Что важно делать всем субъектам КИИ, и кто такие субъекты вообще.
Что такое КИИ?
Что предпринять? Определить, являетесь ли вы субъектом КИИ Сверить состав кодов ОКВЭД и лицензий и иных разрешительных документов, выданных организации, с составом сфер деятельности, приведенным в п. Сформировать Комиссию по категорированию Комиссия по категорированию создается приказом руководителя субъекта КИИ. Требования к составу комиссии приведены в п.
Чем дольше она откладывает переход, тем сложнее будет уложиться в срок. Но даже если абстрагироваться от требований законодательства, такие организации сейчас подвергаются гораздо большему риску, чем им кажется, рассчитывая на собственную внутреннюю ИТ-экспертизу. Одно из следствий ухода зарубежных вендоров с российского рынка и отсутствия техподдержки и обновлений — это накопление багов и уязвимостей в программном обеспечении, создающее удобное поле для кибератак.
Трудности импортозамещения ПО По данным экспертов в России насчитывается порядка 300 тысяч объектов КИИ, поэтому жесткие требования импортозамещения программного обеспечения в нашей стране действительно являются критически важными. При этом, несмотря на то, что ответственные лица почти в каждой организации имеют KPI по импортозамещению, вопрос о невозможности уложиться в срок до 2025 года остается актуальным. В чем же проблема? Главный барьер на пути к замещению импортного программного обеспечения — отсутствие полных аналогов на российском ИТ-рынке. Еще сложнее дело обстоит с целыми экосистемами, основанными на импортных решениях: в этом случае создание полного стека отечественных технологий может потребовать нескольких лет. Пока что выходом является комбинирование нескольких продуктов для обеспечения компании необходимым функционалом.
Согласно документу, речь идёт о переходе на преимущественное использование отечественных программ для электронных вычислительных машин ЭВМ , а также баз данных и радиоэлектронной продукции. Если закон будет принят, то он вступит в силу с 1 марта следующего года. Субъекты критической информационной инфраструктуры КИИ — государственные органы и учреждения, а также компании и индивидуальные предприниматели ИП , которым принадлежат информационные системы, телекоммуникационные сети, а также автоматизированные системы управления, работающие в области здравоохранения, науки, транспорта, связи, энергетики и многих других сферах.
От результатов категорирования зависят дальнейшие работы в области информационной безопасности. Комиссия по категорированию объектов критической инфраструктуры КИИ занимается определением и классификацией объектов, которые имеют важное значение для функционирования общества и государства. Эти объекты могут включать в себя системы энергетики, транспорта, информационные технологии, связь, водоснабжение, здравоохранение и другие. Категоризация помогает установить приоритеты в области обеспечения безопасности и защиты таких объектов.
Вопрос-ответ
| Обновление подборки законодательства о КИИ на сентябрь 2023 | | Права и обязанности субъектов КИИ, реестр значимых объектов (ЗО) КИИ, надзорная деятельность регулятора. |
| 24 ИЮНЯ 2024 БЕЗОПАСНОСТЬ ОБЪЕКТОВ КИИ: АКТУАЛЬНЫЕ ВОПРОСЫ СОБЛЮДЕНИЯ ПРАВИЛ 187-ФЗ — ВсеПрофи24 | Понять, что такое объекты критической инфраструктуры, предельно просто — это элементы ИТ-инфраструктуры компаний, попадающих под определение субъектов КИИ. |
Переход критической инфраструктуры на отечественный софт и программно-аппаратные комплексы
Этот момент вызывает отдельные споры: одна из главных просьб бизнеса — не налагать обязательства по импортозамещению на КИИ третьей категории. Какие аргументы против у российского бизнеса? В письме РСПП, выдержки из которого опубликованы в РБК , приводятся следующие аргументы против готовящейся директивы: Переход предприятий, управляющих КИИ, на российское ПО и оборудование потребует существенные затраты, что приведет к росту цен и снижению конкуренции на рынке, а в конечном счете к ухудшению качества услуг и отставанию в развитии разных сегментов рынка. В перечень предприятий, которые собираются обязать выполнять требования, включены наименее важные объекты третьей категории и объекты без присвоенной категории. Не только те, от которых зависит информационная безопасность и обороноспособность страны. Шохин приводит в пример частные банки, поликлиники, мобильных операторов, операторов по продаже билетов. По мнению главы РСПП, на российском рынке мало ПО и оборудования, которые могут заменить импортные аналоги, "только 49 из 3827 позиций перечня российской радиоэлектронной продукции "теоретически" могут быть использованы на производстве, указывает он, ссылаясь на анализ, проведенный представителями промышленности", говорится в статье. Бизнес опасается того, что требования будут ужесточены в процессе внедрения.
Постановление Правительства РФ от 14. Подтверждением отсутствия произведенных в РФ доверенных программно-аппаратных комплексов, являющихся аналогами приобретенных, являются заключения, выданные Минпромторгом России Определен перечень федеральных органов исполнительной власти и российских юридических лиц, ответственных за организацию перехода субъектов КИИ на принадлежащих им значимых объектах на преимущественное применение доверенных программно-аппаратных комплексов в соответствующих сферах областях деятельности.
Есть ли готовность? По словам советника генерального директора Content AI Олега Сажина, с точки зрения готовности отечественных игроков заместить иностранные решения ситуация выглядит по-разному для разных классов ПО.
Ранее и Максут Шадаев в своих публичных выступлениях отмечал: у правительства нет сомнений, что требования закона в части прикладного ПО будут исполнены в полном объеме. Евгений Царев согласился с коллегами и добавил, что некоторые решения только кажутся незаменимыми, не являясь таковыми на самом деле. Например, если появится требование, чтобы все документы для госзакупок подавались именно в таком формате и были подготовлены именно в этой программе, пояснил Евгений Царев. Кроме того что софт должен быть отечественным уже сейчас или в ближайшем будущем — тут зависит от отрасли , есть и другие требования.
К решениям по обеспечению безопасности таких объектов, а также к софту для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и или обмена информацией о компьютерных инцидентах выдвигается еще одно требование — наличие сертификата ФСТЭК или ФСБ России. В то же время, когда многие решения только появились на рынке и являются замещением программ иностранных игроков, к обязательной сертификации «правительство будет подходить в индивидуальном порядке и гибко», отмечает Евгений Царев. Общая ключевая цель — это успешная реализация программы импортозамещения и оперативное внедрение российского софта в объекты КИИ, и никто не хочет этот процесс тормозить», — указал эксперт. Так, например, среди вендоров российского офисного ПО, которые подтвердили соответствие требованиям ФСТЭК России и получили разрешение на применение в значимых объектах КИИ, является компания «МойОфис», которая разрабатывает редакторы документов, облачные, почтовые и коммуникационные решения.
Перечислим эти функции: прогнозирование возможных угроз безопасности; повышение устойчивости функционирования КИИ, подвергшейся атаке; информирование об угрозах; формирование предложений по повышению уровня защищенности информационных ресурсов; анализ событий, выявление инцидентов и реагирование на компьютерные атаки; разработка документации, регламентирующей рабочие процессы центра; взаимодействие с НКЦКИ. Кроме того, субъекты КИИ, которым на правах собственности, аренды или ином законном основании, принадлежат значимые объекты КИИ, обязаны реагировать на инциденты в установленном ФСБ России порядке, принимать меры по ликвидации последствий атак на значимые объекты КИИ. В требованиях к подразделениям и должностным лицам субъектов ГосСОПКА методический документ НКЦКИ субъекты ГосСОПКА определяются как: государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели в силу закона или на основании заключенных с ФСБ России соглашений осуществляющие обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты. Можно сделать вывод, что к ГосСОПКА может подключиться любая организация или орган государственной власти, осуществляющие обнаружение, предупреждение, ликвидацию последствий атак и реагирование на инциденты. Это могут быть как организации-лицензиаты, создающие центры для оказания услуг сторонним компаниям, так и организации, строящие центр для собственных нужд. Москва, ул.
Большая Лубянка д.
Субъектов телевещания могут признать объектами критической информационной инфраструктуры
Исполнять действующие условия эксплуатации КИИ, своевременно корректировать меры безопасности в случае изменения правовых нормативов, в частности, осуществлять переход на отечественное оборудование и ПО. Как обеспечивается информационная безопасность КИИ? Проконсультироваться по поводу того, относится ли ваше предприятие к субъектам КИИ, можно у наших экспертов в сфере информационной безопасности если своими силами это определить не получается. Следующий этап — сделать так, чтобы критическая информационная инфраструктура функционировала без сбоев, а также была в достаточной степени защищена от внешних и внутренних угроз безопасности. Весь спектр работ можно разделить на: Выделение категорий объектов по степени значимости. Процедура включает формирование комиссии, составление и согласование точного списка исследуемых объектов с последующей отправкой его в ФСТЭК, сбор исходных сведений и изучение угроз ИБ. На основании полученных сведений осуществляется непосредственно категорирование, после чего данные направляются в контролирующий орган. Дополнительно требуется провести независимую экспертизу проведенных мероприятий.
Кто должен защищать КИИ? Защиту объектов КИИ и сетей электросвязи, используемых для организации взаимодействия объектов КИИ, обеспечивают субъекты КИИ в соответствии с действующим законодательством в области информационной безопасности посредством принятия правовых, организационных и технических мер. Субъектами КИИ выступают: 1 государственные органы, государственные учреждения, российские юридические лица и или индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат объекты КИИ, а также 2 российские юридические лица и или индивидуальные предприниматели, которые обеспечивают взаимодействие объектов КИИ ст. Помимо субъектов в процессе обеспечения безопасности объектов КИИ принимают участие: 1 ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, при этом: осуществляет государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры; ведет реестр значимых объектов критической информационной инфраструктуры; проверяет правильность соблюдения порядка осуществления категорирования и определения категории значимости объекта КИИ, и другое. Постановление Правительства РФ от 08.
IT-бизнес не согласен с расчетами и просит не откладывать принятие директивы. В чем суть готовящихся требований? Речь о том, чтобы предприятия, управляющие КИИ, при выборе софта или оборудования отдавали предпочтение российским продуктам, если таковые имеются. Сегодня доля отечественного ПО и оборудования на таких предприятиях меньше, чем доля импортного. Госкомпании начнут согласовывать приобретение зарубежного софта с Минцифры В требованиях Минцифры не указана доля российского ПО и оборудования, которая должна использоваться на предприятиях. На запрос ТАСС в пресс-службе ведомства уточнили: "При обосновании, в котором могут быть описаны все риски для бесперебойной, безопасной и эффективной работы объектов КИИ, субъект КИИ вправе продолжить использовать иностранное ПО, телекоммуникационное оборудование и радиоэлектронную продукцию. Преимущественное использование означает, что при наличии выбора между аналогичным российским и иностранным ПО и или оборудованием приоритет должен отдаваться российским продуктам. Проект постановления правительства предусматривает ряд исключений, учитывающих специфику всех отраслей, а также отсутствие на сегодняшний день отдельных российских аналогов используемых на объектах КИИ оборудования, продукции и ПО.
Однако некоторым программным продуктам аналогов пока нет. Промышленные предприятия преимущественно используют импортный софт для ERP-систем управление процессами и зарубежный инженерный софт проектирование сложных изделий. Еще один программный продукт, замена которого пока проблематична — свободная объектно-реляционная система управления базами данных СУБД Oracle, на которой работают банки. Сейчас Oracle на ср едних задачах можно заместить софтом Postg res, но на доработку полного функционала продукта потребуется время. А вот, например, в области моделирования проектов нефтедобычи наши программы превосходят зарубежные аналоги по всем параметрам. Экспортный потенциал у того, что будет делаться и делается сейчас, достаточно большой. Реально ли это в принципе? В любом случае, спрос на отечественное ПО в госсекторе и частных структурах за последние год-два вырос в разы. Самый высокий интерес к нему наблюдается в финансовых институтах и топливно-энергетическом комплексе. Существует также запрос на перенос функциональности зарубежных разработок на отечественные решения. Спрос рождает предложение — закон рынка. Сейчас у отечественных разработчиков есть все возможности заполнить рынок необходимого программного обеспечения. В нем установлены требования к ПО, используемому органами власти и госкомпаниями на объектах КИИ, правила согласования закупок зарубежного ПО. Основными целями постановления являются запуск процесса импортозамещения применяемых на объектах КИИ программно-аппаратных комплексов, определение конкретных шагов, которые должны быть выполнены, и сроков их реализации. Составленные и опубликованные планы перехода позволят производителям российской радиоэлектронной продукции оценить требуемые объемы ее выпуска, а также технические и функциональные характеристики, что даст возможность целенаправленно решать поставленные задачи. Свести риски к минимуму компаниям позволит грамотный аудит процессов.
Подписан закон об изменении перечня субъектов критической информационной инфраструктуры
При переходе на преимущественное использование российского ПО и или оборудования должны учитываться в том числе текущие сроки амортизации используемого субъектом КИИ оборудования и сроки действия прав на использование ПО в отношении используемого ПО и или оборудования, сведения о которых не включены в реестры". Что такое объекты КИИ? При этом объекты КИИ подразделяются на категории — первую, вторую, третью — по важности для информационной безопасности, также есть объекты КИИ, которым не присвоена категория. Этот момент вызывает отдельные споры: одна из главных просьб бизнеса — не налагать обязательства по импортозамещению на КИИ третьей категории. Какие аргументы против у российского бизнеса? В письме РСПП, выдержки из которого опубликованы в РБК , приводятся следующие аргументы против готовящейся директивы: Переход предприятий, управляющих КИИ, на российское ПО и оборудование потребует существенные затраты, что приведет к росту цен и снижению конкуренции на рынке, а в конечном счете к ухудшению качества услуг и отставанию в развитии разных сегментов рынка.
В перечень предприятий, которые собираются обязать выполнять требования, включены наименее важные объекты третьей категории и объекты без присвоенной категории. Не только те, от которых зависит информационная безопасность и обороноспособность страны.
Медведев оценил идею отключить Россию от глобального интернета Как сообщал Life.
Закупить такое ПО можно лишь после согласования с профильным ведомством. В полном объёме мера вступит в силу в 2025 году.
Так, в конце апреля глава Минцифры Максут Шадаев, выступая на годовом собрании АРПП «Отечественный софт», сообщил, что министерство очень рассчитывает на принятие в весеннюю сессию законопроекта о преимущественном использовании всеми субъектами КИИ отечественного ПО. Такой документ еще в сентябре 2022 г. В поручении говорилось, что проект должен устанавливать «требования по преимущественному использованию всеми субъектами КИИ отечественных ПО, программно-аппаратных комплексов, телекоммуникационного оборудования и радиоэлектронной продукции с учетом их готовности к массовому внедрению на принадлежащих им значимых инфраструктурных объектах». Законопроект наделяет правительство и отраслевые ведомства правом устанавливать перечень критических информационных систем, которые будут относиться к объектам КИИ, в каждой отрасли», — указал тогда в ходе своего выступления Максут Шадаев.
Кроме того, по каждой отрасли, по каждому виду таких объектов будут определяться предельные сроки перехода на российские решения, сказал министр. До этого мысль о том, что запрет для каждой отрасли на использование иностранного ПО будет определять правительство, озвучивал вице-премьер Дмитрий Чернышенко. Причем эти сроки должны быть синхронизированы со сроками готовности к массовому внедрению соответствующих отечественных решений. На сегодняшний день документ уже готов, согласован с заинтересованными сторонами и в ближайшее время будет внесен в Госдуму, сообщали «Ведомости» со ссылкой на свои источники, знакомые с ходом обсуждения законопроекта. Есть ли готовность? По словам советника генерального директора Content AI Олега Сажина, с точки зрения готовности отечественных игроков заместить иностранные решения ситуация выглядит по-разному для разных классов ПО.
Тогда же внесли изменения и в закон о нотариате, поскольку нотариус теперь является одним из немногих лиц, которое может получить доступ к данным о недвижимости. Поэтому включение оператора реестра недвижимости в перечень субъектов российской КИИ не сильно влияет на текущее положение дел", — подчёркивает Максим Али. При этом он отмечает, что в сфере регистрации недвижимости этот закон вряд ли как—то критически повлияет на текущее положение дел. Поэтому это важно для достаточно узкого круга лиц", — полагает он.
На объекте недвижимого имущества может быть инфраструктура, которая подвергается атакам, поэтому внесение в список КИИ тут видится логичным, убеждён Павел Катков. Возможно, депутаты пытаются защитить эти системы от хакерских атак, которые могли бы осуществляться в целях срыва этих сделок. Может, это ещё окажет воздействие на риелторов, но косвенное, ведь они не регистрируют сделки непосредственно", — рассуждает эксперт. Ценный опыт Если говорить общими словами, то раньше компания сама разбиралась со своими проблемами, связанными с безопасностью, а сейчас обязана уведомлять и информировать о них вышестоящие инстанции, комментирует законодательную новеллу Ольга Звагольская, руководитель инсорсинговых направлений ГК Itglobal.
Если раньше компания могла где—то безответственно подходить к безопасности, то теперь она обязана выполнять требования к безопасности. А значит и безопасность данных, в том числе в области недвижимости, станет выше", — считает она.
ЦБ РФ напомнил о категорировании субъектов КИИ
| Закон о безопасности КИИ в вопросах и ответах | Kaspersky ICS CERT | Субъектам КИИ, осуществляющим деятельность в сфере связи, рекомендуется направлять перечни и сведения в центральный аппарат ФСТЭК России или управление ФСТЭК России по. |
| Подписан закон об изменении перечня субъектов критической информационной инфраструктуры | нарушить правила обмена информацией об инцидентах (в частности, между субъектами КИИ). |
Новые требования для “железа” и иностранного ПО для субъектов КИИ
Правительство РФ внесло в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры (КИИ) в России на отечественное программное обеспечение. Новости законодательства. Субъекты КИИИ: кто это, подходы к определению статуса субъекта критической информационной инфраструктуры, определение сферы деятельности субъекта КИИ и как не. Категорирование субъектов КИИ осуществляется на основе критериев значимости и показателей их значений, а также соблюдением установленного порядка.
Новые требования для “железа” и иностранного ПО для субъектов КИИ
Сейчас субъекты КИИ регулярно и специально снижают степень значимости имеющихся в их распоряжении объектов КИИ, и эту проблему отмечают в Правительстве РФ уже давно. Планируется, что субъекты критической информационной инфраструктуры (КИИ) до 2024 года должны перейти на преимущественное использование российского ПО. После осознания руководством предприятия принадлежности к субъектам КИИ, необходимо создать внутреннюю комиссию по категорированию. Новости законодательства. Новые субъекты КИИ, индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере. Также к субъектам КИИ относятся юридические лица и индивидуальные предприниматели, обеспечивающие взаимодействие объектов КИИ.
Секретные адреса: сделки с недвижимостью защитили от хакеров
| Дата-центры и Закон о КИИ: разбираем нюансы | О порядке перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ (ПП РФ 1912). |
| Категорирование объектов КИИ | Ответ: Субъекты КИИ, владельцы значимых объектов КИИ, обязаны в срок не позднее 90 календарных дней с момента включения данного объекта в реестр значимых объектов КИИ. |
| С сентября 2024 субъекты КИИ должны использовать только доверенные ПАК | Министерство цифрового развития, связи и массовых коммуникаций РФ предложило обязать субъекты КИИ «преимущественно использовать» отечественный софт с 1 января 2021 года и. |
| Что такое критическая информационная инфраструктура? | Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. |
Подписан закон об изменении перечня субъектов критической информационной инфраструктуры
Субъекты КИИИ: кто это, подходы к определению статуса субъекта критической информационной инфраструктуры, определение сферы деятельности субъекта КИИ и как не. Права и обязанности субъектов КИИ, реестр значимых объектов (ЗО) КИИ, надзорная деятельность регулятора. нарушить правила обмена информацией об инцидентах (в частности, между субъектами КИИ). Субъекты КИИ обяжут перейти на доверенные программно-аппаратные комплексы. Соответствующее постановление Правительства РФ было официально опубликовано 14 ноября. Методические рекомендации по категорированию объектов КИИ Порядок принятия решения о признании организации субъектом КИИ.