Вывод строя или уничтожение субъектов КИИ подорвет безопасность, экономическую ситуацию, общественное здравоохранение. Основные сферы, в которых могут быть объекты КИИ. Кроме того, согласно проекту, правительство будет определять порядок и сроки перехода значимых объектов КИИ на преимущественное использование российского ПО и оборудования. Сейчас субъекты КИИ регулярно и специально снижают степень значимости имеющихся в их распоряжении объектов КИИ, и эту проблему отмечают в Правительстве РФ уже давно. Мы рассмотрели, кто такой субъект критической информационной инфраструктуры, что такое объект КИИ и какие необходимо выполнить действия для выполнения требований ФСТЭК. Сильнее всего бюджет на безопасность вырос среди компаний, которые относятся к критической инфраструктуре – 39% опрошенных представителей субъектов КИИ сообщили об этом.
Как и кому необходимо подключаться к ГосСОПКА
Дата публикации на сайте: 17.
ФСТЭК России после получения сведений о результатах категорирования от субъекта КИИ обязан в течение 30 дней проверить правильность категорирования и при выявлении нарушений возвратить направленный документ субъекту КИИ для исправления. Что будет, если не проводить категорирование? В случае непредставления субъектом КИИ сведений о результатах категорирования объекта критической информационной инфраструктуры происходит нарушение ч. Невыполнение данного требования влечет за собой административную ответственность по статьям 19.
Под субъектами КИИ в документе подразумеваются госорганы, предприятия или индивидуальные предприниматели, использующие информсистемы в критически важных отраслях: здравоохранении, науке, транспорте, связи, энергетике и других.
Будьте в курсе последних новостей отрасли Подписаться.
N 452 14 1. При проведении работ, предусмотренных подпунктами "г" и "д" пункта 14 настоящих Правил, должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых являются прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба. Информация об изменениях: Правила дополнены пунктом 14 2 с 24 апреля 2019 г.
N 452 14 2. В случае если функционирование одного объекта критической информационной инфраструктуры зависит от функционирования другого объекта критической информационной инфраструктуры, оценка масштаба возможных последствий, предусмотренная подпунктом "е" пункта 14 настоящих Правил, проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект. Информация об изменениях: Правила дополнены пунктом 14 3 с 24 апреля 2019 г. N 452 14 3.
В случае если осуществление критического процесса зависит от осуществления иных критических процессов, предусмотренная подпунктом "е" пункта 14 настоящих Правил оценка проводится исходя из совокупного масштаба возможных последствий от нарушения или прекращения функционирования всех выполняемых критических процессов. Информация об изменениях: См. Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры.
Список субъектов КИИ расширен сферой госрегистрации недвижимости
| Как и кому необходимо подключаться к ГосСОПКА | Мониторинг перехода субъектов КИИ на преимущественное применение российского ПО предлагается закрепить за Минцифры. |
| Критическая информационная инфраструктура - где объекты КИИ | Объекты КИИ | Планируется, что субъекты критической информационной инфраструктуры (КИИ) до 2024 года должны перейти на преимущественное использование российского ПО. |
| Кабмин будет определять типы информсистем для их отнесения к важным объектам КИИ | Подробный план перехода субъектов КИИ будет утвержден до 1 сентября 2024 года. |
| Что такое критическая информационная инфраструктура? | Аргументы и Факты | Правительство РФ утвердило для субъектов КИИ порядок перехода на использование доверенных ПАК, соответствующих специальным требованиям. |
Hормативные акты по КИИ
Среди требований к производителю и разработчику: собственная сеть сервисных центров на территории РФ; наличие прав на документацию, технологию, патентов и исключительных прав на ПО; поддержка продукта на протяжении всего жизненного цикла. Также отдельно Евгений Абакумов остановился на требованиях к аппаратному и программному обеспечению ПАК. Председатель Ассоциации КП ПОО Рената Абдулина представила результаты анализа основных нормативных правовых актов, организационных и методических документов по обеспечению безопасности КИИ: в итоговую карту вошло более 20 документов, которые сегодня регулируют вопросы в этой сфере. Так как сегодня в достаточно сжатые сроки требуется перевести на отечественные решения все объекты КИИ, нам необходимы выверенные термины и правила, которые будут трактоваться однозначно. Чтобы производители отвечали на запрос потребителей, а заказчики в свою очередь могли выстроить приоритизацию перехода на отечественные решения. По мнению участников Ассоциации, в целях гармонизации действующего законодательства целесообразно утвердить ключевой нормативный правовой акт, в котором будут закреплены основополагающие принципы, понятийный аппарат, критерии определения технологической независимости и доверенности в сфере КИИ и другое», — рассказала Рената Абдулина.
Инициатива должна ускорить переход субъектов КИИ на отечественное ПО и оборудование, упростить этот процесс и внести в него определённость, объяснил «СенатИнформ» зампред Совета по развитию цифровой экономики при СФ, член Комитета верхней палаты по госстроительству и законодательству Артём Шейкин. Он отметил, что поправок ждут с осени 2022 года, и они просто необходимы для ускорения реализации положений Указов Президента РФ об обеспечении технологической независимости и безопасности критической информационной инфраструктуры страны, перехода на отечественный софт и «железо». Артём Шейкин. Зачастую компании, органы и организации этим правом пренебрегали и минимизировали количество систем, которые определяются как КИИ, чтобы не нести существенные затраты на обеспечение информационной безопасности Артём Шейкин, член Комитета СФ по госстроительству и законодательству Сегодня в верхней палате пошёл круглый стол, где обсуждались вопросы обеспечения технологической независимости и безопасности критической информационной инфраструктуры РФ.
К примеру, в специальном разделе сайта разработчика могут быть организованы специальные «фильтры» по продуктам, которые ведут на страницы с планами по поддержке ПО в ходе жизненного цикла. На рис. Рекомендуем закладывать процессы таким образом, чтобы в дальнейшем расширять их до охвата всех необходимых этапов жизненного цикла. Далее мы рассмотрим проект по внедрению процесса БРПО в соответствии с требованиями регулятора. Когда прикладное ПО разрабатывается силами собственных разработчиков, необходимо внедрить наиболее полный состав процессов безопасности. В случае заказной разработки или использования вендорского ПО необходимо обеспечить наличие всех необходимых свидетельств по процессам безопасности, выстроенным на стороне вендора — производителя ПО, и приобщить их в проектную документацию на ЗО КИИ. Как правило, типовой проект внедрения процессов безопасной разработки ПО разделяется на пять основных этапов. На первом этапе готовится технико-экономическое обоснование для руководства с верхнеуровневыми финансовыми параметрами проекта, основными этапами работ, основными результатами, которые достигаются в ходе проекта, а также персоналом, который требуется привлечь. На втором этапе проводится аудит текущих бизнес-процессов разработки, формируется целевое состояние процессов разработки, исходя из требований регулятора либо бизнес-потребностей, далее выявляются несоответствия и формируются рекомендации по внедрению организационных и технических мероприятий. На третьем этапе рекомендации ранжируются по степени их реализуемости и сводятся в дорожную карту. Настоятельно рекомендуем разрабатывать детальный план перехода и пояснительную записку с обоснованием принятых решений, чтобы всегда можно было поднять историю и причины принятых решений. Четвертый этап — это уже непосредственно работа проектной команды, которая движется по дорожной карте. Исходя из практики, оптимальным вариантом является тот, в котором техническое лидерство в проекте остается за разработчиками, а организационное лидерство, то есть руководство проектом, возложено на специалиста по информационной безопасности. В этом случае происходит тесная интеграция компетенций безопасников и разработчиков. И наконец, на последнем этапе происходит контроль функционирования внедренных процессов. Через несколько месяцев после завершения внедрения производится сбор и анализ всех свидетельств и записей процессов безопасной разработки ПО на предмет их полноты и достаточности.
Пройти процедуру категорирования непросто. Также не учитывается, что инцидент на одном объекте может привести к цепной реакции инцидентов по всем объектам, что может существенно увеличить значение показателей значимости. Проблемы могут возникнуть и у тех, кто прошел процедуру категорирования и работает над модернизацией системы обеспечения безопасности или даже завершает этот процесс. ФСТЭК в ходе проверок оценивает реализацию организационных мер.
Hормативные акты по КИИ
Обозначены этапы управления уязвимостями. Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области ИБ. Также Приказом вводятся обязательные меры по реализации компенсирующих мер в случае невозможности обеспечения технической поддержки средств защиты информации со стороны производителя.
Среди требований к производителю и разработчику: собственная сеть сервисных центров на территории РФ; наличие прав на документацию, технологию, патентов и исключительных прав на ПО; поддержка продукта на протяжении всего жизненного цикла.
Также отдельно Евгений Абакумов остановился на требованиях к аппаратному и программному обеспечению ПАК. Старший вице-президент по информационным технологиям Ростелекома Кирилл Меньшов акцентировал внимание на предназначении ПАКов: Мне кажется, что решить вопрос ПАКов без понимания того, что они из себя представляют — невозможно. Они появились для специализированных задач, которые нельзя решить с помощью универсальных серверов.
Поэтому ПАКи между собой различаются радикально. Либо нам придется делать много классов ПАКов, либо мы подойдем к решению издалека, сделаем более абстрактно, но тогда нам сложно будет соответствовать. Чтобы нам удалось прийти к итогу, важна работа всех участников сегодняшней дискуссии: потребителей, разработчиков и органов государственной власти.
Генеральный директор АНО «Консорциум «Вычислительная техника» Светлана Легостаева обратила особое внимание на доверие со стороны заказчика к оборудованию, которое обязательно должно быть чем-то подтверждено: Нужно развивать институт центров тестирования. Они будут решать задачу доказательства того, что функционал, который задекларирован на бумаге производителем действительно выдержал нагрузочные испытания и соответствует всем заявленным характеристикам. Полигон должен занять важное место в системе создания и внедрения решений для КИИ.
Президент Ассоциации разработчиков компьютерных технологий доверия и безопасности «Доверенная платформа» Андрей Тихонов заявил о необходимости создания единой карты рисков: Необходимо сформировать единую картину рисков и угроз КИИ, которые связаны не только с информационной безопасностью, но и с технологической независимостью. На основе этого должны быть сформированы требования доверенного и безопасного жизненного цикла продукции и систем — начиная от дизайна и разработки, через внедрение и модернизацию, вплоть до вывода из эксплуатации.
После того, как сведения поступят в госорган, представители последнего в течение месяца его рассмотрят и решат вносить ли его в список аналогичных планов. Если вердикт будет положительным, то уполномоченные органы оповестят компанию о нем в течение 5 рабочих дней, а дальше будут вести специальный отчет. По стандарту план перехода утверждает руководитель субъекта КИИ, а затем в течение последующих 10 дней отправляет в уполномоченные органы, соблюдая требования законодательства в отношении гостайны. Отметим, организация вправе при определенных обстоятельствах изменить план. Для этого нужно отправить копию утвержденного документа, приложив сопроводительное письмо с правками.
Далее уполномоченный орган повторит те же действия, что и при утверждении: в течение месяца рассмотрит, а в последующие 5 дней сообщит о решении.
Уполномоченные органы должны ежегодно до 1 мая обновлять эти планы. После утверждения они направляют их субъектам КИИ. Субъекты, в свою очередь, должны разработать личный план перехода, включающий: Общие сведения.
Кабмин будет определять типы информсистем для их отнесения к важным объектам КИИ
В соответствии с ч. Если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий. После формирования комиссии идут следующие действия: 1 Формируется перечень объектов КИИ, подлежащих категорированию, с указанием сроков проведения их категорирования и согласование указанного перечня со ФСТЭК России. Акт категорирования подписывается членами комиссии и утверждается руководителем субъекта КИИ.
Треть российских компаний увеличивает бюджет на безопасность 16. Сводные же данные и отдельные по госорганизациям вызывают обеспокоенность. Бюджетов на защиту выделяется недостаточно. При этом при их дефиците нет и каких-то значимых мер господдержки, чтобы операторы ПД могли активнее внедрять защищающее ПО, особенно в сфере малого и среднего бизнеса», — комментирует Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ». По всем организациям, которые относятся к субъектам КИИ, системообразующим или операторам ПД эти цифры выше. Компании, у которых затраты на ИБ в 2022 году выросли, заметно чаще направляют бюджет на закупку нового оборудования и ПО. Мы связываем это в большей степени с тем, что в компаниях стремились оплатить «железо» до того, как оно подорожало или опасаясь дефицита. На какие цели тратят ИБ-бюджеты Реальные потребности бизнеса по-прежнему заметно обгоняют мотив выполнять требование регуляторов. Зеркальная картина только у компаний — субъектов КИИ, госорганизаций.
Организационные меры защиты значимых объектов КИИ В соответствии с п. Организационно-распорядительные документы по безопасности значимых объектов являются частью документов по вопросам обеспечения информационной безопасности защиты информации субъекта КИИ. При этом положения, определяющие порядок и правила обеспечения безопасности значимых объектов КИИ , могут быть включены в общие документы по вопросам обеспечения информационной безопасности защиты информации , а также могут являться частью документов по вопросам функционирования значимого объекта КИИ. Организационно-распорядительные документы по безопасности значимых объектов должны быть доведены до руководства субъекта КИИ , подразделения по безопасности, специалистов по безопасности, а также до иных подразделений работников , участвующих в обеспечении безопасности значимых объектов КИИ , в части, их касающейся. Технические меры защиты значимых объектов КИИ В соответствии с п. Порядок применения СЗИ определяется субъектом КИИ в организационно-распорядительных документах по безопасности значимых объектов с учетом особенностей деятельности субъекта КИИ. В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации СЗИ : в значимых объектах 1 категории применяются СЗИ не ниже 4 класса защиты, а также средства вычислительной техники не ниже 5 класса; в значимых объектах 2 категории применяются СЗИ не ниже 5 класса защиты, а также средства вычислительной техники не ниже 5 класса; в значимых объектах 3 категории применяются СЗИ 6 класса защиты, а также средства вычислительной техники не ниже 5 класса. При этом в значимых объектах 1 и 2 категорий значимости применяются сертифицированные СЗИ , прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. Функции безопасности СЗИ должны обеспечивать выполнение требований П-239. Часть 4. Требования к вышеупомянутым процессам определены в разделе 5 П-235. Внедрение организационных и технических мер защиты значимых объектов КИИ Внедрение организационных и технических мер по обеспечению безопасности значимого объекта организуется субъектом критической информационной инфраструктуры в соответствии с проектной и рабочей эксплуатационной документацией на значимый объект, стандартами организаций и включает: установку и настройку средств защиты информации, настройку программных и программно-аппаратных средств; разработку организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности значимого объекта; внедрение организационных мер по обеспечению безопасности значимого объекта; предварительные испытания значимого объекта и его подсистемы безопасности; опытную эксплуатацию значимого объекта и его подсистемы безопасности; анализ уязвимостей значимого объекта и принятие мер по их устранению; приемочные испытания значимого объекта и его подсистемы безопасности. При внедрении организационных мер по обеспечению безопасности значимого объекта осуществляются: организация контроля физического доступа к программно-аппаратным средствам значимого объекта и его линиям связи; реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации программных и программно-аппаратных средств; проверка полноты и детальности описания в организационно-распорядительных документах по безопасности значимых объектов действий пользователей и администраторов значимого объекта по реализации организационных мер; определение администратора безопасности значимого объекта; отработка действий пользователей и администраторов значимого объекта по реализации мер по обеспечению безопасности значимого объекта. При этом анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта. Анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта. При проведении анализа уязвимостей применяются следующие способы их выявления: анализ проектной, рабочей эксплуатационной документации и организационно-распорядительных документов по безопасности значимого объекта; анализ настроек программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта; выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, посредством анализа состава установленного программного обеспечения и обновлений безопасности с применением средств контроля анализа защищенности и или иных средств защиты информации; выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, сетевых служб, доступных для сетевого взаимодействия, с применением средств контроля анализа защищенности; тестирование на проникновение в условиях, соответствующих возможностям нарушителей, определенных в модели угроз безопасности информации.
Критериями значимости являются: возможность причинения ущерба жизни и здоровью людей, прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, сетей связи, транспортной инфраструктуры, возможное вредное воздействие на окружающую среду и др. Руководство дата-центра проводит категорирование в течение одного года после утверждения перечня п. Для этого в организации создается специальная комиссия из числа работников. Основываясь на категориях значимости, дата-центр определяет те организационные и технические требования к обеспечению безопасности значимого объекта, которые он должен выполнить. Данные требования могут также применяться для обеспечения безопасности объектов КИИ, не отнесенных к числу значимых, по решению субъекта КИИ п. Это распределенный комплекс сил и средств для реагирования на компьютерные инциденты и борьбы с компьютерными атаками. Как указывалась выше, субъекты КИИ несут обязанность по информированию о компьютерных инцидентах и оказанию содействия в борьбе с инцидентами и кибератаками, поэтому участвуют в ГосСОПКЕ. Невыполнение требований Закона о КИИ в ряде случаев может быть расценено как преступление. К примеру, нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, или относящихся к КИИ систем и сетей если это повлекло причинение вреда КИИ может повлечь ответственность до шести лет лишения свободы ч. В некоторых случаях может наступить и административная ответственность. Например, нарушение требований о защите информации за исключением информации, составляющей государственную тайну влечет наложение штрафа до 2000 рублей на должностных лиц, а на юридическихлиц—до 15 ООО рублей ч.
Владельцы социально значимых объектов КИИ будут использовать ПАК
С этого момента на проведение процедур категорирования отводится максимум 1 год. Если объект КИИ не подпадает под один из показателей критериев значимости, то у него отсутствует необходимость присвоения категории значимости, но тем не менее предприятие является субъектом КИИ у которого отсутствуют критически значимые объекты КИИ. Результатом второго этапа является « Акт категорирования объекта КИИ », который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Акт должен содержать полные сведения об объекте КИИ и хранится субъектом до последующего пересмотра критериев значимости. С момента подписания акта, субъект КИИ в течении 10 дней направляет сведения о результатах категорирования по утверждённой форме в ФСТЭК России на момент написания статьи форма на стадии согласования окончательного варианта. В течении 30 дней ФСТЭК проверяет соблюдение порядка и правильности категорирования и в случае положительного заключения, вносит сведения в реестр значимых объектов КИИ с последующим уведомлением субъекта КИИ в 10-ти дневный срок. Пройдите экспресс-тест и определите категорию значимости ваших объектов КИИ. По результату теста вы получите значение категории объекта КИИ или её отсутствие и полезный бонус.
Если объект КИИ вообще не соответствует критериям значимости, ему не присваивается ни одна из категорий ч. Они должны содействовать ФСБ в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов. В случае установки на объектах КИИ средств ГосСОПКИ о ней — ниже , необходимо соблюдать порядок, технические условия установки и эксплуатации таких средств и обеспечить их сохранность. Если субъекту КИИ принадлежат значимые объекты, появляются и дополнительные обязанности Если субъекту КИИ принадлежат значимые объекты, появляются и дополнительные обязанности ч. Какие подзаконные акты конкретизируют эти требования? Согласно п. Критериями значимости являются: возможность причинения ущерба жизни и здоровью людей, прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, сетей связи, транспортной инфраструктуры, возможное вредное воздействие на окружающую среду и др. Руководство дата-центра проводит категорирование в течение одного года после утверждения перечня п. Для этого в организации создается специальная комиссия из числа работников. Основываясь на категориях значимости, дата-центр определяет те организационные и технические требования к обеспечению безопасности значимого объекта, которые он должен выполнить. Данные требования могут также применяться для обеспечения безопасности объектов КИИ, не отнесенных к числу значимых, по решению субъекта КИИ п.
Будьте в курсе последних новостей отрасли Подписаться.
Практические вопросы самоопределения. Анализ бизнес-процессов выделение и оценка. Выбор наихудшего сценария атак. Оформление результатов. Алгоритм категорирования объектов КИИ.
Как выполнить требования закона о защите критической инфраструктуры
Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов КИИ. Все субъекты КИИ должны быть подключены к ведомственным или корпоративным центрам ГосСОПКА либо создать свой центр ГосСОПКА. С 1 сентября 2024 г. субъектам КИИ России будет запрещено приобретать и использовать ПАК, которые не является доверенными. Процесс категорирования объектов КИИ проводится внутренней комиссией по категорированию субъекта КИИ, в результате чего формируется список объектов КИИ с категориями значимости.
О критической информационной инфраструктуре (КИИ)
Субъекты КИИ обяжут перейти на доверенные программно-аппаратные комплексы. Соответствующее постановление Правительства РФ было официально опубликовано 14 ноября. До 2025 года субъекты КИИ обязали перейти на всё отечественное. Правительство РФ внесло в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры (КИИ) в России на отечественное программное обеспечение. Субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости в соответствии с требованиями 127-П.
Переход критической инфраструктуры на отечественный софт и программно-аппаратные комплексы
| Обзор законодательства РФ о критической информационной инфраструктуре | Сегодня в отечественной индустрии разработки программных продуктов сложилась уникальная ситуация, когда практически все субъекты КИИ и разработчики прикладного ПО, планирующие. |
| Закон о безопасности КИИ в вопросах и ответах | Kaspersky ICS CERT | К субъектам КИИ относятся организации, от которых зависит работа транспорта, сетей связи, функционирование финансовой системы и государственных, медицинских и прочих услуг. |
| Владимир Путин подписал закон об изменении перечня субъектов КИИ | Субъекты критической информационной инфраструктуры (КИИ) должны предоставлять во ФСТЭК сведения в том числе о программных, программно-аппаратных средствах, а также. |
Владимир Путин подписал закон об изменении перечня субъектов КИИ
С 1 сентября 2024 г. субъектам КИИ России будет запрещено приобретать и использовать ПАК, которые не является доверенными. Субъект КИИ — это организация, т.е. государственный орган, государственное учреждение, юридическое лицо или индивидуальный предприниматель, у кого присутствует объект КИИ. Субъекты КИИИ: кто это, подходы к определению статуса субъекта критической информационной инфраструктуры, определение сферы деятельности субъекта КИИ и как не. Построение системы безопасности КИИ по выгодной цене в Москве и на всей территории РФ: обеспечение защиты субъектов и объектов критической информационной инфраструктуры.