт содержит общее описание технологии цифрового отпечатка и ограничения ее использования, алгоритм формирования отпечатка, рекомендации по его хранению и применению. Административные регламенты ФСТЭК России Опубликован проект приказа Федеральной службы по техническому и экспортному контролю Российской Федерации далее — ФСТЭК России , предлагающий отменить административные регламенты по исполнению государственной функции по контролю за соблюдением лицензионных требований при: осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации. Службой также опубликованы для общественного обсуждения проекты приказов, предлагающие утвердить сроки и последовательность административных процедур при осуществлении лицензионного контроля: «Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации в пределах компетенции ФСТЭК России ». Скорректированы формулировки предмета лицензионного контроля, наименование административных процедур. Исключена блок-схема исполнения государственной функции.
Тем они особенно ценны. Приведу несколько: «… ты тут на старые грабли наступаешь. Уже давно все это обсосали, что по сфере функционирования организации, а не системы считать надо, хотя да, есть указ президента более ранний, который прописывал, что системы функционирующие и есть еще системы, функционирующие в сфере здравоохранения, понятие в 323-фз». Страдает юридическая техника, впрочем повсеместно. Смотри внимательно на запятые. Системы, функционирующие... В той что сейчас формулировке». И в итоге: «- Главное - сформулировал конкретное предложение как прекратить всё это. Оно более правильные формулировки дает».
С 1 сентября 2024 года субъекты КИИ смогут эксплуатировать исключительно доверенные программы и техсредства. Однако власти предусмотрели ряд исключений для ПАК. Например, разрешено не пользоваться программой, приобретенной до этой даты, или если у этого ПАК нет аналогов из списка доверенных. Правила перехода субъектов КИИ к эксплуатации ПАК Чтобы перейти на преимущественное использование программно-аппаратных комплексов, необходимо следовать специальному плану перехода. При этом госорганы требуют индивидуального подхода к составлению в зависимости от сферы деятельности компании. Такие документы называются отраслевыми.
Субъектов телевещания могут признать объектами критической информационной инфраструктуры
| Обзор Постановления Правительства Российской Федерации от 14.11.2023 № 1912 | Инициатива должна ускорить переход субъектов КИИ на отечественное ПО и оборудование, упростить этот процесс и внести в него определённость, объяснил «СенатИнформ» зампред. |
| Владимир Путин подписал закон об изменении перечня субъектов КИИ | Современные вызовы КИИ российской промышленности». |
| Защита субъектов и объектов КИИ | Докладчик: Алексей КомаровВторой вебинар из серии: "Безопасность КИИ и требования 187-ФЗ"Темы: Главные определения, их смысловое наполнение, практические нюа. |
| Что такое критическая информационная инфраструктура? | Аргументы и Факты | Марченко также напомнил о законодательстве в сфере КИИ – на слайдах более десятка различных нормативных документов, в том числе о проверках субъектов КИИ. |
В результате вы получите
- ВсеПрофи24
- Переход критической инфраструктуры на отечественный софт и программно-аппаратные комплексы
- Заказать звонок
- Почему это важно
- Что является целью Закона и как он должен работать?
- Сроки категорирования объектов КИИ
С сентября 2024 субъекты КИИ должны использовать только доверенные ПАК
| Список субъектов КИИ расширен сферой госрегистрации недвижимости | По завершению категорирования сведения о его результатах должны направляться субъектом КИИ во ФСТЭК России для ведения реестра значимых объектов КИИ. |
| Обновлены проекты о переводе субъектов КИИ на отечественный софт | О порядке перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ (ПП РФ 1912). |
Субъекты КИИ перейдут на российский софт к 2030 году
| Закон о безопасности КИИ в вопросах и ответах | С 1 сентября 2024 г. субъектам КИИ России будет запрещено приобретать и использовать ПАК, которые не является доверенными. |
| С сентября 2024 субъекты КИИ должны использовать только доверенные ПАК | субъекты КИИ) на принадлежащих им значимых объектах не. |
| Обновление подборки законодательства о КИИ на сентябрь 2023 | Планируется, что субъекты критической информационной инфраструктуры (КИИ) до 2024 года должны перейти на преимущественное использование российского ПО. |
| Владельцы социально значимых объектов КИИ будут использовать ПАК | Все субъекты КИИ должны быть подключены к ведомственным или корпоративным центрам ГосСОПКА либо создать свой центр ГосСОПКА. |
| Закон о безопасности КИИ в вопросах и ответах | Kaspersky ICS CERT | Ответ: Субъекты КИИ, владельцы значимых объектов КИИ, обязаны в срок не позднее 90 календарных дней с момента включения данного объекта в реестр значимых объектов КИИ. |
Теперь все серьезно: как меняется безопасность субъектов КИИ
В их числе – субъекты критической информационной инфраструктуры (КИИ). Субъектам КИИ, выполняющим гособоронзаказ, теперь следует рассчитывать увеличение времени изготовления для единицы продукции. Около трети направленных сведений о результатах присвоения объекту КИИ категории значимости ФСТЭК России возвращает промышленным объектам на доработку. До 1 января 2030 г. субъекты критической информационной инфраструктуры (КИИ) обязаны перевести принадлежащие им значимые объекты на доверенные программно-аппаратные.
ФСТЭК сообщила об увеличении категории значимости для более чем 40 объектов КИИ в 2023 году
Основание для распоряжения сетями может быть любым — оформленное по всем правилам право собственности, договор аренды и т. Также к числу субъектов относятся компании и предприниматели, которые осуществляют деятельность, обеспечивающую взаимодействие ИТКС, АСУ и информационных систем. Чтобы полностью отвечать актуальным требованиям закона в отношении критической информационной инфраструктуры Российской Федерации, госорганам, частным фирмам и учреждениям необходимо: Своевременно осуществлять передачу сведений об инцидентах, независимо от причин их возникновения, а также проводить тщательные расследования. Выполнить категоризацию объектов, чтобы гарантировать безопасность объектов КИИ.
Процедура предполагает глубокий анализ всех аспектов деятельности с учетом предусмотренных законом критериев, в числе которых: серьезность последствий хакерской атаки для экологической обстановки, размер ущерба российскому населению и государству в целом при краже данных, влияние на обороноспособность РФ и действие правоохранительной системы. Проинформировать о проведенной категоризации ФСТЭК и добиться добавления сведений в единый Реестр объектов критической инфраструктуры. Исполнять действующие условия эксплуатации КИИ, своевременно корректировать меры безопасности в случае изменения правовых нормативов, в частности, осуществлять переход на отечественное оборудование и ПО.
Как обеспечивается информационная безопасность КИИ?
Однако власти предусмотрели ряд исключений для ПАК. Например, разрешено не пользоваться программой, приобретенной до этой даты, или если у этого ПАК нет аналогов из списка доверенных. Правила перехода субъектов КИИ к эксплуатации ПАК Чтобы перейти на преимущественное использование программно-аппаратных комплексов, необходимо следовать специальному плану перехода. При этом госорганы требуют индивидуального подхода к составлению в зависимости от сферы деятельности компании.
Такие документы называются отраслевыми. Итак, после утверждения отраслевого плана уполномоченные органы в течение 20 рабочих суток направляют готовый вариант организации, работающей с субъектом КИИ.
Требования Закона затрагивают те организации государственные органы и учреждения, юридические лица и индивидуальных предпринимателей , которым принадлежат на праве собственности, аренды или ином законном основании объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в Законе называются субъектами КИИ.
Какие действия должны предпринять субъекты КИИ для выполнения Закона? Согласно закону, субъекты КИИ должны: провести категорирование объектов КИИ; обеспечить интеграцию встраивание в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации ГосСОПКА ; принять организационные и технические меры по обеспечению безопасности объектов КИИ. Что подлежит категорированию? Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и или иные процессы в рамках выполнения функций полномочий или осуществления видов деятельности субъектов КИИ.
Что в себя включает категорирование объектов КИИ? Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории — первая, вторая или третья в порядке убывания значимости. Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается.
В реестр включается следующая информация: наименование значимого объекта КИИ; сведения о взаимодействии значимого объекта КИИ и сетей электросвязи; сведения о лице, эксплуатирующем значимый объект КИИ; присвоенная категория значимости; сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ; меры, применяемые для обеспечения безопасности значимого объекта КИИ. Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК России. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ.
Предусматривается также проведение административного расследования, если после выявления административного правонарушения проводится экспертиза или иные процессуальные действия, требующие значительных временных затрат. Почему это важно Необходимость в надежной защите КИИ продиктована не только требованиями законодательства. Количество атак на объекты критической инфраструктуры растет с каждым годом. В прошлом году, по данным МИД РФ, самыми популярными мишенями хакеров становились разрабатывающие вакцины институты, сектор госуправления и финансовый сектор, объекты военно-промышленного комплекса, научные предприятия и институты, сфера образования, транспорта и здравоохранения. Закон о безопасности критической информационной инфраструктуры 187-ФЗ вступил в силу еще с января 2018 года. Его основная цель - защитить IT-системы госорганов, банков, промышленности, оборонных предприятий и других организаций от кибератак.
В частности, система должна выявлять уязвимости и угрозы, а также расследовать уже случившиеся атаки на КИИ. Однако в последнем случае это потребует существенных затрат. Первый этап - определить, является ли организация субъектом КИИ. Для этого необходимо проанализировать виды деятельности организации в соответствии с ОКВЭД: есть ли среди них слова "здравоохранение", "наука", "транспорт", "связь", "энергетика", "банк", "финансы", "топливо", "атом", "оборона", "ракетно-космическая", "горнодобывающая", "металлургия", "химическая". Второй этап - провести категорирование значимых объектов КИИ. Организация создает соответствующую комиссию, определяет объекты категорирования, которым затем присваиваются категории значимости: самая высокая категория - первая, самая низкая - третья.
Секретные адреса: сделки с недвижимостью защитили от хакеров
Обеспечение прослеживаемости. Суть процесса заключается в том, чтобы функциональную спецификацию ПО можно было проследить до конкретных блоков функций, которые их реализуют. Это упрощает контроль недекларированных возможностей в ходе реализации проекта ПО и внесения в него изменений. Статический анализ кода без его исполнения. Это уже техническая мера, и она требует внедрения специального инструмента — статического анализатора кода. По результатам анализа нескольких проверок безопасности статическим анализатором проекта ПО необходимо провести так называемую «разметку»: сопоставить выявленные ошибки и предупреждения с тем, являются ли они на самом деле недостатками ПО.
Также в правила статического анализатора можно добавить необходимую стилистику оформления исходного кода, которая принята в проекте. При каком-либо отступлении от нее разработчику необходимо будет в комментариях указывать причину. Динамический анализ кода с его исполнением. В простейшем случае динамический анализ кода проводится в виде ряда тестов: модульного, регрессионного и системного. Модульные тесты разрабатываются на те функции, которые принимают входные значения из внешних данных т.
В ходе инструментирования кода счетчиками ошибок санитайзерами и отладочными аллокаторами необходимо провести автоматизированный запуск этих тестов, собрать тестовое покрытие и проанализировать результаты. На основании результатов можно в том числе увидеть участки кода, которые в ходе выполнения не были задействованы, а значит, требуют дополнительного внимания. К примеру, они могут быть проверены на отсутствие недекларированных возможностей в ручном режиме. Фаззинг-тестирование с его исполнением. Для данного процесса необходимо разработать специальные функции либо наборы входных данных методами «мутационного» или «генерационного» фаззинга , которые подаются на вход тех же самых функций, составляющих поверхность атаки.
Постановление Правительства РФ от 14. Подтверждением отсутствия произведенных в РФ доверенных программно-аппаратных комплексов, являющихся аналогами приобретенных, являются заключения, выданные Минпромторгом России Определен перечень федеральных органов исполнительной власти и российских юридических лиц, ответственных за организацию перехода субъектов КИИ на принадлежащих им значимых объектах на преимущественное применение доверенных программно-аппаратных комплексов в соответствующих сферах областях деятельности.
Законодатели к началу проверок дополнили перечень нарушений в области обеспечения безопасности КИИ и предусмотрели административные меры ответственности за них. По данным экспертов, тех, к кому данные меры могут применяться, достаточно. Так на сегодняшний день более чем по 1 700 объектам не соблюдены сроки представления сведений о результатах их категорирования, установленные в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации. Пройти процедуру категорирования непросто.
Можно предполагать, что какая-то ответственность прописана. Например, если электрические провода обрываются в случае внезапных погодных проблем, то ни о каких компенсациях речи нет — ремонтная бригада просто выезжает и натягивает эти провода. По-моему, простым гражданам никаких компенсаций в таком случае не положено — люди просто сидят без света и ждут, когда всё починят.
Следует ли отдавать это на откуп хозяйствующим субъектам, или государству тоже нужно брать бразды в свои руки? Если страдают другие юридические организации, тоже достаточно крупные, у нас культура в области кибербезопасности меняется и, возможно, в договорах между генераторами и потребителями электроэнергии могут появиться пункты про компенсации. Но у нас же есть физлица, у которых отключение электричества — это самый простой вариант. А если химическое облако полетело — это вред здоровью. Есть и другие последствия. Если это — крупное предприятие, и оно обеспечивает определенный процент поступлений средств в местный бюджет, то у него возникнут проблемы с производством, упадет прибыль, оно меньше заплатит налогов. Это — один из рисков, которые рассматриваются в рамках 187-ФЗ. Ты уже пострадал, а тут приходит налоговая инспекция и говорит: «Прибыль у вас упала, вы недоплатили налогов, потому что плохо защищали. К такому механизму возникает много вопросов.
А есть еще моменты, связанные с нарушением обороноспособности. Приходит Минобороны и говорит: «Родина в опасности, потому что вы плохо защищали объект КИИ и сорвали гособоронзаказ. Как вы будете это компенсировать? С другой — инциденты возникают нечасто, что позволит воспринимать их как некий форс-мажор. Возможно, стоит прописывать это в договорах наряду с другими вариантами прерывания получения услуги. И если всё-таки ядовитое облако накрывает город, то это — серьезная ситуация: здесь возможен коллективный иск в сторону предприятия, что оно должно компенсировать потерю здоровья, лечение достаточно большой группе людей. И, наверное, этот механизм может быть работающим. Встает вопрос о верификации инцидентов. У нас информацию об инцидентах почти никто не публикует.
Передавать ее надо, но обязанности такой нет. Как в ряде случаев определить, что это было — кибератака или какой-то сбой оборудования? Это же — разная ответственность. Но здесь удивляет позиция правоохранительных органов. Если есть явная информация, что скорее всего совершено преступление, украдены персональные данные из какого-то конкретного банка — надо провести проверку. Есть экспертные организации, которые расследуют, — надо это сделать с их помощью. Я допускаю, что есть ситуации, в которых достоверно не разберешься. Но большинство крупных прецедентов, связанных с массовыми утечками данных, не так часто происходит, они все — на слуху. И важно, чтобы эта функция со стороны правоохранительных органов появилась и работала — надо разбираться, приезжать в банк, проверять ритейлеров, всех «протрясти».
Важно двигаться вперед. И «нормативка» развивается именно таким образом. Появляется что-то новое, апробируется, по результатам возникают новые идеи — и в итоге понятны следующие шаги. Что дальше можно было бы сделать? Относительно КИИ есть нюанс — такие инциденты случаются нечасто. И этот нюанс в некотором роде мешает: у нас нет хорошей статистики, чтобы применять адекватные решения по управлению этими рисками. В связи с этим проблемы в персональных данных — явные, видно, как их можно решить. Но для того, чтобы было понятно, как будет работать механизм компенсаций в случае нарушения безопасности в объектах работы КИИ, надо наработать опыт — эти нарушения надо фиксировать. На основе того, как эти нарушения будут отрабатываться, мы можем смотреть, как можно улучшить процесс.
Конечно, хотелось бы, чтоб события развивались не таким образом — то есть частота инцидентов не увеличивалась, а «на берегу» удалось придумать работающую методику. Складывается впечатление, что 187-ФЗ и вся подзаконная база, которая вокруг него выросла, во многом повторяют логику 152-ФЗ: если я отвечаю за кибербезопасность на предприятии и выполнил всё, что рекомендует сделать ФСТЭК, по бумагам всё прекрасно, но что-то у меня взорвалось — я ни в чём не виноват? Я сейчас говорю про бумажное уменьшение реальных рисков. Если правила эксплуатации объекта КИИ не были нарушены внутри самой организации — всё категорировали, поставили средства, аттестовали, оценили соответствие, — но что-то всё же произошло, я убежден, что уголовная ответственность в таких случаях наступать не должна. В этой части статья 274. Но ответственность организации должна наступать. Как в примере с банком: если приехали гангстеры и деньги украли, а вся охрана действовала согласно инструкции, то претензии к охране предъявлять неправильно. Но эти деньги — чьи-то. И это банк лишился денег, а не те клиенты, которые эти деньги ему принесли.
С точки зрения безопасности ситуация та же: если хакеры захотят, они в объект КИИ проникнут и навредят — защитники не при чём. Но компенсации тем людям, которые от этого пострадают, должны быть.