Подробный план перехода субъектов КИИ будет утвержден до 1 сентября 2024 года. К субъектам КИИ относятся. Инициатива должна ускорить переход субъектов КИИ на отечественное ПО и оборудование, упростить этот процесс и внести в него определённость, объяснил «СенатИнформ» зампред.
Кабмин внёс законопроект о переходе субъектов критической инфраструктуры на российский софт
Иногда бывают ситуации, когда часть приложений наших партнеров разрабатываются за границей. Этот вопрос мы должны контролировать в том числе». Среди требований к производителю и разработчику: собственная сеть сервисных центров на территории РФ; наличие прав на документацию, технологию, патентов и исключительных прав на ПО; поддержка продукта на протяжении всего жизненного цикла. Также отдельно Евгений Абакумов остановился на требованиях к аппаратному и программному обеспечению ПАК. Старший вице-президент по информационным технологиям Ростелекома Кирилл Меньшов акцентировал внимание на предназначении ПАКов: «Мне кажется, что решить вопрос ПАКов без понимания того, что они из себя представляют — невозможно. Они появились для специализированных задач, которые нельзя решить с помощью универсальных серверов. Поэтому ПАКи между собой различаются радикально. Либо нам придется делать много классов ПАКов, либо мы подойдем к решению издалека, сделаем более абстрактно, но тогда нам сложно будет соответствовать.
Чтобы нам удалось прийти к итогу, важна работа всех участников сегодняшней дискуссии: потребителей, разработчиков и органов государственной власти». Генеральный директор АНО «Консорциум «Вычислительная техника» Светлана Легостаева обратила особое внимание на доверие со стороны заказчика к оборудованию, которое обязательно должно быть чем-то подтверждено: «Нужно развивать институт центров тестирования.
Динамический анализ кода с его исполнением. В простейшем случае динамический анализ кода проводится в виде ряда тестов: модульного, регрессионного и системного. Модульные тесты разрабатываются на те функции, которые принимают входные значения из внешних данных т. В ходе инструментирования кода счетчиками ошибок санитайзерами и отладочными аллокаторами необходимо провести автоматизированный запуск этих тестов, собрать тестовое покрытие и проанализировать результаты.
На основании результатов можно в том числе увидеть участки кода, которые в ходе выполнения не были задействованы, а значит, требуют дополнительного внимания. К примеру, они могут быть проверены на отсутствие недекларированных возможностей в ручном режиме. Фаззинг-тестирование с его исполнением. Для данного процесса необходимо разработать специальные функции либо наборы входных данных методами «мутационного» или «генерационного» фаззинга , которые подаются на вход тех же самых функций, составляющих поверхность атаки. И точно так же, как в динамическом анализе, для фаззинга собирается покрытие и анализируются результаты, а выявленные ошибки включаются в план устранения недостатков. Отслеживание исправления ошибок, уязвимостей в ходе жизненного цикла.
На данном этапе проводится автоматизация процедур реагирования на выявленные уязвимости, которые возникли в ходе разработки либо по сообщениям от пользователей. Как правило, в информационных системах разработки заводятся тикеты. По данным тикетам разработчикам ставится в план задача по устранению критических уязвимостей и уязвимостей, имеющих высокий приоритет. Устранив уязвимость, разработчик в комментариях может сделать пометку с идентификатором тикета. Тем самым будет обеспечена прослеживаемость закрытия выявленных уязвимостей. Информирование о выявленных уязвимостях и компенсирующих мероприятиях конечных пользователей.
Что подлежит категорированию? Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и или иные процессы в рамках выполнения функций полномочий или осуществления видов деятельности субъектов КИИ. Что в себя включает категорирование объектов КИИ? Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории — первая, вторая или третья в порядке убывания значимости. Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается. В реестр включается следующая информация: наименование значимого объекта КИИ; сведения о взаимодействии значимого объекта КИИ и сетей электросвязи; сведения о лице, эксплуатирующем значимый объект КИИ; присвоенная категория значимости; сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ; меры, применяемые для обеспечения безопасности значимого объекта КИИ. Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК России. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ.
Как проводить категорирование объектов КИИ? Показатели критериев значимости, а также порядок и сроки категорирования определены в «Правилах категорирования объектов критической информационной инфраструктуры Российской Федерации» утверждённых соответствующим постановлением правительства от 8 февраля 2018 г. Правила регламентируют процедуру категорирования, а также содержат перечень критериев и их показатели для значимых объектов КИИ первой, второй и третьей категории. Согласно Правилам, процедура категорирования включает в себя: Определение субъектом КИИ перечня всех процессов, выполняемых в рамках своей деятельности.
Рекомендованный состав больше относится к крупным операторам связи и лишь подсказывает кандидатов и затрагиваемые аспекты оценки процессов. Для небольших компаний этот перечень лучше сократить. Комиссия формирует положение о комиссии по категорированию объектов критической информационной инфраструктуры, где прописывает все принципы работы комиссии. После чего утверждается план работы и формируется перечень объектов критической информационной инфраструктуры на своем предприятии. Важно, что в перечень включаются все объекты КИИ, как значимые, так и не значимые.
Нужно сформировать перечень всех объектов КИИ, после чего у организации будет еще год для проведения категорирования и установления степени значимости. Общаясь с сотрудниками ФСТЭК, мы осознаем, что в службе только формируются подходы, регламентирующих документов много, они содержат обобщенный характер требований, а в ближайшие годы предстоит большая работа по трактовке и совместному их пониманию с регулятором. С целью выработки единых подходов ассоциация "Ростелесеть" формирует для своих участников рекомендованные документы. По мере корректировки видения этот пакет документов будет меняться и расширяться. Сроки исполнения Большинство государственных органов и учреждений уже прошли этап создания комиссии, утверждения перечня объектов КИИ и их категорирования. Процесс активно проходит с 2017 года. Для коммерческих компаний эти даты можно рассматривать как рекомендованные, ФСТЭК уже начал рассылать запросы участникам ассоциации, а привлечение прокуратуры в качестве дополнительного контроля подсказывает, что операторам уже сейчас необходимо запускать процедуры и быть готовыми к проверкам. Помимо регуляторной нагрузки, операторы, которые реально запустили процедуры изучения процессов и безопасности своих информационных систем и телекоммуникационных сетей, говорят, что данный процесс не получится быстро закрыть.
Обзор законодательства РФ о критической информационной инфраструктуре
Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле. Так как сегодня в достаточно сжатые сроки требуется. Что такое КИИ и кто попадает под ФЗ-187? Обязанности субъектов КИИ: категорирование объектов КИИ, обеспечение интеграции с ГосСОПКА, принятие мер по безопасности объектов. Сейчас субъекты КИИ регулярно и специально снижают степень значимости имеющихся в их распоряжении объектов КИИ, и эту проблему отмечают в Правительстве РФ уже давно. Подробный план перехода субъектов КИИ будет утвержден до 1 сентября 2024 года. До 2025 года субъекты КИИ обязали перейти на всё отечественное. В решение для безопасности объектов критической информационной инфраструктуры (КИИ) мы объединили продукты Positive Technologies.
Безопасность КИИ - Безопасность объектов критической информационной инфраструктуры
В той что сейчас формулировке». И в итоге: «- Главное - сформулировал конкретное предложение как прекратить всё это. Оно более правильные формулировки дает». Субъекты КИИ и запятая Ещё раз посмотрим на формулировку в статье 2 187-ФЗ: «8 субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и или индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и или индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей». Вот если бы перед запятой был союз «и», тогда слово «функционирующие» относилось бы к юрлицам и т. Для этого не надо быть филологом. Учёт и контроль - кого или чего? А как в НПА? Если мы откроем зарегистрированные в Минюсте приказы ФСТЭК России, регулирующие вопросы учёта направления сведений , ведения реестра , то увидим, что там учитывается сфера деятельности именно объекта КИИ, а не субъекта, в нумерации объектов предусмотрена ситуация: «В случае если значимый объект критической информационной инфраструктуры функционирует в нескольких сферах областях деятельности или расположен на территории нескольких федеральных округов, второй и третьей группам цифр присваивается обозначение сферы области деятельности или территории, указанные субъектом критической информационной инфраструктуры первыми.
Как поясняет Минцифры, сейчас собственник той или иной информсистемы определяет, относить или нет объект КИИ к значимому. При этом зачастую компании этим пренебрегают и минимизируют количество систем, которые определяются как значимые объекты КИИ. В нем отмечается, что целями законопроекта являются переход на российские решения и обеспечение безопасности значимых объектов КИИ. Принятие законопроекта повысит защищенность и устойчивость этой инфраструктуры и откроет новые рынки для отечественных ИТ-решений", - говорится в сообщении Минцифры.
Категорирование объектов критической информационной инфраструктуру осуществляется субъектами КИИ. Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и или иные процессы в рамках выполнения функций или осуществления видов деятельности субъектов КИИ. В соответствии с ч. Если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.
Публичное обсуждение проектов завершилось 25 апреля. Действующее постановление Правительства Российской Федерации от 03. Проект приказа разработан с целью устранить существующий пробел, а также унифицировать порядок обращения со служебной информацией для иных государственных органов, органов государственных внебюджетных фондов, органов местного самоуправления, а также организаций, осуществляющим в соответствии с федеральными законами отдельные публичные полномочия, при обращении со служебной информацией. При этом конкретизируется область действия положений, вводятся отдельно термины «служебная информация ограниченного доступа» и «документ для служебного пользования», а также иная терминология для уточнения порядка обращения с указанными сведениями и документами. Согласно проекту, внутренний порядок обращения с документами для служебного пользования в органах и организациях определяется самостоятельно руководителем. Общественное обсуждение приказа завершилось 5 мая. ТК 362 На странице технического комитета по стандартизации «Защита информации» далее — ТК 362 опубликован ряд отчетных документов о выполненных работах: традиционные справки-доклады о ходе работ по плану по состоянию на 29. Согласно указанным документам выполнены следующие работы: 1. Идентификация и аутентификация. Формальная модель управления доступом. Часть 3. Часть 4. Руководство по управлению рисками информационной безопасности. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения». Система управления информационной безопасностью. Техника защиты информации. Номенклатура показателей качества». Системы автоматизированного управления учетными записями и правами доступа.
Кабмин внёс законопроект о переходе субъектов критической инфраструктуры на российский софт
Предоставления Пользователю с его согласия специальных предложений, информации о ценах, новостной рассылки и иных сведений от имени сайта. Осуществления рекламной деятельности с согласия Пользователя. Способы и сроки обработки персональной информации 5. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств. Пользователь соглашается с тем, что Администрация вправе передавать персональные данные третьим лицам, в частности, курьерским службам, организациями почтовой связи в том числе электронной , операторам электросвязи, исключительно в целях выполнения заказа Пользователя, оформленного на сайте , включая доставку Товара, документации или e-mail сообщений. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации. При утрате или разглашении персональных данных Администрация вправе не информировать Пользователя об утрате или разглашении персональных данных. Администрация принимает необходимые организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.
Администрация совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя. Права и обязанности сторон 6. Пользователь вправе: 6. Принимать свободное решение о предоставлении своих персональных данных, необходимых для использования сайта , и давать согласие на их обработку. Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации. Пользователь имеет право на получение у Администрации информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Пользователь вправе требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Как обеспечивается информационная безопасность КИИ? Проконсультироваться по поводу того, относится ли ваше предприятие к субъектам КИИ, можно у наших экспертов в сфере информационной безопасности если своими силами это определить не получается. Следующий этап — сделать так, чтобы критическая информационная инфраструктура функционировала без сбоев, а также была в достаточной степени защищена от внешних и внутренних угроз безопасности. Весь спектр работ можно разделить на: Выделение категорий объектов по степени значимости.
Процедура включает формирование комиссии, составление и согласование точного списка исследуемых объектов с последующей отправкой его в ФСТЭК, сбор исходных сведений и изучение угроз ИБ. На основании полученных сведений осуществляется непосредственно категорирование, после чего данные направляются в контролирующий орган. Дополнительно требуется провести независимую экспертизу проведенных мероприятий. Создание проекта и интеграцию системы обеспечения ИБ, в которую включается совокупность мер технического и организационного характера, направленных на поддержание оптимального уровня информационной защиты.
Тем самым будет обеспечена прослеживаемость закрытия выявленных уязвимостей. Информирование о выявленных уязвимостях и компенсирующих мероприятиях конечных пользователей. В качестве примера можно привести сообщения на сайтах крупных разработчиков средств защиты информации. Там публикуются сообщения, в которых дается ссылка на источник скачивания обновлений, указываются идентификаторы уязвимостей, а также даются ссылки на инструкции по устранению уязвимостей и проведению дополнительных мероприятий. Оповещение конечного пользователя об окончании жизненного цикла ПО. К примеру, в специальном разделе сайта разработчика могут быть организованы специальные «фильтры» по продуктам, которые ведут на страницы с планами по поддержке ПО в ходе жизненного цикла. На рис. Рекомендуем закладывать процессы таким образом, чтобы в дальнейшем расширять их до охвата всех необходимых этапов жизненного цикла. Далее мы рассмотрим проект по внедрению процесса БРПО в соответствии с требованиями регулятора.
Когда прикладное ПО разрабатывается силами собственных разработчиков, необходимо внедрить наиболее полный состав процессов безопасности. В случае заказной разработки или использования вендорского ПО необходимо обеспечить наличие всех необходимых свидетельств по процессам безопасности, выстроенным на стороне вендора — производителя ПО, и приобщить их в проектную документацию на ЗО КИИ. Как правило, типовой проект внедрения процессов безопасной разработки ПО разделяется на пять основных этапов. На первом этапе готовится технико-экономическое обоснование для руководства с верхнеуровневыми финансовыми параметрами проекта, основными этапами работ, основными результатами, которые достигаются в ходе проекта, а также персоналом, который требуется привлечь. На втором этапе проводится аудит текущих бизнес-процессов разработки, формируется целевое состояние процессов разработки, исходя из требований регулятора либо бизнес-потребностей, далее выявляются несоответствия и формируются рекомендации по внедрению организационных и технических мероприятий. На третьем этапе рекомендации ранжируются по степени их реализуемости и сводятся в дорожную карту. Настоятельно рекомендуем разрабатывать детальный план перехода и пояснительную записку с обоснованием принятых решений, чтобы всегда можно было поднять историю и причины принятых решений.
Этот момент вызывает отдельные споры: одна из главных просьб бизнеса — не налагать обязательства по импортозамещению на КИИ третьей категории. Какие аргументы против у российского бизнеса? В письме РСПП, выдержки из которого опубликованы в РБК , приводятся следующие аргументы против готовящейся директивы: Переход предприятий, управляющих КИИ, на российское ПО и оборудование потребует существенные затраты, что приведет к росту цен и снижению конкуренции на рынке, а в конечном счете к ухудшению качества услуг и отставанию в развитии разных сегментов рынка. В перечень предприятий, которые собираются обязать выполнять требования, включены наименее важные объекты третьей категории и объекты без присвоенной категории. Не только те, от которых зависит информационная безопасность и обороноспособность страны. Шохин приводит в пример частные банки, поликлиники, мобильных операторов, операторов по продаже билетов. По мнению главы РСПП, на российском рынке мало ПО и оборудования, которые могут заменить импортные аналоги, "только 49 из 3827 позиций перечня российской радиоэлектронной продукции "теоретически" могут быть использованы на производстве, указывает он, ссылаясь на анализ, проведенный представителями промышленности", говорится в статье. Бизнес опасается того, что требования будут ужесточены в процессе внедрения.
Вопрос-ответ
Информация об изменениях: Правила дополнены пунктом 14 1 с 24 апреля 2019 г. N 452 14 1. При проведении работ, предусмотренных подпунктами "г" и "д" пункта 14 настоящих Правил, должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых являются прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба. Информация об изменениях: Правила дополнены пунктом 14 2 с 24 апреля 2019 г. N 452 14 2.
В случае если функционирование одного объекта критической информационной инфраструктуры зависит от функционирования другого объекта критической информационной инфраструктуры, оценка масштаба возможных последствий, предусмотренная подпунктом "е" пункта 14 настоящих Правил, проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект. Информация об изменениях: Правила дополнены пунктом 14 3 с 24 апреля 2019 г. N 452 14 3. В случае если осуществление критического процесса зависит от осуществления иных критических процессов, предусмотренная подпунктом "е" пункта 14 настоящих Правил оценка проводится исходя из совокупного масштаба возможных последствий от нарушения или прекращения функционирования всех выполняемых критических процессов.
Информация об изменениях: См. Перечень объектов утверждается субъектом критической информационной инфраструктуры.
По результатам анализа нескольких проверок безопасности статическим анализатором проекта ПО необходимо провести так называемую «разметку»: сопоставить выявленные ошибки и предупреждения с тем, являются ли они на самом деле недостатками ПО. Также в правила статического анализатора можно добавить необходимую стилистику оформления исходного кода, которая принята в проекте. При каком-либо отступлении от нее разработчику необходимо будет в комментариях указывать причину. Динамический анализ кода с его исполнением. В простейшем случае динамический анализ кода проводится в виде ряда тестов: модульного, регрессионного и системного. Модульные тесты разрабатываются на те функции, которые принимают входные значения из внешних данных то есть составляют поверхность атаки. В ходе инструментирования кода счетчиками ошибок санитайзерами и отладочными аллокаторами необходимо провести автоматизированный запуск этих тестов, собрать тестовое покрытие и проанализировать результаты. На основании результатов можно в том числе увидеть участки кода, которые в ходе выполнения не были задействованы, а значит, требуют дополнительного внимания.
К примеру, они могут быть проверены на отсутствие недекларированных возможностей в ручном режиме. Фаззинг-тестирование с его исполнением. Для данного процесса необходимо разработать специальные функции либо наборы входных данных методами «мутационного» или «генерационного» фаззинга , которые подаются на вход тех же самых функций, составляющих поверхность атаки. И точно так же, как в динамическом анализе, для фаззинга собирается покрытие и анализируются результаты, а выявленные ошибки включаются в план устранения недостатков. Отслеживание исправления ошибок, уязвимостей в ходе жизненного цикла. На данном этапе проводится автоматизация процедур реагирования на выявленные уязвимости, которые возникли в ходе разработки либо по сообщениям от пользователей. Как правило, в информационных системах разработки заводятся тикеты. По данным тикетам разработчикам ставится в план задача по устранению критических уязвимостей и уязвимостей, имеющих высокий приоритет.
Важно отметить, что если объект относится к высшей категории по одному из показателей критериев, то расчет по остальным показателям не выполняется. Категории значимости КИИ Описание Социальная Возможность причинения ущерба жизни или здоровью людей, а также прекращения или нарушения функционирования объектов, обеспечивающих жизнедеятельность населения. Без категорирования объектов КИИ невозможно определить необходимые технические и организационные меры защиты. От результатов категорирования зависят дальнейшие работы в области информационной безопасности.
Делать это надо, сохраняя устойчивость КИИ. Решения не просто должны заработать, но и обеспечить в компаниях непрерывность и безопасность их производственных процессов. Мы понимаем, что иногда запрашиваем большое количество информации по различным вопросам, связанным с объектами КИИ, однако, эта детализация необходима, чтобы в том числе понимать в каких областях есть сложности и где требуется скорректировать подходы», — рассказал заместитель министра цифрового развития, связи и массовых коммуникаций России Андрей Заренин. Директор дирекции информационных технологий, автоматизации и телекоммуникаций «Газпром нефти» Антон Думин поднял вопрос неоднозначного толкования понятийного аппарата в нормативной базе: «Не всегда однозначно трактуются термины, которые применяются, например, такие как «программно-аппаратные комплексы» или что означает понятие «импортозаместить» внутри КИИ». Эти циклы всегда более длинные и мы должны понимать, как будем двигаться, в том числе по таким направлениям, как восполнение кадрового потенциала или производство и эксплуатация радиоэлектроники», — добавил Антон Думин. Генеральный директор холдинга Т1 Игорь Калганов также поддержал необходимость создания общего стратегического документа в сфере КИИ и единого глоссария: «Когда мы придем к единому пониманию и найдем методы, при которых заказчики будут хотеть признавать себя КИИ, нам всем станет гораздо проще взаимодействовать и договариваться». Начальник Департамента информатизации РЖД Кирилл Семион высказал предложение разделить понятие безопасности и требований, которые предъявляются к КИИ: «Отсутствие импортозависимых компонентов в КИИ не всегда является достаточным, чтобы обеспечить их безопасность». Также спикер обратил внимание на необходимость введения конкретных требований к понятию безопасная разработка. И ответственность подрядчиков за соблюдение данных требований по безопасности, чтобы крупнейшие потребители не несли дополнительных затрат для исправления ситуации. Директор по информационным технологиям Госкорпорации «Росатом» Евгений Абакумов рассказал про критерии доверенности ПАК, которые видятся важными для крупнейших заказчиков: «Нам важно знать, кто является производителем решения, как выстроены процессы их разработки.
ФСТЭК сообщила об увеличении категории значимости для более чем 40 объектов КИИ в 2023 году
Что такое КИИ и кто попадает под ФЗ-187? Обязанности субъектов КИИ: категорирование объектов КИИ, обеспечение интеграции с ГосСОПКА, принятие мер по безопасности объектов. Итак, мы с вами разобрались, что такое КИИ и кого мы можем называть субъектом критической информационной инфраструктурой. Построение системы безопасности КИИ по выгодной цене в Москве и на всей территории РФ: обеспечение защиты субъектов и объектов критической информационной инфраструктуры. Субъектам КИИ, осуществляющим деятельность в сфере связи, рекомендуется направлять перечни и сведения в центральный аппарат ФСТЭК России или управление ФСТЭК России по.
Обзор Постановления Правительства Российской Федерации от 14.11.2023 № 1912
2. Создание и бесплатное распространение для субъектов КИИ автоматизированной системы федерального уровня по передаче информации об объектах КИИ (на связанных с ГТ) 3. До 2025 года субъекты КИИ обязали перейти на всё отечественное. К субъектам КИИ относятся. Планируется, что субъекты критической информационной инфраструктуры (КИИ) до 2024 года должны перейти на преимущественное использование российского ПО. Марченко также напомнил о законодательстве в сфере КИИ – на слайдах более десятка различных нормативных документов, в том числе о проверках субъектов КИИ.