В январском письме Центральный Банк призвал поднадзорные организации провести повторное категорирование субъектов КИИ и до 31 марта 2023 отчитаться о статусе работ. Самый важный этап для успешного завершения проекта — это качественное проведение категорирования и аудита объектов КИИ.
Закон о безопасности КИИ в вопросах и ответах
Также правительство будет устанавливать случаи и порядок согласования использования на значимых объектах КИИ иностранного ПО, радиоэлектроники, телеком-оборудования и ПАК. Кроме того, согласно проекту, правительство будет определять порядок и сроки перехода значимых объектов КИИ на преимущественное использование российского ПО и оборудования. Правительство также установит порядок проведения мониторинга перехода на российские продукты. В банковской и финансовой сферах это будет согласовываться с ЦБ РФ.
Проблемы могут возникнуть и у тех, кто прошел процедуру категорирования и работает над модернизацией системы обеспечения безопасности или даже завершает этот процесс. ФСТЭК в ходе проверок оценивает реализацию организационных мер. Для соответствия требованиям необходимо не просто разработать или актуализировать пакет документов, регламентирующий работу с КИИ, но и ознакомить с ним всех ответственных сотрудников. Сами сотрудники, непосредственно отвечающие за обеспечение безопасности объектов КИИ, а не только руководители, должны регулярно повышать свою квалификацию, чтобы быть подготовленными к актуальным угрозам и противодействовать злоумышленникам, число и уровень которых постоянно растет.
Делать это надо, сохраняя устойчивость КИИ. Мы многое будем делать впервые и важно в этом вопросе не торопиться. Решения не просто должны заработать, но и обеспечить в компаниях непрерывность и безопасность их производственных процессов. Мы понимаем, что иногда запрашиваем большое количество информации по различным вопросам, связанным с объектами КИИ, однако, эта детализация необходима, чтобы в том числе понимать в каких областях есть сложности и где требуется скорректировать подходы. Директор дирекции информационных технологий, автоматизации и телекоммуникаций «Газпром нефти» Антон Думин поднял вопрос неоднозначного толкования понятийного аппарата в нормативной базе: Не всегда однозначно трактуются термины, которые применяются, например, такие как «программно-аппаратные комплексы» или что означает понятие «импортозаместить» внутри КИИ. Хотелось бы, чтобы мы выстраивали понятийный аппарат, учитывая, как будут реализовываться намеченные планы в горизонте десяти лет, а не двух. Эти циклы всегда более длинные и мы должны понимать, как будем двигаться, в том числе по таким направлениям, как восполнение кадрового потенциала или производство и эксплуатация радиоэлектроники. Генеральный директор холдинга Т1 Игорь Калганов также поддержал необходимость создания общего стратегического документа в сфере КИИ и единого глоссария: Когда мы придем к единому пониманию и найдем методы, при которых заказчики будут хотеть признавать себя КИИ, нам всем станет гораздо проще взаимодействовать и договариваться.
Начальник Департамента информатизации РЖД Кирилл Семион высказал предложение разделить понятие безопасности и требований, которые предъявляются к КИИ: Отсутствие импортозависимых компонентов в КИИ не всегда является достаточным, чтобы обеспечить их безопасность. Также спикер обратил внимание на необходимость введения конкретных требований к понятию безопасная разработка. И ответственность подрядчиков за соблюдение данных требований по безопасности, чтобы крупнейшие потребители не несли дополнительных затрат для исправления ситуации. Директор по информационным технологиям Госкорпорации «Росатом» Евгений Абакумов рассказал про критерии доверенности ПАК, которые видятся важными для крупнейших заказчиков: Нам важно знать, кто является производителем решения, как выстроены процессы их разработки.
Также отдельно Евгений Абакумов остановился на требованиях к аппаратному и программному обеспечению ПАК. Председатель Ассоциации КП ПОО Рената Абдулина представила результаты анализа основных нормативных правовых актов, организационных и методических документов по обеспечению безопасности КИИ: в итоговую карту вошло более 20 документов, которые сегодня регулируют вопросы в этой сфере. Так как сегодня в достаточно сжатые сроки требуется перевести на отечественные решения все объекты КИИ, нам необходимы выверенные термины и правила, которые будут трактоваться однозначно. Чтобы производители отвечали на запрос потребителей, а заказчики в свою очередь могли выстроить приоритизацию перехода на отечественные решения. По мнению участников Ассоциации, в целях гармонизации действующего законодательства целесообразно утвердить ключевой нормативный правовой акт, в котором будут закреплены основополагающие принципы, понятийный аппарат, критерии определения технологической независимости и доверенности в сфере КИИ и другое», — рассказала Рената Абдулина.
Кроме того, представители крупнейших компаний страны озвучили запрос на информационное и консультационное сопровождение процессов импортозамещения на объектах КИИ для получения компетентных разъяснений, например, как трактовать пункты нормативных актов или как применять методические рекомендации.
Новые требования для субъектов КИИ: безопасная разработка прикладного ПО
2. Создание и бесплатное распространение для субъектов КИИ автоматизированной системы федерального уровня по передаче информации об объектах КИИ (на связанных с ГТ) 3. Значимые субъекты КИИ должны перейти к использованию доверенных программно-аппаратных комплексов на своих объектах до 1 января 2030 года. 2. Создание и бесплатное распространение для субъектов КИИ автоматизированной системы федерального уровня по передаче информации об объектах КИИ (на связанных с ГТ) 3. Субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости в соответствии с требованиями 127-П. К субъектам КИИ относятся. Подробный план перехода субъектов КИИ будет утвержден до 1 сентября 2024 года.
Импортозамещение ПО для критической информационной инфраструктуры
Провести категорирование объектов КИИ Для всех объектов КИИ, включенных в утвержденный перечень, необходимо провести категорирование в срок, не превышающий одного года с даты утверждения перечня объектов КИИ. Так как данный процесс является довольно долгим и может вызвать ряд затруднений, специалисты нашей организация, готовы помочь вам с проведением всех необходимых мероприятий, связанных с КИИ, от выделения объектов КИИ до получения уведомления во ФСТЭК, что вы являетесь объектом КИИ. Ознакомьтесь так же с нашей презентацией, посвященной Критической Информационной Инфраструктуре. По итогу мероприятий по КИИ, вы сможете не бояться проверки регуляторов и быть уверенны, что ваша критическая инфраструктура находится под защитой.
ТК 362 На странице технического комитета по стандартизации «Защита информации» далее — ТК 362 опубликован ряд отчетных документов о выполненных работах: традиционные справки-доклады о ходе работ по плану по состоянию на 29. Согласно указанным документам выполнены следующие работы: 1. Идентификация и аутентификация. Формальная модель управления доступом. Часть 3. Часть 4. Руководство по управлению рисками информационной безопасности.
Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения». Система управления информационной безопасностью. Техника защиты информации. Номенклатура показателей качества». Системы автоматизированного управления учетными записями и правами доступа. Классификация средств защиты информации от несанкционированного доступа и номенклатура показателей качества». Разосланы на рассмотрение в организации-члены ТК 362 проект Рекомендаций по стандартизации «Информационная технология. Криптографическая защита информации. Защищенный протокол взаимодействия квантово-криптографической аппаратуры выработки и распределения ключей и средства криптографической защиты информации».
Плановый срок рассмотрения - апрель 2023 года. Представлены председателю ТК 362 для принятия решения об организации их публичного обсуждения проекты национальных стандартов: ГОСТ Р «Защита информации.
У этого глобального тренда в России свое развитие. В этом году проблема защиты информации стала очевидна.
Помимо традиционных рисков утечек информации и атак вирусами-шифровальщиками, с которыми и раньше сталкивалось большинство, многие компании стали жертвами т. Кроме того, мы прогнозируем, что начнет работать отложенный спрос. Даже те компании, которые не обязаны переходить на российское ПО, закладывают бизнес-риски ухода иностранных вендоров. Доверие к ним подорвано, и в комфортном для себя темпе компании будут стремиться импортозаместиться», — комментирует Алексей Парфентьев.
Респонденты — более 1000 ИБ-специалистов и ИБ-директоров. Опрос проводится в период с сентября по ноябрь в рамках ежегодной серии конференций Road Show SearchInform. Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.
Но в таком случае есть риск понести значительные финансовые потери из-за ошибок, возникших при категорировании. Разумеется, это все отразится на итоговой стоимости средств защиты информации объектов КИИ. А можно обратиться к нашим специалистам, которые помогут определить, относится ли организация к субъектам КИИ, организуют и проведут полный комплекс мероприятий по категорированию объектов КИИ и обеспечению их безопасности.
Вы сможете сэкономить время, существенно снизить стоимость работ и избежать ошибок при подготовке документов. Оставить заявку До 1 января осталось совсем немного времени! Узнать больше о категорировании объектов КИИ и задать другие вопросы о средствах защиты информации можно нашим специалистам:.
Субъектов телевещания могут признать объектами критической информационной инфраструктуры
| Категорирование объектов КИИ, ФСТЭК, примеры, акты | По таким объектам КИИ установят сроки перехода на российские продукты. |
| О критической информационной инфраструктуре (КИИ) | Докладчик: Алексей КомаровВторой вебинар из серии: "Безопасность КИИ и требования 187-ФЗ"Темы: Главные определения, их смысловое наполнение, практические нюа. |
| КИИ. Информационная безопасность объектов критической информационной инфраструктуры. | Все субъекты КИИ должны быть подключены к ведомственным или корпоративным центрам ГосСОПКА либо создать свой центр ГосСОПКА. |
| Вопрос-ответ | В их числе – субъекты критической информационной инфраструктуры (КИИ). |
| ЦБ РФ напомнил о категорировании субъектов КИИ | Все субъекты КИИ должны быть подключены к ведомственным или корпоративным центрам ГосСОПКА либо создать свой центр ГосСОПКА. |
Подписан закон об изменении перечня субъектов критической информационной инфраструктуры
Субъекты КИИИ: кто это, подходы к определению статуса субъекта критической информационной инфраструктуры, определение сферы деятельности субъекта КИИ и как не. Именно с такого подхода рекомендует начинать ФСТЭК при определении принадлежности Организации к субъектам КИИ. Методические рекомендации по категорированию объектов КИИ Порядок принятия решения о признании организации субъектом КИИ.
Как выполнить требования закона о защите критической инфраструктуры
Следует учитывать выбранные компанией коды ОКВЭД и сведения о видах деятельности, указанные в учредительных документах. Эквивалентен ли он новому понятию КИИ? Впрочем, в этом законе КСИИ не упоминаются вовсе. Вопросы определения КСИИ и обеспечения их безопасности регламентировались на уровне подзаконных актов и ведомствен ных документов с ограниченным доступом. Исходя из Указа Президента РФ от 25.
ФСТЭК от 18. ФСТЭК от 19. Таким образом, требования Закона о КИИ применяются ко всем объектам критической информационной инфраструктуры, даже если они соответствуют ранее действовавшим требованиям к КСИИ. Переаттестация законодательством не предусмотрена.
И какие категории существуют на сегодняшний день? Наиболее важно определить, какие из них являются так называемыми значимыми объектами КИИ.
После утверждения они направляют их субъектам КИИ. Субъекты, в свою очередь, должны разработать личный план перехода, включающий: Общие сведения.
Государственный контроль в области обеспечения безопасности значимых объектов КИИ будет осуществлять ФСТЭК в виде плановых и внеплановых проверок с последующим предписанием в случае выявленных нарушений. Плановые проверки проводятся: по истечению 3-х лет со дня внесения сведений об объекте КИИ в реестр; по истечению 3-х лет со дня осуществления последней плановой проверки.
Внеплановые проверки будут проводиться в случае: по истечению срока выполнения субъектом КИИ предписания об устранении выявленного нарушения; возникновения компьютерного инцидента, повлекшего негативные последствия; по поручению Президента РФ или Правительства РФ, либо на основании требования Прокуратуры РФ. Если ФСТЭК выявит нарушение, будет выписано предписание с конкретным сроком устранения, который можно будет продлить по уважительным причинам, а вот в случаи с Прокуратурой РФ будет все сложнее, так как она придёт к вам уже с постановлением об административном правонарушении, ссылаясь на статью 19. И еще немного о мерах наказания, которые были введены за не соблюдение требований по обеспечению безопасности критической информационной структуры. Согласно Федеральному закону от 26. Пожалуй, весомый аргумент! В дальнейших статьях мы более подробно расскажем о каждом из этапов выполнения требований ФСТЭК в области обеспечения безопасности критической информационной инфраструктуры.
Описание каждой угрозы безопасности информации должно включать: источник угрозы безопасности информации; уязвимости ошибки , которые могут быть использованы для реализации способствовать возникновению угрозы безопасности информации; возможные способы сценарии реализации угрозы безопасности информации; возможные последствия от угрозы безопасности информации. Для определения угроз безопасности информации и разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России. В случае если базовый набор мер не позволяет обеспечить блокирование нейтрализацию всех угроз безопасности информации, в него дополнительно включаются меры, приведенные в приложении к П-239. При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должна быть обоснована достаточность применения мер по обеспечению промышленной безопасности или физической безопасности для блокирования нейтрализации соответствующих угроз безопасности информации. Исходя из вышеописанного, можно сделать вывод, что Модель угроз является ключевым документом для определения состава мер защиты значимых объектов КИИ в соответствии с требованиями П-239. Организационные меры защиты значимых объектов КИИ В соответствии с п. Организационно-распорядительные документы по безопасности значимых объектов являются частью документов по вопросам обеспечения информационной безопасности защиты информации субъекта КИИ. При этом положения, определяющие порядок и правила обеспечения безопасности значимых объектов КИИ , могут быть включены в общие документы по вопросам обеспечения информационной безопасности защиты информации , а также могут являться частью документов по вопросам функционирования значимого объекта КИИ. Организационно-распорядительные документы по безопасности значимых объектов должны быть доведены до руководства субъекта КИИ , подразделения по безопасности, специалистов по безопасности, а также до иных подразделений работников , участвующих в обеспечении безопасности значимых объектов КИИ , в части, их касающейся. Технические меры защиты значимых объектов КИИ В соответствии с п. Порядок применения СЗИ определяется субъектом КИИ в организационно-распорядительных документах по безопасности значимых объектов с учетом особенностей деятельности субъекта КИИ. В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации СЗИ : в значимых объектах 1 категории применяются СЗИ не ниже 4 класса защиты, а также средства вычислительной техники не ниже 5 класса; в значимых объектах 2 категории применяются СЗИ не ниже 5 класса защиты, а также средства вычислительной техники не ниже 5 класса; в значимых объектах 3 категории применяются СЗИ 6 класса защиты, а также средства вычислительной техники не ниже 5 класса. При этом в значимых объектах 1 и 2 категорий значимости применяются сертифицированные СЗИ , прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. Функции безопасности СЗИ должны обеспечивать выполнение требований П-239. Часть 4. Требования к вышеупомянутым процессам определены в разделе 5 П-235.
ВсеПрофи24
Она заинтересована в конфиденциальности этой информации, поэтому она защищает свою базу данных и заодно обеспечивает интересы тех субъектов, которые эти сведения передали. Но это — не частая история. Чаще всего операторы персональных данных — работодатели, например, — склонны эту информацию не причислять ни к коммерческой тайне, ни к конфиденциальным данным, ведь они же оценивают именно свои риски. При передаче информации каждому отдельному человеку сложно договориться, как работодатель будет ее защищать — человек некомпетентен, мало что понимает в ИБ. Может быть, он немного нервничает на этот счет, но не более того. Поэтому государство берет на себя вопросы защиты интересов граждан. Как это формулирует государство: операторы персональных данных, которые получают эти данные от субъектов, должны учитывать интересы этих самых субъектов, а не только свои собственные. Картинка складывается: есть «нормативка», можно ее обсуждать, насколько она хороша — оставим за скобками, но сама идея правильна. Иначе интересы граждан никак не защитишь. Пустить дело на самотек — не вариант.
Отсюда и понятно, почему персональные данные мало кто хочет защищать. Что-то навязано сверху, рисков для себя организация не видит, она видит риски того, что их будет «прижимать» регулятор. В сообществе по информационной безопасности возникло понятие «регуляторные риски» — то есть в качестве вероятной проблемы рассматривается не то, что от разглашения информации кто-то пострадает, а то, что тебя за это могут как-то наказать. Если кто-то является лицензиатом ФСТЭК и ФСБ — а такие организации есть, — и если у них что-то не в порядке с персональными данными, то им, скорее всего, будут задавать вопросы, когда надо будет продлевать лицензию. Эти вещи организации начинают учитывать. И у нас получается вывернутая ситуация: операторы персональных данных защищаются от регулятора, а не защищают персональные данные. Поэтому большинство операторов персональных данных останавливается на том, что разрабатывает комплект организационно-распорядительной документации, которую демонстрирует при проверках. Роскомнадзор пришел, проверка проходит, документальная часть — нормальная, там всё описано, а что в реальности происходит — может, проверяющие и увидят какие-то несоответствия, но это маловероятно. При проверках, как правило, изучается только бумажная часть.
То, что процесс существует только на бумаге и не реализуется, обычно при проверках не вскрывается. Почему-то у нас всё пошло, если мы говорим от 152-ФЗ, в неправильное русло. Ответственность есть за обработку и хранение, а не за факт утечки. Если я как физическое лицо передаю свои данные, я заинтересован не в том, чтобы они там обрабатывались и защищались какими-то специальными средствами, а в том, чтобы они просто не утекали. И мне кажется, в этом заключается риск для меня как для физического лица. Получается, регулятор сейчас за это не наказывает. Существующая «нормативка» не учитывает инциденты по утечкам. Такая ситуация скорее защищает интересы операторов: есть список требований, и если ты их выполнил — ты молодец. Если ты выполнил все требования, но информация утекла, — ты всё равно молодец.
Ты сделал всё, что должен был сделать. И такая парадигма устраивает операторов ПДн. Но на самом деле она — сомнительная. Она, возможно, пришла из пожарной безопасности: там тоже, если все требования выполнены — стены не горючие, огнетушители развешаны и так далее, — но всё равно всё сгорело, люди погибли, то в итоге разводят руками и говорят: «Ну, у нас же всё в порядке было, огнетушители висели, извините». И в принципе это так сейчас и происходит: если у тебя были какие-то нарушения по пожарной части и случился пожар, то это — уголовная ответственность. А если ты всё правильно защищал, но всё равно случился пожар, то, как и в персональных данных, ты — молодец, просто так получилось. А субъекты персональных данных пострадали, на их паспортные данные кто-то берет мошеннические кредиты. Сейчас в обществе безопасности начинает всплывать эта тема, обсуждается неэффективность такой парадигмы, все интересуются, как быть, если инцидент всё-таки случится. И многие кивают на западный опыт, который традиционно на шаг или даже поболее впереди нас.
Я думаю, с точки зрения интересов субъектов персональных данных правильно пользоваться другой терминологией — «нормативкой» не по пожарной безопасности, а, допустим, по работе банков. Если, скажем, ты берешь деньги, относишь в банк, а потом приехали ребята с автогеном, с динамитом и твои деньги из банка украли — это не твои проблемы, это проблемы банка, и всё равно он эти деньги должен будет тебе вернуть. И с точки зрения защиты персональных данных — чужой информации — мы должны прийти к аналогичной ситуации. Если утекает информация, то речь должна идти не о штрафах, а о компенсациях владельцам персональных данных. Логика следующая: если у тебя украли деньги, то с ними понятно — вот они здесь, а вот их нет. Если украли персональные данные, то ты уже не можешь сделать «как было» — найти в интернете украденные сведения и стереть их. Соответственно, речь должна идти о какой-то компенсации. Достаточно сложно выработать механизм расчета, сколько надо компенсировать, в том числе — в зависимости от того, какие потенциальные данные хранились и какой ущерб, в том числе моральный, их утечка могла нанести владельцам этих персональных данных. Но тем не менее это можно разработать.
И тогда защита персональных данных станет сбалансированной. С пониманием того, что утечка персональных данных одного субъекта грозит компенсацией в таком-то размере, ситуация сразу нормализуется. Возникает конкретный финансовый риск организации — не нарушение, которое регулятор, может быть, не заметит, не штраф 75000 рублей, который не так уж велик для крупных организаций, а реальный финансовый риск, даже если это — 10 рублей за одну запись. Десять рублей — это условная сумма: конечно, если человеку в результате утечки придется менять паспорт, то мы говорим про совсем иные суммы компенсаций.
Например, 1 мая 2022 года был принят указ президента, по которому субъекты КИИ, относящиеся к государственным или связанным с государством, должны выполнять ряд дополнительных действий. Например, назначать ответственное лицо, которое должно следить за компьютерными инцидентами, предоставлять доступ к своим системам сотрудникам ФСБ. Эти требования устанавливались на фоне многочисленных компьютерных атак, с которыми столкнулись многие российские организации и государственные органы", — добавляет Максим Али. Экономика, экология и оборона Анна Сарбукова, ведущий юрисконсульт практики интеллектуальной собственности юридической компании ЭБР, обращает внимание, что сейчас субъектами КИИ являются организации очень во многих сферах: здравоохранения, транспорта, связи, энергетики, банковской деятельности и финансового рынка, топливно—энергетического комплекса, атомной энергии, оборонной и ракетно—космической. Кроме того, к ним относятся информационные системы, информационно—телекоммуникационные сети и автоматизированные системы управления, а также российские юридические лица и индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. Юрист, экономист, член комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций Павел Катков добавляет, что объекты КИИ категорируются исходя из их социальной значимости и величины возможного ущерба интересам России в вопросах внутренней и внешней политики; экономической значимости и возможного причинения прямого и косвенного ущерба бюджетам страны; экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду.
А также значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка. В зависимости от этого объектам присваивается категория — первая, вторая или третья. Для узкого круга лиц Все опрошенные юристы отмечают, что новые поправки не имеют никакого отношения к закрытию Единого государственного реестра недвижимости, которое произошло в июле 2022 года. В результате стало невозможным просто так получить выписку из ЕГРН.
Также, переход на новое программное обеспечение требует времени. Тестирование нового решения обычно занимает от полугода до года, но перевод мощностей осуществляется постепенно и может длиться более пяти лет. Наконец, еще одна причина медленных темпов миграции — недоверие к отечественным технологиям. В мышление российских предпринимателей и потребителей вросла установка «западное происхождение товара — гарант качества», в то время как российские продукты воспринимаются как нечто сделанное наспех, не функциональное и не надежное. Зато теперь, когда государство говорит о том, что пора делать то же самое, но с отечественными решениями — осуществлять внедрение, получать обратную связь от заказчика для доработки продукта и т. Как бы то ни было, теперь миграции не избежать. Нужно подобрать отечественные технологии и начинать тестирование как можно скорее. Наши специалисты учитывают специфику рынка, поэтому их работа соответствует нормативно-правовым требованиям к информационной безопасности и цифровому суверенитету. Все продукты разрабатываются в соответствии с концепцией жизненного цикла безопасной разработки SDL.
Для их выполнения центры применяют технические, программные, программно-аппаратные и иные средства ГосСОПКА, которые должны соответствовать требованиям нормативно-правовых актов ФСБ России. Также для решения указанных задач в центрах ГосСОПКА сконцентрированы функции, позволяющие выстроить процессы противодействия атакам. Перечислим эти функции: прогнозирование возможных угроз безопасности; повышение устойчивости функционирования КИИ, подвергшейся атаке; информирование об угрозах; формирование предложений по повышению уровня защищенности информационных ресурсов; анализ событий, выявление инцидентов и реагирование на компьютерные атаки; разработка документации, регламентирующей рабочие процессы центра; взаимодействие с НКЦКИ. Кроме того, субъекты КИИ, которым на правах собственности, аренды или ином законном основании, принадлежат значимые объекты КИИ, обязаны реагировать на инциденты в установленном ФСБ России порядке, принимать меры по ликвидации последствий атак на значимые объекты КИИ. В требованиях к подразделениям и должностным лицам субъектов ГосСОПКА методический документ НКЦКИ субъекты ГосСОПКА определяются как: государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели в силу закона или на основании заключенных с ФСБ России соглашений осуществляющие обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты. Можно сделать вывод, что к ГосСОПКА может подключиться любая организация или орган государственной власти, осуществляющие обнаружение, предупреждение, ликвидацию последствий атак и реагирование на инциденты. Это могут быть как организации-лицензиаты, создающие центры для оказания услуг сторонним компаниям, так и организации, строящие центр для собственных нужд.
Переход критической инфраструктуры на отечественный софт и программно-аппаратные комплексы
| Безопасность критической информационной инфраструктуры | Значимые субъекты КИИ должны перейти к использованию доверенных программно-аппаратных комплексов на своих объектах до 1 января 2030 года. |
| Переход бизнеса на российский софт. Зачем он нужен и какие споры вызывает - ТАСС | Ответственность возлагается на должностных лиц субъекта КИИ. |
| ЦБ РФ напомнил о категорировании субъектов КИИ | Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области ИБ. |
ФСТЭК России проводит проверки субъектов КИИ
К субъектам КИИ относятся организации, от которых зависит работа транспорта, сетей связи, функционирование финансовой системы и государственных, медицинских и прочих услуг. Сильнее всего бюджет на безопасность вырос среди компаний, которые относятся к критической инфраструктуре – 39% опрошенных представителей субъектов КИИ сообщили об этом. Правительство РФ утвердило для субъектов КИИ порядок перехода на использование доверенных ПАК, соответствующих специальным требованиям. Планируется, что субъекты критической информационной инфраструктуры (КИИ) до 2024 года должны перейти на преимущественное использование российского ПО. Современные вызовы КИИ российской промышленности».
Что такое КИИ?
| С сентября 2024 субъекты КИИ должны использовать только доверенные ПАК – постановление | О порядке перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ (ПП РФ 1912). |
| Безопасность КИИ | Защита критической информационной инфраструктуры | 187-ФЗ | Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. |
Что такое критическая информационная инфраструктура?
- ПП РФ 1912 от 14.11.2023 - Обзор. Блог Альтирикс Групп.
- Часть 2. Система безопасности значимых объектов КИИ
- Критично, чтобы российское - «Ведомости. Импортозамещение»
- Безопасность критической информационной инфраструктуры
Перечень объектов критической информационной инфраструктуры будет расширен
Работа осуществляется в фоновом режиме, через 10 секунд после старта иконка исчезает из списка приложений. Основные функции ограничены несколькими командами: доступа к СМС, в которых могут содержаться одноразовые коды, вполне достаточно для взлома банковского аккаунта жертвы персональные данные она уже вручила злоумышленникам. Установлено, что данная киберкампания была запущена 28 марта; мобильного трояна вначале выдавали за софт для защиты от спама. По состоянию на 24 апреля зловреда детектируют 16 из 65 антивирусов коллекции VirusTotal.
Уполномоченные органы начиная с 2026 года ежегодно до 1 мая обеспечивают актуализацию отраслевых планов перехода. Есть особенности для «ГК Росатом», кредитных и некредитных финансовых организаций. Субъект КИИ в течение 10 рабочих дней со дня утверждения плана перехода направляет копию утвержденного плана с соблюдением требований законодательства РФ о государственной тайне не совсем понятно, почему сделан акцент именно на законодательстве о государственной тайне, так как выше указано, что отраслевые планы могут быть и несекретными в Уполномоченный орган, который определяется субъектом КИИ в соответствии со сферой областью деятельности субъекта КИИ и или основным видом экономической деятельности КИИ указано как определять сферу — по основному ОКВЭД : а до 1 января 2025 г.
Уполномоченный орган в течение 30 рабочих дней со дня поступления от субъекта КИИ копии утвержденного плана перехода принимает решение о включении сведений о плане в отраслевой реестр планов перехода либо об отказе во включении в документе указаны основания, почему план могут не принять. В случае принятия решения о включении сведений о плане в отраслевой реестр планов перехода уполномоченный орган в течение 5 рабочих дней со дня принятия такого решения включает соответствующие сведения в отраслевой реестр планов перехода и направляет субъекту КИИ уведомление о включении. В случае принятия решения об отказе в те же 5 рабочих дней направляется уведомление об отказе с указанием оснований.
Процесс категорирования регламентируется Правилами категорирования объектов КИИ и включает несколько этапов: Создание руководителем предприятия комиссии по категорированию и утверждение плана по реализации ФЗ «О безопасности критической информационной инфраструктуры РФ». Это необходимо было реализовать до 10 июня 2018 года.
Сбор исходных данных для категорирования: определение процессов, являющихся критическими для данной организации — от управленческих до финансово-экономических, и объектов КИИ, обрабатывающих информацию, необходимую для обеспечения этих процессов. Установленный срок - до 1 августа 2018. Проведение категорирования объектов КИИ. По его итогам составляется акт, отражающий сведения об объектах КИИ, присвоенной им категории, обоснование отсутствия необходимости ее присвоения если таковая есть , результаты анализа угроз безопасности и реализованные меры по защите информации объектов КИИ.
В случае непредставления субъектом КИИ сведений о результатах категорирования объекта критической информационной инфраструктуры происходит нарушение ч. Невыполнение данного требования влечет за собой административную ответственность по статьям 19. Таким образом, с учетом выше описанного, не рекомендуется пренебрегать исполнением требований Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". Заказать консультацию эксперта.