В Госдуму внесен законопроект Минцифры о переходе субъектов критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение и радиоэлектронную. Сегодня в отечественной индустрии разработки программных продуктов сложилась уникальная ситуация, когда практически все субъекты КИИ и разработчики прикладного ПО. К субъектам КИИ относятся организации, от которых зависит работа транспорта, сетей связи, функционирование финансовой системы и государственных, медицинских и прочих услуг. Максимальный срок категорирования не должен превышать 1 года со дня утверждения субъектом КИИ перечня объектов. В решение для безопасности объектов критической информационной инфраструктуры (КИИ) мы объединили продукты Positive Technologies.
Кабмин внёс законопроект о переходе субъектов критической инфраструктуры на российский софт
Методические рекомендации по категорированию объектов КИИ Порядок принятия решения о признании организации субъектом КИИ. Современные вызовы КИИ российской промышленности». Инициатива должна ускорить переход субъектов КИИ на отечественное ПО и оборудование, упростить этот процесс и внести в него определённость, объяснил «СенатИнформ» зампред. Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле.
Субъекты КИИ перейдут на российский софт к 2030 году
Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле. К субъектам КИИ относятся органы власти, ИП и российские организации, которые владеют объектами критической информационной инфраструктуры или обеспечивают взаимодействие. В обзоре изменений за апрель 2023 года рассмотрим: дополнительные требования для значимых объектов КИИ с удаленным управлением, госконтроль и аккредитация. Также к субъектам КИИ относятся юридические лица и индивидуальные предприниматели, обеспечивающие взаимодействие объектов КИИ. Именно с такого подхода рекомендует начинать ФСТЭК при определении принадлежности Организации к субъектам КИИ.
Информационное сообщение ФСТЭК России от 28 апреля 2023 г. N 240/82/818
Также до 1 января 2025 года в рамках 166 Указа президента все прикладное ПО на значимых объектах КИИ должно быть импортозамещено. Для примера приведем требования по безопасности прикладного ПО из различных отраслевых нормативных документов, для финансовой отрасли данные требования устанавливаются Положениями ЦБ РФ, а также национальными стандартами п. Подходы к внедрению процессов БРПО Рассматривая существующие подходы к внедрению процессов безопасной разработки ПО БРПО , можно выделить три основных направления: отечественная регуляторика, гармонизированные международные стандарты, международные стандарты и практики. В ней приводятся типовые действия в ходе подготовки и реализации меры, а также возможное распределение ролей и обязанностей участников. То есть мероприятия, которые должен формально провести оценщик для того, чтобы удостовериться, что требования стандарта 56939 выполняются. Описывать отдельно следующие три книги мы в рамках данной статьи не будем, скажем лишь кратко, что они содержат требования к методикам и инструментам, реализующим конкретные меры, в том числе требования к процессу проведения статического и динамического анализов кода. Разработка документа «Руководства по безопасной разработке ПО».
Данное руководство, помимо общих организационных моментов, касающихся области действия, определения целей, распределения ролей, должно включать указания на все процедуры безопасной разработки. Анализ и моделирование угроз информационной безопасности. На данном этапе происходит моделирование тех угроз, которые рабочая группа специалистов выявляет в предположении на каждом этапе жизненного цикла и разрабатывает компенсирующие мероприятия, которые затем отражаются на архитектуре разрабатываемого проекта ПО. Обеспечение прослеживаемости. Суть процесса заключается в том, чтобы функциональную спецификацию ПО можно было проследить до конкретных блоков функций, которые их реализуют. Это упрощает контроль недекларированных возможностей в ходе реализации проекта ПО и внесения в него изменений.
Статический анализ кода без его исполнения. Это уже техническая мера, и она требует внедрения специального инструмента — статического анализатора кода. По результатам анализа нескольких проверок безопасности статическим анализатором проекта ПО необходимо провести так называемую «разметку»: сопоставить выявленные ошибки и предупреждения с тем, являются ли они на самом деле недостатками ПО.
RU - Правительство РФ внесло в Госдуму законопроект, наделяющий кабинет министров полномочиями определять в каждой отрасли типы информационных систем, которые необходимо будет относить к значимым объектам критической информационной инфраструктуры КИИ с учетом отраслевых особенностей, говорится в сообщении Минцифры, которое подготовило проект. Как отмечает министерство, по таким объектам КИИ правительство будет устанавливать сроки перехода на российские ИТ-продукты.
Согласно тексту проекта, в частности, предлагается наделить правительство полномочиями устанавливать требования к используемым на значимых объектах КИИ программному обеспечению ПО и радиоэлектронной продукции, в том числе - к телеком-оборудованию и программно-аппаратным комплексам ПАК. Также правительство будет устанавливать случаи и порядок согласования использования на значимых объектах КИИ иностранного ПО, радиоэлектроники, телеком-оборудования и ПАК.
Информация об изменениях: Правила дополнены пунктом 14 3 с 24 апреля 2019 г. N 452 14 3. В случае если осуществление критического процесса зависит от осуществления иных критических процессов, предусмотренная подпунктом "е" пункта 14 настоящих Правил оценка проводится исходя из совокупного масштаба возможных последствий от нарушения или прекращения функционирования всех выполняемых критических процессов. Информация об изменениях: См. Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры. По мере необходимости указанный перечень может быть изменен в порядке, предусмотренном для его разработки и утверждения. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов внесения изменений в перечень объектов.
Перечень объектов в течение 10 рабочих дней после утверждения направляется в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры. В перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
Выполнить категоризацию объектов, чтобы гарантировать безопасность объектов КИИ.
Процедура предполагает глубокий анализ всех аспектов деятельности с учетом предусмотренных законом критериев, в числе которых: серьезность последствий хакерской атаки для экологической обстановки, размер ущерба российскому населению и государству в целом при краже данных, влияние на обороноспособность РФ и действие правоохранительной системы. Проинформировать о проведенной категоризации ФСТЭК и добиться добавления сведений в единый Реестр объектов критической инфраструктуры. Исполнять действующие условия эксплуатации КИИ, своевременно корректировать меры безопасности в случае изменения правовых нормативов, в частности, осуществлять переход на отечественное оборудование и ПО. Как обеспечивается информационная безопасность КИИ?
Проконсультироваться по поводу того, относится ли ваше предприятие к субъектам КИИ, можно у наших экспертов в сфере информационной безопасности если своими силами это определить не получается. Следующий этап — сделать так, чтобы критическая информационная инфраструктура функционировала без сбоев, а также была в достаточной степени защищена от внешних и внутренних угроз безопасности. Весь спектр работ можно разделить на: Выделение категорий объектов по степени значимости.
Новые требования для “железа” и иностранного ПО для субъектов КИИ
Проблемы могут возникнуть и у тех, кто прошел процедуру категорирования и работает над модернизацией системы обеспечения безопасности или даже завершает этот процесс. ФСТЭК в ходе проверок оценивает реализацию организационных мер. Для соответствия требованиям необходимо не просто разработать или актуализировать пакет документов, регламентирующий работу с КИИ, но и ознакомить с ним всех ответственных сотрудников. Сами сотрудники, непосредственно отвечающие за обеспечение безопасности объектов КИИ, а не только руководители, должны регулярно повышать свою квалификацию, чтобы быть подготовленными к актуальным угрозам и противодействовать злоумышленникам, число и уровень которых постоянно растет.
Закупить такое ПО можно лишь после согласования с профильным ведомством. В полном объёме мера вступит в силу в 2025 году.
Требования для операторов по критической информационной инфраструктуре 31. В этой статье подробно освещаются следующие аспекты: что такое КИИ, что представляют собой субъект и объект КИИ, все ли операторы связи являются субъектами КИИ, что субъекты КИИ должны делать, в случае, если у них есть объекты КИИ, а также в случае, если у них таких объектов нет, в каком порядке предпринимать все эти действия, кому, как и когда отчитываться. Также в статье присутствует перечень документов, в настоящее время регулирующих все эти вопросы.
Что такое КИИ? Последнее десятилетие во всем мире разрабатывают подходы и утверждают законодательную базу, чтобы обезопасить крупные предприятия, важные сегменты экономики и инфраструктуру стран от массовых компьютерных вирусов, целенаправленных кибератак и преступлений в области информационной безопасности. В 2013 году подписан Указ Президента РФ "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации". Данный закон регулирует отношения государственных и частных предприятий в области обеспечения безопасности критической информационной инфраструктуры КИИ для ее устойчивого функционирования, при компьютерных атаках и иных преступлениях в области информационной безопасности. В начале 2020 года участники Ассоциации "Ростелесеть" в разных регионах впервые столкнулись с запросами из прокуратуры, где звучало требование отчитаться о проделанной работе по КИИ. Для форума MUSE мы готовили доклады и круглые столы по данной теме, но в связи с переносом даты проведения форума решили, что важно поделиться с читателями своим видением.
Помимо операторов связи под регулирование в области обеспечения безопасности КИИ попали и другие сферы и сегменты экономики: здравоохранение, наука, транспорт, энергетика, банковская сфера, сфера финансовых рынков, топливно-энергетический комплекс, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность, химическая промышленность. Субъект КИИ — это организация, то есть государственный орган, государственное учреждение, юридическое лицо или индивидуальный предприниматель, у кого присутствует объект КИИ. Объект КИИ — это то, что может быть подвержено атаке, как правило, это информационные системы и сети, а также системы управления. Совокупность информации в базах данных и средства, которые ее обрабатывают.
Чтобы полностью отвечать актуальным требованиям закона в отношении критической информационной инфраструктуры Российской Федерации, госорганам, частным фирмам и учреждениям необходимо: Своевременно осуществлять передачу сведений об инцидентах, независимо от причин их возникновения, а также проводить тщательные расследования. Выполнить категоризацию объектов, чтобы гарантировать безопасность объектов КИИ. Процедура предполагает глубокий анализ всех аспектов деятельности с учетом предусмотренных законом критериев, в числе которых: серьезность последствий хакерской атаки для экологической обстановки, размер ущерба российскому населению и государству в целом при краже данных, влияние на обороноспособность РФ и действие правоохранительной системы. Проинформировать о проведенной категоризации ФСТЭК и добиться добавления сведений в единый Реестр объектов критической инфраструктуры. Исполнять действующие условия эксплуатации КИИ, своевременно корректировать меры безопасности в случае изменения правовых нормативов, в частности, осуществлять переход на отечественное оборудование и ПО.
Как обеспечивается информационная безопасность КИИ? Проконсультироваться по поводу того, относится ли ваше предприятие к субъектам КИИ, можно у наших экспертов в сфере информационной безопасности если своими силами это определить не получается. Следующий этап — сделать так, чтобы критическая информационная инфраструктура функционировала без сбоев, а также была в достаточной степени защищена от внешних и внутренних угроз безопасности.
Список субъектов КИИ расширен сферой госрегистрации недвижимости
Зато теперь, когда государство говорит о том, что пора делать то же самое, но с отечественными решениями — осуществлять внедрение, получать обратную связь от заказчика для доработки продукта и т. Как бы то ни было, теперь миграции не избежать. Нужно подобрать отечественные технологии и начинать тестирование как можно скорее. Наши специалисты учитывают специфику рынка, поэтому их работа соответствует нормативно-правовым требованиям к информационной безопасности и цифровому суверенитету.
Все продукты разрабатываются в соответствии с концепцией жизненного цикла безопасной разработки SDL. Благодаря соответствию стандартам Java SE миграция происходит легко, путем замены пары строк кода. Команда выпускает регулярные обновления синхронно с Oracle шесть релизов в год, включая CPU релизы с устраненными уязвимостями и предоставляет экстренные патчи для клиентов.
Ее КИИ использует более трети населения России. Сейчас наступает время практического импортозамещения, и в авангарде окажутся компании, которые будут его ускорять, тестировать и внедрять отечественные продукты для выполнения своих целей, взаимодействовать с вендорами для их доработки под более специфические задачи, которым пока нет аналогов в России.
С тех пор нормативно-правовая база в области обеспечения независимости от иностранных технологий заметно расширилась, а в 2022 году был выпущен Указ Президента РФ N 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», который запрещает Закупать иностранное ПО для использования на объектах КИИ с 31 марта 2022 года, Использовать иностранное ПО в КИИ с 1 января 2025 года. Даже если организация успела приобрести ПО от иностранного вендора до 2022 года, ей все равно придется осуществить миграцию на отечественные технологии. Чем дольше она откладывает переход, тем сложнее будет уложиться в срок. Но даже если абстрагироваться от требований законодательства, такие организации сейчас подвергаются гораздо большему риску, чем им кажется, рассчитывая на собственную внутреннюю ИТ-экспертизу.
Одно из следствий ухода зарубежных вендоров с российского рынка и отсутствия техподдержки и обновлений — это накопление багов и уязвимостей в программном обеспечении, создающее удобное поле для кибератак. Трудности импортозамещения ПО По данным экспертов в России насчитывается порядка 300 тысяч объектов КИИ, поэтому жесткие требования импортозамещения программного обеспечения в нашей стране действительно являются критически важными. При этом, несмотря на то, что ответственные лица почти в каждой организации имеют KPI по импортозамещению, вопрос о невозможности уложиться в срок до 2025 года остается актуальным. В чем же проблема? Главный барьер на пути к замещению импортного программного обеспечения — отсутствие полных аналогов на российском ИТ-рынке.
Постановление Правительства РФ от 14.
Подтверждением отсутствия произведенных в РФ доверенных программно-аппаратных комплексов, являющихся аналогами приобретенных, являются заключения, выданные Минпромторгом России Определен перечень федеральных органов исполнительной власти и российских юридических лиц, ответственных за организацию перехода субъектов КИИ на принадлежащих им значимых объектах на преимущественное применение доверенных программно-аппаратных комплексов в соответствующих сферах областях деятельности.
То есть субъектами КИИ операторов связи обозначили сразу, а далее каждый утверждает отсутствие, наличие и количество объектов КИИ, описывает их и обеспечивает выполнение мер для обнаружения, предупреждения и ликвидации последствий компьютерных атак. Надзорный орган производит оценку действий и решений субъектов КИИ, контролирует и корректирует их работу. Необходимо провести инвентаризацию следующих систем: Информационных базы данных, файлы данных ; Программных системное и прикладное ПО ; Технических компьютеры, сервера, коммутационное оборудование, носители данных. В случае с операторами связи необходимо выделить критические процессы, прекращение и некорректная работа которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, в том числе у других субъектов КИИ, которые обеспечивают оборону, безопасность и правопорядок государства и критической информационной инфраструктуры.
Необходимо провести анализ угроз безопасности информации, мониторинг критических процессов и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ, а также рассмотреть возможные действия нарушителей: создать модель угроз нарушителя безопасности информации. С чего начать? Все начинается с создания комиссии, которая будет делать анализ информации и процессов компании, создавать приказы, положения и принимать решение о наличии и отсутствии объектов КИИ. По результатам обсуждения правового комитета ассоциации "Ростелесеть" мы рекомендуем для рассмотрения следующий список потенциальных участников комиссии: Руководитель компании или уполномоченное лицо генеральный директор, его заместитель ; Руководители, понимающие все технологические процессы в компании и их взаимосвязь технический директор, главный инженер ; Специалист, отвечающий за информационную безопасность главный администратор сети ; Сотрудник, отвечающий за гражданскую оборону и чрезвычайные ситуации если есть ; Специалист по защите государственной тайны если есть ; Специалист финансово-экономического подразделения: для расчета показателей экономической значимости экономист ; Специалист юридических подразделений: для проверки корректности соблюдения процедуры и оформления документов юрист. Рекомендованный состав больше относится к крупным операторам связи и лишь подсказывает кандидатов и затрагиваемые аспекты оценки процессов.
Для небольших компаний этот перечень лучше сократить. Комиссия формирует положение о комиссии по категорированию объектов критической информационной инфраструктуры, где прописывает все принципы работы комиссии. После чего утверждается план работы и формируется перечень объектов критической информационной инфраструктуры на своем предприятии. Важно, что в перечень включаются все объекты КИИ, как значимые, так и не значимые.
Дата-центры и Закон о КИИ: разбираем нюансы
На основании результатов можно в том числе увидеть участки кода, которые в ходе выполнения не были задействованы, а значит, требуют дополнительного внимания. К примеру, они могут быть проверены на отсутствие недекларированных возможностей в ручном режиме. Фаззинг-тестирование с его исполнением. Для данного процесса необходимо разработать специальные функции либо наборы входных данных методами «мутационного» или «генерационного» фаззинга , которые подаются на вход тех же самых функций, составляющих поверхность атаки. И точно так же, как в динамическом анализе, для фаззинга собирается покрытие и анализируются результаты, а выявленные ошибки включаются в план устранения недостатков. Отслеживание исправления ошибок, уязвимостей в ходе жизненного цикла.
На данном этапе проводится автоматизация процедур реагирования на выявленные уязвимости, которые возникли в ходе разработки либо по сообщениям от пользователей. Как правило, в информационных системах разработки заводятся тикеты. По данным тикетам разработчикам ставится в план задача по устранению критических уязвимостей и уязвимостей, имеющих высокий приоритет. Устранив уязвимость, разработчик в комментариях может сделать пометку с идентификатором тикета. Тем самым будет обеспечена прослеживаемость закрытия выявленных уязвимостей.
Информирование о выявленных уязвимостях и компенсирующих мероприятиях конечных пользователей. В качестве примера можно привести сообщения на сайтах крупных разработчиков средств защиты информации. Там публикуются сообщения, в которых дается ссылка на источник скачивания обновлений, указываются идентификаторы уязвимостей, а также даются ссылки на инструкции по устранению уязвимостей и проведению дополнительных мероприятий. Оповещение конечного пользователя об окончании жизненного цикла ПО. К примеру, в специальном разделе сайта разработчика могут быть организованы специальные «фильтры» по продуктам, которые ведут на страницы с планами по поддержке ПО в ходе жизненного цикла.
Что такое доверенный ПАК? Критерии признания программно-аппаратных комплексов доверенными программно-аппаратными комплексами 1. Сведения о программно-аппаратном комплексе содержатся в едином реестре российской радиоэлектронной продукции. Программное обеспечение, используемое в составе программно-аппаратного комплекса, соответствует требованиям к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц« за исключением организаций с муниципальным участием , на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, утвержденным постановлением Правительства Российской Федерации от 22 августа 2022 г. Программно-аппаратный комплекс в случае реализации в нем функции защиты информации соответствует требованиям, установленным Федеральной службой по техническому и экспортному контролю и или Федеральной службой безопасности Российской Федерации в пределах их полномочий, что должно быть подтверждено соответствующим документом сертификатом. Что будет, если этого не сделать? ФСТЭК редко проводит ее в компаниях, а вот прокуратура вполне может осуществить. Что грозит компаниям, если при проверке выявится правонарушение: Уголовная ответственность по ст.
Сегодня Председатель Правительства поручил всем индустриальным центрам компетенций провести работу по выделению критических информационных систем и процессов с точки зрения устойчивости к вызовам и угрозам. Такую работу мы проведем, типовые объекты КИИ утвердим, посоветовавшись с отраслями, после чего должны будут появиться планы перехода, которые станут отображением матрицы: что мы должны поменять, почему, на что, когда и зачем. Работа для нас понятная, ведем ее вместе со всеми отраслями», — подчеркнул директор Департамента цифровых технологий Министерства промышленности и торговли России Владимир Дождев. В рамках дискуссии Евгений Абакумов рассказал про критерии доверенности ПАК, которые видятся важными для крупнейших заказчиков: «Нам важно знать, кто является производителем решения, как выстроены процессы их разработки.
Иногда бывают ситуации, когда часть приложений наших партнеров разрабатывается за границей. Этот вопрос мы должны контролировать в том числе».
Хранители профильных баз данных получат особый статус и дополнительные обязанности. Депутаты Госдумы РФ в третьем чтении приняли поправки в закон "О безопасности критической информационной инфраструктуры РФ". Его действие распространили на сферу регистрации сделок с недвижимостью. В среду, 5 июля, законопроект поступит на рассмотрение Совета Федерации РФ. Согласно документу, к субъектам критической информационной инфраструктуры КИИ теперь будут отнесены лица, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно—телекоммуникационные сети и автоматизированные системы управления, функционирующие в сфере государственной регистрации недвижимости. Например, есть системы, связанные со здравоохранением, транспортом, обороной, безопасностью.
Читайте также: Болтун — находка для хакера: нейросети стали помогать мошенникам "Государство заинтересовано в том, чтобы предотвращать компьютерные атаки и сбои в этих системах, так как они угрожают безопасности как страны, так и жизни граждан. У субъекта КИИ, то есть у организаций, которые к этим системам имеют отношение, есть ряд обязанностей. С недавних пор через ГосСОПКА передаются также и сведения об инцидентах, связанных с утечкой персональных данных", — объясняет он. По большому счёту закон не устанавливает большое количество обязанностей, но довольно чётко регламентирует взаимодействие государственных органов и субъектов КИИ.
ФСТЭК сообщила об увеличении категории значимости для более чем 40 объектов КИИ в 2023 году
В КоАП внесена ответственность за предоставление недостоверных сведений о категорировании объектов КИИ, а также утверждены правки в процедуру категорирования объектов КИИ и. Согласно данному закону, КИИ – это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. В решение для безопасности объектов критической информационной инфраструктуры (КИИ) мы объединили продукты Positive Technologies. Сегодня в отечественной индустрии разработки программных продуктов сложилась уникальная ситуация, когда практически все субъекты КИИ и разработчики прикладного ПО, планирующие. Для подключения субъекта КИИ к ГосСОПКА необходимо направить письменный запрос в ФСБ России по адресу: 107031, г. Москва, ул. Большая Лубянка д. 1/3.