Субъектам КИИ, выполняющим гособоронзаказ, теперь следует рассчитывать увеличение времени изготовления для единицы продукции. В 2022 году многие организации пересмотрели свои ИБ-бюджеты, в том числе субъекты критической информационной инфраструктуры (КИИ).
Обновлены проекты о переводе субъектов КИИ на отечественный софт
В союзе затраты на переход оценивают в 1 трлн рублей. Компании считают требования труднореализуемыми, а затраты — слишком высокими. IT-бизнес не согласен с расчетами и просит не откладывать принятие директивы. В чем суть готовящихся требований? Речь о том, чтобы предприятия, управляющие КИИ, при выборе софта или оборудования отдавали предпочтение российским продуктам, если таковые имеются. Сегодня доля отечественного ПО и оборудования на таких предприятиях меньше, чем доля импортного. Госкомпании начнут согласовывать приобретение зарубежного софта с Минцифры В требованиях Минцифры не указана доля российского ПО и оборудования, которая должна использоваться на предприятиях. На запрос ТАСС в пресс-службе ведомства уточнили: "При обосновании, в котором могут быть описаны все риски для бесперебойной, безопасной и эффективной работы объектов КИИ, субъект КИИ вправе продолжить использовать иностранное ПО, телекоммуникационное оборудование и радиоэлектронную продукцию.
Кто контролирует выполнение требований закона о безопасности КИИ? Постановление Правительства Российской Федерации от 17. При этом, основанием для проведения плановой проверки будет являться истечение 3 лет со дня: а внесения сведений об объекте КИИ в реестр значимых объектов критической информационной инфраструктуры; б окончания осуществления последней плановой проверки в отношении значимого объекта критической информационной инфраструктуры. Основаниями для внеплановых проверок являются: а истечение срока выполнения субъектом КИИ выданного предписания об устранении выявленного нарушения требований по обеспечению безопасности; б возникновение компьютерного инцидента на значимом объекте КИИ, повлекшего негативные последствия; в приказ органа государственного контроля, изданный в соответствии с поручением Президента РФ или Правительства РФ либо на основании требования прокурора об осуществлении внеплановой проверки.
При этом, основанием для проведения плановой проверки будет являться истечение 3 лет со дня: а внесения сведений об объекте КИИ в реестр значимых объектов критической информационной инфраструктуры; б окончания осуществления последней плановой проверки в отношении значимого объекта критической информационной инфраструктуры. Основаниями для внеплановых проверок являются: а истечение срока выполнения субъектом КИИ выданного предписания об устранении выявленного нарушения требований по обеспечению безопасности; б возникновение компьютерного инцидента на значимом объекте КИИ, повлекшего негативные последствия; в приказ органа государственного контроля, изданный в соответствии с поручением Президента РФ или Правительства РФ либо на основании требования прокурора об осуществлении внеплановой проверки. При этом ежегодный план проведения плановых проверок будет утверждаться до 20 декабря года, предшествующего году проведения плановых проверок, и выписка из плана проверок будет направляться субъектам КИИ в срок до 1 января года проведения данных проверок. Можно ли для защиты КИИ использовать несертифицированные средства?
Внеплановые проверки будут проводиться в случае: по истечению срока выполнения субъектом КИИ предписания об устранении выявленного нарушения; возникновения компьютерного инцидента, повлекшего негативные последствия; по поручению Президента РФ или Правительства РФ, либо на основании требования Прокуратуры РФ.
Если ФСТЭК выявит нарушение, будет выписано предписание с конкретным сроком устранения, который можно будет продлить по уважительным причинам, а вот в случаи с Прокуратурой РФ будет все сложнее, так как она придёт к вам уже с постановлением об административном правонарушении, ссылаясь на статью 19. И еще немного о мерах наказания, которые были введены за не соблюдение требований по обеспечению безопасности критической информационной структуры. Согласно Федеральному закону от 26. Пожалуй, весомый аргумент! В дальнейших статьях мы более подробно расскажем о каждом из этапов выполнения требований ФСТЭК в области обеспечения безопасности критической информационной инфраструктуры. Подписывайтесь на уведомления нашего сайте, присоединяйтесь к нам на Facebook и добавляйте в закладки блог. Мы пишем о том, что делаем!
Читайте также
- Почему нельзя откладывать внедрение безопасной разработки ПО?
- Список отраслей, относящихся к критической инфраструктуре
- Ваше сообщение отправлено
- Неделя кадровика в Казани
- Обновление подборки законодательства о КИИ на сентябрь 2023
- Как и кому необходимо подключаться к ГосСОПКА
К 2030 году субъекты КИИ в РФ полностью импортозаместят ПО и оборудование
Тем организациям, у которых есть значимые объекты КИИ, также надо соблюдать требования ФСТЭК по обеспечению их безопасности, выполнять предписания должностных лиц ФСТЭК об устранении нарушений в части соблюдения требований к обеспечению безопасности значимых объектов КИИ, что означает создать систему защиты и установить защитные решения. Решения "Лаборатории Касперского" защищают критические IT-инфраструктуры крупнейших российских банков, промышленных предприятий, федеральных органов власти и госкорпораций. В основе этих продуктов лежат передовые технологии многоуровневой защиты, многие из которых являются уникальными", - рассказал Алексей Киселев, менеджер по развитию бизнеса "Лаборатории Касперского". Какие есть решения Решения "Лаборатории Касперского" для КИИ помогают закрыть требования закона и обеспечить реальную безопасность организации. Для крупных корпораций и промышленных предприятий с развитой ИБ-экспертизой предназначен пул решений из уровня защиты Kaspersky Expert Security , состоящий из взаимосвязанных и взаимодополняющих друг друга компонентов. Благодаря тесной интеграции бизнес получает набор решений, удовлетворяющий требованиям регулирующих органов и повышающий устойчивость системы безопасности к новым и сложным угрозам.
Его центральный элемент - SIEM-система Kaspersky Unified Monitoring and Analysis Platform KUMA , которая предназначена для централизованного сбора, анализа и корреляции событий информационной безопасности из различных источников данных. Она предлагает единую консоль мониторинга, анализа и реагирования на киберугрозы. Рабочие места по-прежнему остаются основной мишенью злоумышленников и удобными точками входа при проведении кибератак. Поэтому важно в первую очередь начинать выстраивать свою передовую защиту с рабочих мест и серверов. Kaspersky EDR как раз позволяет защитить их, обеспечивая сбор, запись и хранение информации о событиях безопасности и обеспечивает централизованное расследование и реагирование на сложные кибератаки, направленные на инфраструктуру конечных точек.
По нашим оценкам, в среднем в мире ущерб для крупных предприятий превышает 1 миллион долларов.
Алексей Киселев. Фото: Пресс-служба "Лаборатории Касперского".
Тем организациям, у которых есть значимые объекты КИИ, также надо соблюдать требования ФСТЭК по обеспечению их безопасности, выполнять предписания должностных лиц ФСТЭК об устранении нарушений в части соблюдения требований к обеспечению безопасности значимых объектов КИИ, что означает создать систему защиты и установить защитные решения. Решения "Лаборатории Касперского" защищают критические IT-инфраструктуры крупнейших российских банков, промышленных предприятий, федеральных органов власти и госкорпораций. В основе этих продуктов лежат передовые технологии многоуровневой защиты, многие из которых являются уникальными", - рассказал Алексей Киселев, менеджер по развитию бизнеса "Лаборатории Касперского".
Какие есть решения Решения "Лаборатории Касперского" для КИИ помогают закрыть требования закона и обеспечить реальную безопасность организации. Для крупных корпораций и промышленных предприятий с развитой ИБ-экспертизой предназначен пул решений из уровня защиты Kaspersky Expert Security , состоящий из взаимосвязанных и взаимодополняющих друг друга компонентов. Благодаря тесной интеграции бизнес получает набор решений, удовлетворяющий требованиям регулирующих органов и повышающий устойчивость системы безопасности к новым и сложным угрозам.
Его центральный элемент - SIEM-система Kaspersky Unified Monitoring and Analysis Platform KUMA , которая предназначена для централизованного сбора, анализа и корреляции событий информационной безопасности из различных источников данных. Она предлагает единую консоль мониторинга, анализа и реагирования на киберугрозы. Рабочие места по-прежнему остаются основной мишенью злоумышленников и удобными точками входа при проведении кибератак.
Поэтому важно в первую очередь начинать выстраивать свою передовую защиту с рабочих мест и серверов.
И тогда защита персональных данных станет сбалансированной. С пониманием того, что утечка персональных данных одного субъекта грозит компенсацией в таком-то размере, ситуация сразу нормализуется.
Возникает конкретный финансовый риск организации — не нарушение, которое регулятор, может быть, не заметит, не штраф 75000 рублей, который не так уж велик для крупных организаций, а реальный финансовый риск, даже если это — 10 рублей за одну запись. Десять рублей — это условная сумма: конечно, если человеку в результате утечки придется менять паспорт, то мы говорим про совсем иные суммы компенсаций. Мой прогноз — так или иначе мы к этому придем.
На «SOC-Форуме» один из выступающих сказал, что это — гражданские отношения, сами субъекты персональных данных должны эту ответственность где-то прописать. Но это — не работающее право. Если ты придешь в страховую и скажешь: «Я не буду с вами договор страхования заключать, если вы мне не гарантируете, что в случае утечки моих персональных данных вы мне заплатите 3000 рублей», то на тебя посмотрят как на идиота.
Точно так же, как если бы до 2006 года кто-то начал «качать права», что это — мои персональные данные, давайте я вам напишу список, как вы должны их охранять. Так не будет работать. Порядок нужно доверить государству, а государству — брать это всё в свои руки и регламентировать эти вопросы.
Если говорить об утечке биометрических данных — что человек будет делать? Он же не может пальцы или лицо заменить? Ответственность той организации, которая защищает биометрические данные, должна быть в разы выше?
Но если украден рисунок радужной оболочки глаза, то человек по сути теряет возможность такой идентификации. И для него это начинает быть проблемой: ему нужно удалить это отовсюду, где он им пользовался, и в дальнейшем этого не применять. Для человека это — потери, и это тоже можно посчитать в деньгах.
Если речь — про отпечаток пальца, то придется пользоваться не привычным, а остальными. И это — тоже некое неудобство, которое можно также просчитать. Такая схема касается персональных данных, там ситуация является классической в смысле триады «конфиденциальность, целостность, доступность».
Когда мы говорим о следующем объекте регулирования — критической информационной инфраструктуре, — там эта триада уже эффективно не работает. Там мы говорим о безопасности киберфизических систем, там о конфиденциальности этих данных мало кто беспокоится, всех волнует то, чтобы резервуар с какими-то химикатами не лопнул из-за избыточного давления и ядовитое облако не накрыло город. Тут ситуация несколько меняется: это — риски не ИБ, не нарушения конфиденциальности, и нет процесса передачи информации какому-то оператору, как в случае с персональными данными.
Есть много сторон, заинтересованных в том, чтобы эти последствия не наступили: чтобы отопление продолжало поступать в дома, чтобы работало электричество и никого не накрывало ядовитыми облаками. Но схема — примерно та же самая: те риски, которые видит для себя промышленное предприятие, химпредприятие, медицинское учреждение, транспортное, и те риски, которые могут возникнуть вне самого предприятия, но из-за проблем у них — разные. И мы можем предполагать, что эту внутреннюю оценку рисков предприятия для себя сделали.
Но последствия для других они точно при этой оценке не рассматривали. На SOC-Форуме Виталий Лютиков в одном из вопросов очень эмоционально сказал, что сообщество информационной безопасности оказалось не готово работать с внешней моделью рисков, которая заложена в 187-ФЗ. Все эти риски, на его взгляд, оказались непонятными.
Потому что все «крутились» внутри. Если у тебя что-то происходит — простой производства, взорвался резервуар с химикатами, еще что-либо, — то, наверное, ты можешь посчитать, сколько на территории твоего предприятия займет нейтрализация последствий. Может, вообще ничего не потребуется и облако просто унесет на город, само предприятие никак не пострадает: все противогазы надели, полчаса посидели и сняли.
Единственное, что есть — это поврежденный резервуар; вероятность того, что это случится из-за каких-то киберпроблем, крайне низка. Поэтому защитные мероприятия — не очень то и серьезные. Но облако пошло в сторону города, его накрыло, и будем надеяться, что никто не умер.
И этот риск — это не полчаса посидеть в противогазе. До принятия закона его никто не оценивал. Сейчас «нормативка» по ФЗ-187 расширяет и формализует имеющуюся оценку рисков.
Если кто-то делал оценку рисков умозрительно, ему это непривычно. Если как-то пытался формализовать — с калькулятором, Excel или еще чем-то, — то ему всё равно непривычно, потому что он оценивал внутренние риски для своей организации. А об экологии, жизни и здоровье граждан никто не заботился.
Но и ждать от организаций, что они сами будут расширять оценку рисков, было бы странно. Особенность защиты технологических сетей состоит в том, что инцидентов не очень много — публичными являются всего несколько в год по всему миру. И внутренняя оценка рисков из-за этого страдает — нет правильной оценки риска возникновения инцидента, он воспринимается как маловероятный.
И это накладывает свой отпечаток. Когда со сцены «SOC-Форума» звучало, что, мол, как же вы, ребята, не выполняете требования закона, не защищаете себя самих — это некорректно. Самих себя субъекты КИИ как владельцы информации, информационных систем или киберфизических систем как-то защищают, причем, скорее всего, вполне адекватно.
Внутренняя модель рисков работает. Поэтому закон именно расширяет охват, заставляет защищать от последствий не столько себя самого, сколько остальных. Понятно, что если реализовать требования закона и подзаконных актов, более защищенным станет именно объект КИИ — он будет менее подвержен тому спектру угроз, который там прописан.
Чтобы производители отвечали на запрос потребителей, а заказчики в свою очередь могли выстроить приоритизацию перехода на отечественные решения. По мнению участников Ассоциации, в целях гармонизации действующего законодательства целесообразно утвердить ключевой нормативный правовой акт, в котором будут закреплены основополагающие принципы, понятийный аппарат, критерии определения технологической независимости и доверенности в сфере КИИ и другое», — рассказала Рената Абдулина. Кроме того, представители крупнейших компаний страны озвучили запрос на информационное и консультационное сопровождение процессов импортозамещения на объектах КИИ для получения компетентных разъяснений, например, как трактовать пункты нормативных актов или как применять методические рекомендации. Сегодня Председатель Правительства поручил всем индустриальным центрам компетенций провести работу по выделению критических информационных систем и процессов, с точки зрения устойчивости к вызовам и угрозам, связанным с не утратой контроля за теми инструментами, которые мы у себя применяем.
Такую работу мы проведем, типовые объекты КИИ утвердим, посоветовавшись с отраслями, после чего должны будут появиться планы перехода, которые станут отображением матрицы: что мы должны поменять, почему, на что, когда и зачем. Работа для нас понятная, ведем ее вместе со всеми отраслями», — рассказал директор Департамента цифровых технологий Министерства промышленности и торговли России Владимир Дождев. Вице-президент Транснефти Андрей Бадалов высказал обеспокоенность большим количеством отчетных показателей по импортозамещению. При этом ключевыми показателями должны стать безопасность и непрерывность работы и это в прямом смысле не эквивалентно просто импортозамещению.
Важно выбрать такие отечественные решения, которые обеспечат более высокий уровень безопасности КИИ, чем импортные. Делать это надо, сохраняя устойчивость КИИ.
Закон о безопасности КИИ в вопросах и ответах
Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры. Что является целью Закона и как он должен работать? Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ при проведении в отношении нее компьютерных атак. Одним из главных принципов обеспечения безопасности является предотвращение компьютерных атак.
Какие организации попадают в сферу действия Закона? Требования Закона затрагивают те организации государственные органы и учреждения, юридические лица и индивидуальных предпринимателей , которым принадлежат на праве собственности, аренды или ином законном основании объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в Законе называются субъектами КИИ.
Какие действия должны предпринять субъекты КИИ для выполнения Закона? Согласно закону, субъекты КИИ должны: провести категорирование объектов КИИ; обеспечить интеграцию встраивание в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации ГосСОПКА ; принять организационные и технические меры по обеспечению безопасности объектов КИИ. Что подлежит категорированию?
Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и или иные процессы в рамках выполнения функций полномочий или осуществления видов деятельности субъектов КИИ. Что в себя включает категорирование объектов КИИ? Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей.
Обеспечение прослеживаемости. Суть процесса заключается в том, чтобы функциональную спецификацию ПО можно было проследить до конкретных блоков функций, которые их реализуют. Это упрощает контроль недекларированных возможностей в ходе реализации проекта ПО и внесения в него изменений. Статический анализ кода без его исполнения.
Это уже техническая мера, и она требует внедрения специального инструмента — статического анализатора кода. По результатам анализа нескольких проверок безопасности статическим анализатором проекта ПО необходимо провести так называемую «разметку»: сопоставить выявленные ошибки и предупреждения с тем, являются ли они на самом деле недостатками ПО. Также в правила статического анализатора можно добавить необходимую стилистику оформления исходного кода, которая принята в проекте. При каком-либо отступлении от нее разработчику необходимо будет в комментариях указывать причину.
Динамический анализ кода с его исполнением. В простейшем случае динамический анализ кода проводится в виде ряда тестов: модульного, регрессионного и системного. Модульные тесты разрабатываются на те функции, которые принимают входные значения из внешних данных то есть составляют поверхность атаки. В ходе инструментирования кода счетчиками ошибок санитайзерами и отладочными аллокаторами необходимо провести автоматизированный запуск этих тестов, собрать тестовое покрытие и проанализировать результаты.
На основании результатов можно в том числе увидеть участки кода, которые в ходе выполнения не были задействованы, а значит, требуют дополнительного внимания. К примеру, они могут быть проверены на отсутствие недекларированных возможностей в ручном режиме. Фаззинг-тестирование с его исполнением. Для данного процесса необходимо разработать специальные функции либо наборы входных данных методами «мутационного» или «генерационного» фаззинга , которые подаются на вход тех же самых функций, составляющих поверхность атаки.
Так как данный процесс является довольно долгим и может вызвать ряд затруднений, специалисты нашей организация, готовы помочь вам с проведением всех необходимых мероприятий, связанных с КИИ, от выделения объектов КИИ до получения уведомления во ФСТЭК, что вы являетесь объектом КИИ. Ознакомьтесь так же с нашей презентацией, посвященной Критической Информационной Инфраструктуре. По итогу мероприятий по КИИ, вы сможете не бояться проверки регуляторов и быть уверенны, что ваша критическая инфраструктура находится под защитой.
С 21 марта 2023 года вступают в силу требования постановления Правительства N 2360 новая редакция постановления Правительства N 127 по использованию перечней типовых отраслевых объектов КИИ, мониторингу подведомственных субъектов КИИ, информированию ФСТЭК о нарушениях подведомственных субъектов КИИ, а также по изменению состава показателей критериев значимости. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в ФСТЭК.
Дата-центры и Закон о КИИ: разбираем нюансы
В 2022 году многие организации пересмотрели свои ИБ-бюджеты, в том числе субъекты критической информационной инфраструктуры (КИИ). В решение для безопасности объектов критической информационной инфраструктуры (КИИ) мы объединили продукты Positive Technologies. субъекты КИИ) на принадлежащих им значимых объектах не.
Новые требования для субъектов КИИ: Безопасная разработка прикладного ПО
Федеральный закон принят Государственной Думой 28 июня 2023 года и одобрен Советом Федерации 5 июля 2023 года. Опубликован 10 июля. Ранее «Телеспутник» писал , что правительство в ближайшее время разработает нормативное определение программно-аппаратного комплекса и представит стандарт для оборудования в сфере критической информационной инфраструктуры.
Финансовым организациям в этом списке следует обратить внимание на III раздел «Экономическая значимость». Хотя в тексте есть детали, которые особенно важно не пропустить. Например, в п. Возникает вопрос: нужно ли учитывать суммы клиентских переводов, которые не дошли до бюджета по причине временной недоступности банковской инфраструктуры, обеспечивающей перевод? Отвечаем: нет, при расчете показателя оцениваются только выплаты, осуществляемые субъектом КИИ, которые оказались меньше ожидаемых из-за какого-то инцидента.
Есть и другие подобные вопросы — будем рады помочь компаниям разобраться со всеми трудностями, обращайтесь». Защита объектов КИИ В другом письме Центробанка, которое пришло участникам рынка в феврале, регулятор напоминает кредитным организациям, что если под их управлением находятся значимые объекты КИИ, то им необходимо привести систему безопасности в соответствие обновлённому законодательству в том числе, для них становятся актуальными требования Указа Президента РФ от 01.
Также спикер обратил внимание на необходимость введения конкретных требований к понятию безопасная разработка. И ответственность подрядчиков за соблюдение данных требований по безопасности, чтобы крупнейшие потребители не несли дополнительных затрат для исправления ситуации. Директор по информационным технологиям Госкорпорации «Росатом» Евгений Абакумов рассказал про критерии доверенности ПАК, которые видятся важными для крупнейших заказчиков: «Нам важно знать, кто является производителем решения, как выстроены процессы их разработки. Иногда бывают ситуации, когда часть приложений наших партнеров разрабатываются за границей. Этот вопрос мы должны контролировать в том числе».
Среди требований к производителю и разработчику: собственная сеть сервисных центров на территории РФ; наличие прав на документацию, технологию, патентов и исключительных прав на ПО; поддержка продукта на протяжении всего жизненного цикла. Также отдельно Евгений Абакумов остановился на требованиях к аппаратному и программному обеспечению ПАК. Старший вице-президент по информационным технологиям Ростелекома Кирилл Меньшов акцентировал внимание на предназначении ПАКов: «Мне кажется, что решить вопрос ПАКов без понимания того, что они из себя представляют — невозможно. Они появились для специализированных задач, которые нельзя решить с помощью универсальных серверов. Поэтому ПАКи между собой различаются радикально.
При этом ключевыми показателями должны стать безопасность и непрерывность работы и это в прямом смысле не эквивалентно просто импортозамещению. Важно выбрать такие отечественные решения, которые обеспечат более высокий уровень безопасности КИИ, чем импортные. Делать это надо, сохраняя устойчивость КИИ. Мы многое будем делать впервые и важно в этом вопросе не торопиться. Решения не просто должны заработать, но и обеспечить в компаниях непрерывность и безопасность их производственных процессов.
Мы понимаем, что иногда запрашиваем большое количество информации по различным вопросам, связанным с объектами КИИ, однако, эта детализация необходима, чтобы в том числе понимать в каких областях есть сложности и где требуется скорректировать подходы. Директор дирекции информационных технологий, автоматизации и телекоммуникаций «Газпром нефти» Антон Думин поднял вопрос неоднозначного толкования понятийного аппарата в нормативной базе: Не всегда однозначно трактуются термины, которые применяются, например, такие как «программно-аппаратные комплексы» или что означает понятие «импортозаместить» внутри КИИ. Хотелось бы, чтобы мы выстраивали понятийный аппарат, учитывая, как будут реализовываться намеченные планы в горизонте десяти лет, а не двух. Эти циклы всегда более длинные и мы должны понимать, как будем двигаться, в том числе по таким направлениям, как восполнение кадрового потенциала или производство и эксплуатация радиоэлектроники. Генеральный директор холдинга Т1 Игорь Калганов также поддержал необходимость создания общего стратегического документа в сфере КИИ и единого глоссария: Когда мы придем к единому пониманию и найдем методы, при которых заказчики будут хотеть признавать себя КИИ, нам всем станет гораздо проще взаимодействовать и договариваться. Начальник Департамента информатизации РЖД Кирилл Семион высказал предложение разделить понятие безопасности и требований, которые предъявляются к КИИ: Отсутствие импортозависимых компонентов в КИИ не всегда является достаточным, чтобы обеспечить их безопасность. Также спикер обратил внимание на необходимость введения конкретных требований к понятию безопасная разработка.
ВсеПрофи24
После осознания руководством предприятия принадлежности к субъектам КИИ, необходимо создать внутреннюю комиссию по категорированию. Правительство РФ внесло в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры (КИИ) в России на отечественное программное обеспечение. Современные вызовы КИИ российской промышленности», сообщает пресс-служба Ассоциация КП ПОО.
Обзор законодательства РФ о критической информационной инфраструктуре
Современные вызовы КИИ российской промышленности», сообщает пресс-служба Ассоциация КП ПОО. Субъектами КИИ являются государственные органы, а также госучреждения, российские юридические лица или индивидуальные предприниматели. Категорирование объектов КИИ проведение работ всех категорий от здравоохранения до МО. До 2025 года субъекты КИИ обязали перейти на всё отечественное. Субъектами КИИ являются государственные органы, а также госучреждения, российские юридические лица или индивидуальные предприниматели. О порядке перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ (ПП РФ 1912).
Минцифры разрабатывает документ, по которому субъектов телевещания признают объектами КИИ
- Импортозамещение ПО для критической информационной инфраструктуры
- Обновление подборки законодательства о КИИ на сентябрь 2023
- Механизм исключений
- Переход бизнеса на российский софт. Зачем он нужен и какие споры вызывает - ТАСС
- Что говорят владельцы объектов КИИ
Переход критической инфраструктуры на отечественный софт и программно-аппаратные комплексы
Короче говоря, объекты КИИ — это информационные системы, принадлежащие субъектам КИИ и помогающие в выполнении критических процессов. Правительство РФ утвердило для субъектов КИИ порядок перехода на использование доверенных ПАК, соответствующих специальным требованиям. Президент России Владимир Путин подписал закон о расширении перечня субъектов критической информационной инфраструктуры. Субъекты критической информационной инфраструктуры (КИИ) должны предоставлять во ФСТЭК сведения в том числе о программных, программно-аппаратных средствах, а также.