Таким образом, закон предусматривает два вида субъектов КИИ — владельцы объектов КИИ и координаторы взаимодействия этих объектов. Сегодня в отечественной индустрии разработки программных продуктов сложилась уникальная ситуация, когда практически все субъекты КИИ и разработчики прикладного ПО, планирующие. Новости законодательства.
Подписан закон об изменении перечня субъектов критической информационной инфраструктуры
Но есть механизм исключения, позволяющий использовать иностранные софт и железо при отсутствии российских аналогов. Новое постановление правительства С 1 сентября 2024 г. С 1 сентября 2024 г. До 1 января 2030 г. По версии документа ПАК — это радиоэлектронная продукция, в том числе телекоммуникационное оборудование , программное обеспечение ПО и технические средства, работающие совместно для выполнения одной или нескольких сходных задач.
Например: операторы сотовой связи, организации, передающие или продающие электроэнергию, биржи, больницы, клиники и поликлиники, научно-исследовательские институты. Объектами КИИ являются: информационные системы как «1С: Предприятие» и подобные ; информационно-телекоммуникационные сети например, локальные сети организаций ; автоматизированные системы управления например, система пожарной сигнализации и т. Кроме этого, различают значимые объекты КИИ. Им присваивается одна из категорий значимости, а сведения о них вносятся в соответствующий реестр. Процесс категорирования регламентируется Правилами категорирования объектов КИИ и включает несколько этапов: Создание руководителем предприятия комиссии по категорированию и утверждение плана по реализации ФЗ «О безопасности критической информационной инфраструктуры РФ». Это необходимо было реализовать до 10 июня 2018 года.
Можно сделать вывод, что к ГосСОПКА может подключиться любая организация или орган государственной власти, осуществляющие обнаружение, предупреждение, ликвидацию последствий атак и реагирование на инциденты. Это могут быть как организации-лицензиаты, создающие центры для оказания услуг сторонним компаниям, так и организации, строящие центр для собственных нужд. Москва, ул. Большая Лубянка д. В запросе необходимо изложить сферы деятельности субъекта КИИ, перечень информационных ресурсов, включенных в зону ответственности субъекта, контактные данные руководителя и лиц, ответственных за взаимодействие. Для обмена информацией об инцидентах через техническую инфраструктуру необходимо организовать канал защищенного межсетевого взаимодействия, решить организационные вопросы по определению зоны ответственности, и подключить организацию к технической инфраструктуре НКЦКИ под определенной учетной записью. При создании центра необходимо руководствоваться документами ФСБ России, которые определяют требования к организациям и методическую основу деятельности таких центров.
Установлено, что данная киберкампания была запущена 28 марта; мобильного трояна вначале выдавали за софт для защиты от спама. По состоянию на 24 апреля зловреда детектируют 16 из 65 антивирусов коллекции VirusTotal. Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Сроки категорирования объектов КИИ
- Hормативные акты по КИИ
- Связаться с нами
- Telegram: Contact @fstecru
- Услуги и сервисы
ФСТЭК сообщила об увеличении категории значимости для более чем 40 объектов КИИ в 2023 году
Комиссия по категорированию объектов критической инфраструктуры КИИ занимается определением и классификацией объектов, которые имеют важное значение для функционирования общества и государства. Эти объекты могут включать в себя системы энергетики, транспорта, информационные технологии, связь, водоснабжение, здравоохранение и другие. Категоризация помогает установить приоритеты в области обеспечения безопасности и защиты таких объектов.
Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов внесения изменений в перечень объектов. Перечень объектов в течение 10 рабочих дней после утверждения направляется в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры. В перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Допускается оформление единого акта по результатам категорирования нескольких объектов критической информационной инфраструктуры, принадлежащих одному субъекту критической информационной инфраструктуры. Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта критической информационной инфраструктуры. Субъект критической информационной инфраструктуры обеспечивает хранение акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости.
Субъект критической информационной инфраструктуры в течение 10 рабочих дней со дня утверждения акта, указанного в пункте 16 настоящих Правил, направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Сведения, указанные в пункте 17 настоящих Правил, и их содержание направляются в печатном и электронном виде по форме , утверждаемой федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры. По вновь создаваемым объектам критической информационной инфраструктуры сведения, указанные в подпунктах "а" - "в" и "з" пункта 17 настоящих Правил, направляются в течение 10 рабочих дней после утверждения требований к создаваемому объекту критической информационной инфраструктуры, а сведения, указанные в подпунктах "г" - "ж" и "и" пункта 17 настоящих Правил, - в течение 10 рабочих дней после ввода объекта критической информационной инфраструктуры в эксплуатацию принятия на снабжение. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, проверяет сведения о результатах присвоения категорий значимости в порядке, предусмотренном частями 6 - 8 статьи 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".
Для соответствия требованиям необходимо не просто разработать или актуализировать пакет документов, регламентирующий работу с КИИ, но и ознакомить с ним всех ответственных сотрудников. Сами сотрудники, непосредственно отвечающие за обеспечение безопасности объектов КИИ, а не только руководители, должны регулярно повышать свою квалификацию, чтобы быть подготовленными к актуальным угрозам и противодействовать злоумышленникам, число и уровень которых постоянно растет. В частности, по-прежнему в разработке находятся Методики оценки показателей критериев экономической значимости объектов КИИ РФ, социальной значимости, по работе комиссий по категорированию объектов КИИ. Если у компании не хватает ресурсов для подготовки к проверке регулятора, рекомендуем обратиться за помощью к специалистам.
Согласно Положению, на сайте Минцифры России будет вестись учет объектов контроля в виде постоянно обновляемого реестра. При осуществлении государственного контроля применяется уже известная система оценки и управления рисками причинения вреда охраняемым законом ценностям. Минцифры России при планировании контрольных мероприятий оценивает объекты контроля по трем уровням риска в соответствии с приложением к Положению: высокий — проверка 1 раз в 2 года; средний — 1 раз в 2,5 года; низкий — не установлена периодичность. При проведении контрольных мероприятий допускается фото-, видеосъемка, аудиозапись для фиксации свидетельств выявленных нарушений при этом требуется фиксировать факт нарушения не менее чем 2 снимками. Указанные материалы являются приложением к Акту о результатах контрольного надзорного мероприятия. Положение вступает в силу с 1 июня 2023 года. Аккредитация владельцев и операторов Официально опубликовано постановление Правительства Российской Федерации от 28. Постановлением утверждены требования к владельцам и операторам информационных систем, обеспечивающих аутентификацию физических лиц. Требования включают в том числе: необходимость владения шифровальными средствами и лицензии на деятельность по разработке, производству, распространению шифровальных криптографических средств последнее актуально для операторов ; наличие в штате не менее 2 работников, осуществляющих эксплуатацию указанных информационных систем; обязательное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации ГосСОПКА ; использование для аутентификации программного обеспечения, входящего в единый реестр российского программного обеспечения ; использование для обработки биометрических ПДн векторов ЕБС, находящихся только на территории Российской Федерации; для операторов — обязательность выполнения требований по обеспечению безопасности информации в соответствии с ч.
Постановление также утверждает Правила осуществления аккредитации для владельцев и операторов информационных систем, обеспечивающих аутентификацию физических лиц. Согласно Правилам, аккредитация проводится Минцифры России. Правила включают порядок подачи и рассмотрения заявления на аккредитацию, содержание такого заявления, сроки мероприятий в рамках получения аккредитации, основания для приостановления и прекращения действия аккредитации, внесения изменений в перечень аккредитованных органов, а также порядок обжалования полученных решений. Постановление вступает в силу с 1 июня 2023 года и действует до 1 июня 2029 года. Электронные документы, удостоверяющие личность Для общественного обсуждения представлен проект Указа Президента Российской Федерации «О предъявлении документов с использованием информационных технологий». Общественное обсуждение проекта завершилось 27 апреля, по итогам обсуждения опубликована версия, доработанная в соответствии с поступившими предложениями. Согласно проекту, предъявление сведений из документов, удостоверяющих личность, размещенных в мобильном приложении федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг» Госуслуги будет приравниваться к предъявлению оригинала таких документов. Использование мобильного приложения для указанных целей осуществляется гражданами добровольно. Согласно проекту, Президент РФ постановляет Правительству РФ определить порядок и условия применения мобильного приложения, а также состав и порядок обработки и защиты предъявляемых сведений.
При этом для использования мобильного приложения необходимо применять шифровальные криптографические средства защиты, указанные в ч1.
Закон о безопасности КИИ в вопросах и ответах
О критической информационной инфраструктуре КИИ О критической информационной инфраструктуре КИИ В последнее время все большее внимание уделяется стратегически важным для государства областям, таким как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, а также области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности далее — ключевые отрасли. Информационные сети и системы указанных отраслей все чаще становятся объектом для кибератак, которые проводятся и или спонсируются не только согражданами, но и представителями других государств. Их целью является похищение ценных сведений и новейших разработок, а иногда вывод из строя атакуемых систем сетей и даже диверсии. Именно по этой причине принятие мер по защите информации ключевых отраслей находится под строгим контролем уполномоченных органов государственной власти. Основным нормативным правовым документом, регулирующим взаимодействие различных субъектов в сфере критической информационной инфраструктуры, выступает Федеральный закон от 26.
Заметим, уловка не нова, такое же прикрытие в начале года использовал MetaStealer. Для верности жертву в заключение еще раз проводят по тому же кругу, но уже в другом домене — n0wpay[. Выбор хостинга для Android-трояна, по словам аналитиков, необычен: это украинский сервис Ucoz, а не российский или европейский дата-центр, которым отдают предпочтение фишеры рунета.
Работа осуществляется в фоновом режиме, через 10 секунд после старта иконка исчезает из списка приложений.
Третий этап - разработать мероприятия по взаимодействию с ФСБ России. Это относится к субъектам КИИ как с значимыми, так и с незначимыми объектами КИИ, так как организация должна обеспечить соответствие 9 статьи ФЗ-187 часть 2 , в частности, незамедлительно информировать о компьютерных инцидентах федеральные органы исполнительной власти.
На этом этапе разрабатывается и утверждается регламент информирования НКЦКИ об инцидентах, также организация подключается к технической инфраструктуре НКЦКИ при выборе этого способа информирования. Алексей Киселев. Фото: Пресс-служба "Лаборатории Касперского".
Тем организациям, у которых есть значимые объекты КИИ, также надо соблюдать требования ФСТЭК по обеспечению их безопасности, выполнять предписания должностных лиц ФСТЭК об устранении нарушений в части соблюдения требований к обеспечению безопасности значимых объектов КИИ, что означает создать систему защиты и установить защитные решения. Решения "Лаборатории Касперского" защищают критические IT-инфраструктуры крупнейших российских банков, промышленных предприятий, федеральных органов власти и госкорпораций. В основе этих продуктов лежат передовые технологии многоуровневой защиты, многие из которых являются уникальными", - рассказал Алексей Киселев, менеджер по развитию бизнеса "Лаборатории Касперского".
Какие есть решения Решения "Лаборатории Касперского" для КИИ помогают закрыть требования закона и обеспечить реальную безопасность организации. Для крупных корпораций и промышленных предприятий с развитой ИБ-экспертизой предназначен пул решений из уровня защиты Kaspersky Expert Security , состоящий из взаимосвязанных и взаимодополняющих друг друга компонентов. Благодаря тесной интеграции бизнес получает набор решений, удовлетворяющий требованиям регулирующих органов и повышающий устойчивость системы безопасности к новым и сложным угрозам.
Его центральный элемент - SIEM-система Kaspersky Unified Monitoring and Analysis Platform KUMA , которая предназначена для централизованного сбора, анализа и корреляции событий информационной безопасности из различных источников данных.
Например, 1 мая 2022 года был принят указ президента, по которому субъекты КИИ, относящиеся к государственным или связанным с государством, должны выполнять ряд дополнительных действий. Например, назначать ответственное лицо, которое должно следить за компьютерными инцидентами, предоставлять доступ к своим системам сотрудникам ФСБ.
Эти требования устанавливались на фоне многочисленных компьютерных атак, с которыми столкнулись многие российские организации и государственные органы", — добавляет Максим Али. Экономика, экология и оборона Анна Сарбукова, ведущий юрисконсульт практики интеллектуальной собственности юридической компании ЭБР, обращает внимание, что сейчас субъектами КИИ являются организации очень во многих сферах: здравоохранения, транспорта, связи, энергетики, банковской деятельности и финансового рынка, топливно—энергетического комплекса, атомной энергии, оборонной и ракетно—космической. Кроме того, к ним относятся информационные системы, информационно—телекоммуникационные сети и автоматизированные системы управления, а также российские юридические лица и индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Юрист, экономист, член комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций Павел Катков добавляет, что объекты КИИ категорируются исходя из их социальной значимости и величины возможного ущерба интересам России в вопросах внутренней и внешней политики; экономической значимости и возможного причинения прямого и косвенного ущерба бюджетам страны; экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду. А также значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка. В зависимости от этого объектам присваивается категория — первая, вторая или третья.
Для узкого круга лиц Все опрошенные юристы отмечают, что новые поправки не имеют никакого отношения к закрытию Единого государственного реестра недвижимости, которое произошло в июле 2022 года. В результате стало невозможным просто так получить выписку из ЕГРН.
Новые требования для “железа” и иностранного ПО для субъектов КИИ
Процесс категорирования объектов КИИ проводится внутренней комиссией по категорированию субъекта КИИ, в результате чего формируется список объектов КИИ с категориями значимости. Значимые субъекты КИИ должны перейти к использованию доверенных программно-аппаратных комплексов на своих объектах до 1 января 2030 года. Построение системы безопасности КИИ по выгодной цене в Москве и на всей территории РФ: обеспечение защиты субъектов и объектов критической информационной инфраструктуры.
Другие материалы
- Информационное сообщение ФСТЭК России от 28 апреля 2023 г. N 240/82/818
- Треть российских компаний увеличивает бюджет на безопасность - SearchInform
- Правила перехода субъектов КИИ к эксплуатации ПАК
- Категорирование КИИ
- Что является целью Закона и как он должен работать?
- ПП РФ 1912 от 14.11.2023 - Обзор. Блог Альтирикс Групп.
Переход критической инфраструктуры на отечественный софт и программно-аппаратные комплексы
В Госдуму внесен законопроект Минцифры о переходе субъектов критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение и радиоэлектронную. в) работники субъекта КИИ, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры. Таким образом, закон предусматривает два вида субъектов КИИ — владельцы объектов КИИ и координаторы взаимодействия этих объектов.
Обновлены проекты о переводе субъектов КИИ на отечественный софт
субъекты КИИ) на принадлежащих им значимых объектах не. Современные вызовы КИИ российской промышленности». нарушить правила обмена информацией об инцидентах (в частности, между субъектами КИИ). Что важно делать всем субъектам КИИ, и кто такие субъекты вообще. Категорирование субъектов КИИ осуществляется на основе критериев значимости и показателей их значений, а также соблюдением установленного порядка. Методические рекомендации по категорированию объектов КИИ Порядок принятия решения о признании организации субъектом КИИ.
Новое в Каталоге Энергетика.RU
- Субъекты КИИ перейдут на российский софт к 2030 году
- Пример категорирования объекта КИИ
- Связаться с нами
- Что такое КИИ?
- Категорирование объектов КИИ, ФСТЭК, примеры, акты
- ФСТЭК России проводит проверки субъектов КИИ
Новые требования для субъектов КИИ: безопасная разработка прикладного ПО
Категорирование субъектов КИИ осуществляется на основе критериев значимости и показателей их значений, а также соблюдением установленного порядка. Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. О порядке перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ (ПП РФ 1912). Также вспомним определение объекта КИИ, приведенное в 187-ФЗ, согласно которому объектами КИИ является некое множество ИС/ИТ/АСУ, принадлежащих субъекту КИИ.