Инициатива должна ускорить переход субъектов КИИ на отечественное ПО и оборудование, упростить этот процесс и внести в него определённость, объяснил «СенатИнформ» зампред. Построение системы безопасности КИИ по выгодной цене в Москве и на всей территории РФ: обеспечение защиты субъектов и объектов критической информационной инфраструктуры. Кто же такие субъекты КИИ?
Вопрос-ответ
Из документа следует, что управлять этим механизмом будет Министерство промышленности и торговли России. Ведомство будет выдавать заключение об отсутствии аналога, тем самым разрешая использование не доверенных ПАК в конкретном случае. Минпромторг России будет отвечать за субъекты КИИ в области оборонной, горнодобывающей, металлургической и химических промышленности. Представитель Минпромторга отметил, что ведомство обеспечит взаимодействие с целью мониторинга состояния перехода путем обмена сводными отчетами и выписками. Федеральная служба государственной регистрации , кадастра и картографии будет отвечать за переход субъектов КИИ в сфере регистрации прав на недвижимое имущество и сделок с ним, « Росатом » в области атомной энергии , а « Роскосмос » в области ракетно- космической промышленности.
Кроме того, субъекты КИИ, которым на правах собственности, аренды или ином законном основании, принадлежат значимые объекты КИИ, обязаны реагировать на инциденты в установленном ФСБ России порядке, принимать меры по ликвидации последствий атак на значимые объекты КИИ. В требованиях к подразделениям и должностным лицам субъектов ГосСОПКА методический документ НКЦКИ субъекты ГосСОПКА определяются как: государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели в силу закона или на основании заключенных с ФСБ России соглашений осуществляющие обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты.
Можно сделать вывод, что к ГосСОПКА может подключиться любая организация или орган государственной власти, осуществляющие обнаружение, предупреждение, ликвидацию последствий атак и реагирование на инциденты. Это могут быть как организации-лицензиаты, создающие центры для оказания услуг сторонним компаниям, так и организации, строящие центр для собственных нужд. Москва, ул. Большая Лубянка д. В запросе необходимо изложить сферы деятельности субъекта КИИ, перечень информационных ресурсов, включенных в зону ответственности субъекта, контактные данные руководителя и лиц, ответственных за взаимодействие.
Постановление также утверждает Правила осуществления аккредитации для владельцев и операторов информационных систем, обеспечивающих аутентификацию физических лиц. Согласно Правилам, аккредитация проводится Минцифры России. Правила включают порядок подачи и рассмотрения заявления на аккредитацию, содержание такого заявления, сроки мероприятий в рамках получения аккредитации, основания для приостановления и прекращения действия аккредитации, внесения изменений в перечень аккредитованных органов, а также порядок обжалования полученных решений.
Постановление вступает в силу с 1 июня 2023 года и действует до 1 июня 2029 года. Электронные документы, удостоверяющие личность Для общественного обсуждения представлен проект Указа Президента Российской Федерации «О предъявлении документов с использованием информационных технологий». Общественное обсуждение проекта завершилось 27 апреля, по итогам обсуждения опубликована версия, доработанная в соответствии с поступившими предложениями. Согласно проекту, предъявление сведений из документов, удостоверяющих личность, размещенных в мобильном приложении федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг» Госуслуги будет приравниваться к предъявлению оригинала таких документов. Использование мобильного приложения для указанных целей осуществляется гражданами добровольно. Согласно проекту, Президент РФ постановляет Правительству РФ определить порядок и условия применения мобильного приложения, а также состав и порядок обработки и защиты предъявляемых сведений. При этом для использования мобильного приложения необходимо применять шифровальные криптографические средства защиты, указанные в ч1. Проект находится на стадии независимой антикоррупционной экспертизы.
Приказ вносит ряд изменений, в том числе: уточнены критерии проверки требований, предъявляемых к организации обработки персональных данных далее — ПДн по поручению; уточнены критерии проверки выполнения требований в части трансграничной передачи данных; добавлена проверка обязательности обслуживания клиента при его отказе в предоставлении биометрических ПДн; добавлены критерии проверки соблюдения требований по уведомлению об инцидентах защиты ПДн; добавлены критерии проверки соблюдения требований по процедурам прекращения обработки ПДн и их уничтожению и т. Цифровые отпечатки в финансовых сервисах Центральный Банк Российской Федерации опубликовал Стандарт обеспечения безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств. Стандарт устанавливает рекомендации по формированию цифровых отпечатков устройств в рамках дистанционного предоставления финансовых и банковских услуг для кредитных и некредитных финансовых организаций. Под цифровым отпечатком в стандарте понимается идентификатор устройства, сформированный в виде производного значения из значений параметров устройства, позволяющий идентифицировать устройство пользователя при получении им банковских и финансовых услуг. Стандарт формируется для противодействия осуществлению переводов денежных средств без согласия клиента, расследования инцидентов защиты информации, использования в качестве фактора аутентификации. Стандарт содержит общее описание технологии цифрового отпечатка и ограничения ее использования, алгоритм формирования отпечатка, рекомендации по его хранению и применению. Административные регламенты ФСТЭК России Опубликован проект приказа Федеральной службы по техническому и экспортному контролю Российской Федерации далее — ФСТЭК России , предлагающий отменить административные регламенты по исполнению государственной функции по контролю за соблюдением лицензионных требований при: осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации. Службой также опубликованы для общественного обсуждения проекты приказов, предлагающие утвердить сроки и последовательность административных процедур при осуществлении лицензионного контроля: «Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации в пределах компетенции ФСТЭК России ».
Функционирует при финансовой поддержке Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации Регион Кабмин внёс законопроект о переходе субъектов критической инфраструктуры на российский софт В Госдуму внесён законопроект о переходе субъектов КИИ на ПО РФ для безопасности Правительство РФ внесло в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры КИИ в России на отечественное программное обеспечение ПО для безопасности. Соответствующий документ появился в базе нижней палаты парламента в четверг, 21 марта. Согласно документу, речь идёт о переходе на преимущественное использование отечественных программ для электронных вычислительных машин ЭВМ , а также баз данных и радиоэлектронной продукции.
Субъектов телевещания могут признать объектами критической информационной инфраструктуры
Категорирование объектов КИИ проведение работ всех категорий от здравоохранения до МО. Субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости в соответствии с требованиями 127-П. Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле. субъекты КИИ) на принадлежащих им значимых объектах не. Около трети направленных сведений о результатах присвоения объекту КИИ категории значимости ФСТЭК России возвращает промышленным объектам на доработку.
Подписан закон об изменении перечня субъектов критической информационной инфраструктуры
Речь о том, чтобы предприятия, управляющие КИИ, при выборе софта или оборудования отдавали предпочтение российским продуктам, если таковые имеются. Сегодня доля отечественного ПО и оборудования на таких предприятиях меньше, чем доля импортного. Госкомпании начнут согласовывать приобретение зарубежного софта с Минцифры В требованиях Минцифры не указана доля российского ПО и оборудования, которая должна использоваться на предприятиях. На запрос ТАСС в пресс-службе ведомства уточнили: "При обосновании, в котором могут быть описаны все риски для бесперебойной, безопасной и эффективной работы объектов КИИ, субъект КИИ вправе продолжить использовать иностранное ПО, телекоммуникационное оборудование и радиоэлектронную продукцию. Преимущественное использование означает, что при наличии выбора между аналогичным российским и иностранным ПО и или оборудованием приоритет должен отдаваться российским продуктам. Проект постановления правительства предусматривает ряд исключений, учитывающих специфику всех отраслей, а также отсутствие на сегодняшний день отдельных российских аналогов используемых на объектах КИИ оборудования, продукции и ПО. При переходе на преимущественное использование российского ПО и или оборудования должны учитываться в том числе текущие сроки амортизации используемого субъектом КИИ оборудования и сроки действия прав на использование ПО в отношении используемого ПО и или оборудования, сведения о которых не включены в реестры".
Что такое объекты КИИ?
Если ты выполнил все требования, но информация утекла, — ты всё равно молодец. Ты сделал всё, что должен был сделать. И такая парадигма устраивает операторов ПДн. Но на самом деле она — сомнительная. Она, возможно, пришла из пожарной безопасности: там тоже, если все требования выполнены — стены не горючие, огнетушители развешаны и так далее, — но всё равно всё сгорело, люди погибли, то в итоге разводят руками и говорят: «Ну, у нас же всё в порядке было, огнетушители висели, извините». И в принципе это так сейчас и происходит: если у тебя были какие-то нарушения по пожарной части и случился пожар, то это — уголовная ответственность. А если ты всё правильно защищал, но всё равно случился пожар, то, как и в персональных данных, ты — молодец, просто так получилось. А субъекты персональных данных пострадали, на их паспортные данные кто-то берет мошеннические кредиты. Сейчас в обществе безопасности начинает всплывать эта тема, обсуждается неэффективность такой парадигмы, все интересуются, как быть, если инцидент всё-таки случится.
И многие кивают на западный опыт, который традиционно на шаг или даже поболее впереди нас. Я думаю, с точки зрения интересов субъектов персональных данных правильно пользоваться другой терминологией — «нормативкой» не по пожарной безопасности, а, допустим, по работе банков. Если, скажем, ты берешь деньги, относишь в банк, а потом приехали ребята с автогеном, с динамитом и твои деньги из банка украли — это не твои проблемы, это проблемы банка, и всё равно он эти деньги должен будет тебе вернуть. И с точки зрения защиты персональных данных — чужой информации — мы должны прийти к аналогичной ситуации. Если утекает информация, то речь должна идти не о штрафах, а о компенсациях владельцам персональных данных. Логика следующая: если у тебя украли деньги, то с ними понятно — вот они здесь, а вот их нет. Если украли персональные данные, то ты уже не можешь сделать «как было» — найти в интернете украденные сведения и стереть их. Соответственно, речь должна идти о какой-то компенсации. Достаточно сложно выработать механизм расчета, сколько надо компенсировать, в том числе — в зависимости от того, какие потенциальные данные хранились и какой ущерб, в том числе моральный, их утечка могла нанести владельцам этих персональных данных. Но тем не менее это можно разработать.
И тогда защита персональных данных станет сбалансированной. С пониманием того, что утечка персональных данных одного субъекта грозит компенсацией в таком-то размере, ситуация сразу нормализуется. Возникает конкретный финансовый риск организации — не нарушение, которое регулятор, может быть, не заметит, не штраф 75000 рублей, который не так уж велик для крупных организаций, а реальный финансовый риск, даже если это — 10 рублей за одну запись. Десять рублей — это условная сумма: конечно, если человеку в результате утечки придется менять паспорт, то мы говорим про совсем иные суммы компенсаций. Мой прогноз — так или иначе мы к этому придем. На «SOC-Форуме» один из выступающих сказал, что это — гражданские отношения, сами субъекты персональных данных должны эту ответственность где-то прописать. Но это — не работающее право. Если ты придешь в страховую и скажешь: «Я не буду с вами договор страхования заключать, если вы мне не гарантируете, что в случае утечки моих персональных данных вы мне заплатите 3000 рублей», то на тебя посмотрят как на идиота. Точно так же, как если бы до 2006 года кто-то начал «качать права», что это — мои персональные данные, давайте я вам напишу список, как вы должны их охранять. Так не будет работать.
Порядок нужно доверить государству, а государству — брать это всё в свои руки и регламентировать эти вопросы. Если говорить об утечке биометрических данных — что человек будет делать? Он же не может пальцы или лицо заменить? Ответственность той организации, которая защищает биометрические данные, должна быть в разы выше? Но если украден рисунок радужной оболочки глаза, то человек по сути теряет возможность такой идентификации. И для него это начинает быть проблемой: ему нужно удалить это отовсюду, где он им пользовался, и в дальнейшем этого не применять. Для человека это — потери, и это тоже можно посчитать в деньгах. Если речь — про отпечаток пальца, то придется пользоваться не привычным, а остальными. И это — тоже некое неудобство, которое можно также просчитать. Такая схема касается персональных данных, там ситуация является классической в смысле триады «конфиденциальность, целостность, доступность».
Когда мы говорим о следующем объекте регулирования — критической информационной инфраструктуре, — там эта триада уже эффективно не работает. Там мы говорим о безопасности киберфизических систем, там о конфиденциальности этих данных мало кто беспокоится, всех волнует то, чтобы резервуар с какими-то химикатами не лопнул из-за избыточного давления и ядовитое облако не накрыло город. Тут ситуация несколько меняется: это — риски не ИБ, не нарушения конфиденциальности, и нет процесса передачи информации какому-то оператору, как в случае с персональными данными. Есть много сторон, заинтересованных в том, чтобы эти последствия не наступили: чтобы отопление продолжало поступать в дома, чтобы работало электричество и никого не накрывало ядовитыми облаками. Но схема — примерно та же самая: те риски, которые видит для себя промышленное предприятие, химпредприятие, медицинское учреждение, транспортное, и те риски, которые могут возникнуть вне самого предприятия, но из-за проблем у них — разные. И мы можем предполагать, что эту внутреннюю оценку рисков предприятия для себя сделали. Но последствия для других они точно при этой оценке не рассматривали. На SOC-Форуме Виталий Лютиков в одном из вопросов очень эмоционально сказал, что сообщество информационной безопасности оказалось не готово работать с внешней моделью рисков, которая заложена в 187-ФЗ. Все эти риски, на его взгляд, оказались непонятными. Потому что все «крутились» внутри.
Если у тебя что-то происходит — простой производства, взорвался резервуар с химикатами, еще что-либо, — то, наверное, ты можешь посчитать, сколько на территории твоего предприятия займет нейтрализация последствий.
С 21 марта 2023 года вступают в силу требования постановления Правительства N 2360 новая редакция постановления Правительства N 127 по использованию перечней типовых отраслевых объектов КИИ, мониторингу подведомственных субъектов КИИ, информированию ФСТЭК о нарушениях подведомственных субъектов КИИ, а также по изменению состава показателей критериев значимости. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в ФСТЭК.
Этот вопрос мы должны контролировать в том числе». Среди требований к производителю и разработчику: собственная сеть сервисных центров на территории РФ; наличие прав на документацию, технологию, патентов и исключительных прав на ПО; поддержка продукта на протяжении всего жизненного цикла. Также отдельно Евгений Абакумов остановился на требованиях к аппаратному и программному обеспечению ПАК. Председатель Ассоциации КП ПОО Рената Абдулина представила результаты анализа основных нормативных правовых актов, организационных и методических документов по обеспечению безопасности КИИ: в итоговую карту вошло более 20 документов, которые сегодня регулируют вопросы в этой сфере. Так как сегодня в достаточно сжатые сроки требуется перевести на отечественные решения все объекты КИИ, нам необходимы выверенные термины и правила, которые будут трактоваться однозначно. Чтобы производители отвечали на запрос потребителей, а заказчики в свою очередь могли выстроить приоритизацию перехода на отечественные решения.
Как и кому необходимо подключаться к ГосСОПКА
Субъекты КИИИ: кто это, подходы к определению статуса субъекта критической информационной инфраструктуры, определение сферы деятельности субъекта КИИ и как не. Планируется, что субъекты критической информационной инфраструктуры (КИИ) до 2024 года должны перейти на преимущественное использование российского ПО. По нему к субъектам КИИ относятся те организации, которые для страны жизненно важны и потому должны работать при любой ситуации. Правительство РФ внесло в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры (КИИ) в России на отечественное программное обеспечение.
Информационное сообщение ФСТЭК России от 28 апреля 2023 г. N 240/82/818
Промышленные предприятия преимущественно используют импортный софт для ERP-систем управление процессами и зарубежный инженерный софт проектирование сложных изделий. Еще один программный продукт, замена которого пока проблематична — свободная объектно-реляционная система управления базами данных СУБД Oracle, на которой работают банки. Сейчас Oracle на ср едних задачах можно заместить софтом Postg res, но на доработку полного функционала продукта потребуется время. А вот, например, в области моделирования проектов нефтедобычи наши программы превосходят зарубежные аналоги по всем параметрам.
Экспортный потенциал у того, что будет делаться и делается сейчас, достаточно большой. Реально ли это в принципе? В любом случае, спрос на отечественное ПО в госсекторе и частных структурах за последние год-два вырос в разы.
Самый высокий интерес к нему наблюдается в финансовых институтах и топливно-энергетическом комплексе. Существует также запрос на перенос функциональности зарубежных разработок на отечественные решения. Спрос рождает предложение — закон рынка.
Сейчас у отечественных разработчиков есть все возможности заполнить рынок необходимого программного обеспечения. В нем установлены требования к ПО, используемому органами власти и госкомпаниями на объектах КИИ, правила согласования закупок зарубежного ПО. Основными целями постановления являются запуск процесса импортозамещения применяемых на объектах КИИ программно-аппаратных комплексов, определение конкретных шагов, которые должны быть выполнены, и сроков их реализации.
Составленные и опубликованные планы перехода позволят производителям российской радиоэлектронной продукции оценить требуемые объемы ее выпуска, а также технические и функциональные характеристики, что даст возможность целенаправленно решать поставленные задачи. Свести риски к минимуму компаниям позволит грамотный аудит процессов. Задача организаций — постараться правильно выстроить обновленную ИТ-инфраструктуру: исправить ошибки, заложить возможность развития и масштабирования.
Службой также опубликованы для общественного обсуждения проекты приказов, предлагающие утвердить сроки и последовательность административных процедур при осуществлении лицензионного контроля: «Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации в пределах компетенции ФСТЭК России ». Скорректированы формулировки предмета лицензионного контроля, наименование административных процедур. Исключена блок-схема исполнения государственной функции. Согласно проектам для осуществления контрольных мероприятий предлагается возможность привлечения сторонних экспертов по решению директора ФСТЭК России. Такие эксперты не должны состоять в гражданско-правовых и трудовых отношениях с проверяемой организацией или быть аффилированными лицами лицензиата.
Основанием для включения в ежегодный план проведения проверок теперь является истечение трех лет со дня: государственной регистрации юридического лица, индивидуального предпринимателя ранее был установлен срок — по истечении одного года ; окончания проведения последней плановой проверки юридического лица, индивидуального предпринимателя осталось без изменений. Публичное обсуждение проектов завершилось 25 апреля. Действующее постановление Правительства Российской Федерации от 03. Проект приказа разработан с целью устранить существующий пробел, а также унифицировать порядок обращения со служебной информацией для иных государственных органов, органов государственных внебюджетных фондов, органов местного самоуправления, а также организаций, осуществляющим в соответствии с федеральными законами отдельные публичные полномочия, при обращении со служебной информацией. При этом конкретизируется область действия положений, вводятся отдельно термины «служебная информация ограниченного доступа» и «документ для служебного пользования», а также иная терминология для уточнения порядка обращения с указанными сведениями и документами.
Согласно проекту, внутренний порядок обращения с документами для служебного пользования в органах и организациях определяется самостоятельно руководителем. Общественное обсуждение приказа завершилось 5 мая. ТК 362 На странице технического комитета по стандартизации «Защита информации» далее — ТК 362 опубликован ряд отчетных документов о выполненных работах: традиционные справки-доклады о ходе работ по плану по состоянию на 29. Согласно указанным документам выполнены следующие работы: 1. Идентификация и аутентификация.
Формальная модель управления доступом. Часть 3. Часть 4. Руководство по управлению рисками информационной безопасности.
Желающих оформить заявку на получение пособия подстегивают сжатыми сроками, что в комбинации с некорректным TLD в имени сайта является верным признаком мошенничества. Нажатие кнопки открывает страницу с формой для персональных данных ФИО, телефон, номер банковской карты. После ввода визитера направляют на другую страницу, где предлагается установить на телефон некий «сертификат безопасности», а на самом деле — SMS-трояна.
Заметим, уловка не нова, такое же прикрытие в начале года использовал MetaStealer.
Объект КИИ — это то, что может быть подвержено атаке, как правило, это информационные системы и сети, а также системы управления. Совокупность информации в базах данных и средства, которые ее обрабатывают. Информационно-телекоммуникационные сети ИТКС. Системы, осуществляющие передачу информации по линиям связи. Автоматизированные системы управления АСУ. Комплекс средств автоматизации и информационных технологий для реализации производственных функций. Как правило, у различных сегментов экономики преобладает конкретный тип объекта КИИ, в случае с операторами связи — информационно-телекоммуникационные сети ИТКС. Оператор связи это субъект КИИ? Законодатель пошел простым путем, он ввел критерии, по которым можно быстро определить является организация субъектом КИИ или нет.
То есть субъектами КИИ операторов связи обозначили сразу, а далее каждый утверждает отсутствие, наличие и количество объектов КИИ, описывает их и обеспечивает выполнение мер для обнаружения, предупреждения и ликвидации последствий компьютерных атак. Надзорный орган производит оценку действий и решений субъектов КИИ, контролирует и корректирует их работу. Необходимо провести инвентаризацию следующих систем: Информационных базы данных, файлы данных ; Программных системное и прикладное ПО ; Технических компьютеры, сервера, коммутационное оборудование, носители данных. В случае с операторами связи необходимо выделить критические процессы, прекращение и некорректная работа которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, в том числе у других субъектов КИИ, которые обеспечивают оборону, безопасность и правопорядок государства и критической информационной инфраструктуры.
Хотите получать наши новости?
- Категорирование объектов КИИ
- Треть российских компаний увеличивает бюджет на безопасность - SearchInform
- Субъект критической информационной инфраструктуры: кто это? Подходы к определению КИИ
- Кто пользуется КИИ?
Разделы сайта
- Информационное сообщение ФСТЭК России от 28 апреля 2023 г. N 240/82/818
- С сентября 2024 субъекты КИИ должны использовать только доверенные ПАК -
- Категорирование объектов КИИ
- Новые требования для субъектов КИИ: безопасная разработка прикладного ПО
- Застрахуй утечку
- Категорирование объектов КИИ, ФСТЭК, примеры, акты
Что такое критическая информационная инфраструктура?
Вице-президент Транснефти Андрей Бадалов высказал обеспокоенность большим количеством отчетных показателей по импортозамещению. При этом ключевыми показателями должны стать безопасность и непрерывность работы и это в прямом смысле не эквивалентно просто импортозамещению. Важно выбрать такие отечественные решения, которые обеспечат более высокий уровень безопасности КИИ, чем импортные. Делать это надо, сохраняя устойчивость КИИ. Мы многое будем делать впервые и важно в этом вопросе не торопиться. Решения не просто должны заработать, но и обеспечить в компаниях непрерывность и безопасность их производственных процессов.
Мы понимаем, что иногда запрашиваем большое количество информации по различным вопросам, связанным с объектами КИИ, однако, эта детализация необходима, чтобы в том числе понимать в каких областях есть сложности и где требуется скорректировать подходы. Директор дирекции информационных технологий, автоматизации и телекоммуникаций «Газпром нефти» Антон Думин поднял вопрос неоднозначного толкования понятийного аппарата в нормативной базе: Не всегда однозначно трактуются термины, которые применяются, например, такие как «программно-аппаратные комплексы» или что означает понятие «импортозаместить» внутри КИИ. Хотелось бы, чтобы мы выстраивали понятийный аппарат, учитывая, как будут реализовываться намеченные планы в горизонте десяти лет, а не двух. Эти циклы всегда более длинные и мы должны понимать, как будем двигаться, в том числе по таким направлениям, как восполнение кадрового потенциала или производство и эксплуатация радиоэлектроники. Генеральный директор холдинга Т1 Игорь Калганов также поддержал необходимость создания общего стратегического документа в сфере КИИ и единого глоссария: Когда мы придем к единому пониманию и найдем методы, при которых заказчики будут хотеть признавать себя КИИ, нам всем станет гораздо проще взаимодействовать и договариваться.
Начальник Департамента информатизации РЖД Кирилл Семион высказал предложение разделить понятие безопасности и требований, которые предъявляются к КИИ: Отсутствие импортозависимых компонентов в КИИ не всегда является достаточным, чтобы обеспечить их безопасность.
До 1 января 2030 г. По версии документа ПАК — это радиоэлектронная продукция, в том числе телекоммуникационное оборудование , программное обеспечение ПО и технические средства, работающие совместно для выполнения одной или нескольких сходных задач. Механизм исключений В документе сказано, что допускается к использованию иная продукция «в случае отсутствия произведенных в России доверенных ПАК, являющихся аналогами приобретенных субъектами КИИ».
Из документа следует, что управлять этим механизмом будет Министерство промышленности и торговли России. Ведомство будет выдавать заключение об отсутствии аналога, тем самым разрешая использование не доверенных ПАК в конкретном случае.
Актуальность и достоверность сведений может подтверждаться государственными органами и российскими юридическими лицами, указанными в абзаце первом настоящего пункта, путем ознакомления с объектами критической информационной инфраструктуры по месту их нахождения. При выявлении по результатам мониторинга нарушения сроков работ по категорированию, представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, неактуальных либо недостоверных сведений государственные органы и российские юридические лица, указанные в абзаце первом настоящего пункта, направляют в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о выявленных нарушениях в срок не позднее 30 дней со дня их выявления. К мониторингу, указанному в пункте 19 2 настоящих Правил, государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере деятельности, могут привлекать подведомственные им организации в части оценки актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил. Организации, привлекаемые к оценке актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил, должны иметь в соответствии с Законом Российской Федерации "О государственной тайне" лицензию на проведение работ с использованием сведений, составляющих государственную тайну, а также в соответствии с Федеральным законом "О лицензировании отдельных видов деятельности" лицензию на деятельность по технической защите конфиденциальной информации в части оказания услуг по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации и или услуг по мониторингу информационной безопасности средств и систем информатизации. Состав организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил, определяется государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере деятельности, в соответствии с критериями, определяемыми указанными органами и российскими юридическими лицами по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.
Перечни организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил, размещаются государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере деятельности, на их официальных сайтах в информационно-телекоммуникационной сети "Интернет". Порядок проведения в отношении субъектов критической информационной инфраструктуры, осуществляющих деятельность в каждой из областей сфер , приведенных в пункте 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации", оценки актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил, определяется государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере деятельности. Категория значимости может быть изменена в порядке, предусмотренном для категорирования, в случаях, предусмотренных частью 12 статьи 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
Российское программное обеспечение — Программное обеспечение, в том числе в составе программно-аппаратного комплекса, сведения о котором включены в единый реестр российского ПО. Методические рекомендации по переходу на использование российского программного обеспечения, в том числе на значимых объектах критической информационной инфраструктуры Российской Федерации. Даже если компания-разработчик — российская, ее продукты не будут считаться российским ПО, пока они не будут включены в РРПО.
Подробнее о порядке включения в реестр российского ПО писали тут , а про основные трудности включения тут. В какие сроки вы обязаны осуществить переход? Что такое доверенный ПАК? Критерии признания программно-аппаратных комплексов доверенными программно-аппаратными комплексами 1. Сведения о программно-аппаратном комплексе содержатся в едином реестре российской радиоэлектронной продукции.
Субъект КИИ: два подхода к определению статуса
В Госдуму внесен законопроект Минцифры о переходе субъектов критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение и радиоэлектронную. До 2025 года субъекты КИИ обязали перейти на всё отечественное. Субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости в соответствии с требованиями 127-П. Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле. Переход субъектов КИИ на российское ПО и оборудование имеет под собой основания, по мнению представителя АРПП. Все субъекты КИИ должны быть подключены к ведомственным или корпоративным центрам ГосСОПКА либо создать свой центр ГосСОПКА.
ФСТЭК сообщила об увеличении категории значимости для более чем 40 объектов КИИ в 2023 году
| ВсеПрофи24 | нарушить правила обмена информацией об инцидентах (в частности, между субъектами КИИ). |
| Владельцы социально значимых объектов КИИ будут использовать ПАК | Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области ИБ. |
Безопасность КИИ - Безопасность объектов критической информационной инфраструктуры
Основным нормативным правовым документом, регулирующим взаимодействие различных субъектов в сфере критической информационной инфраструктуры, выступает Федеральный закон от 26. Кто должен защищать КИИ? Защиту объектов КИИ и сетей электросвязи, используемых для организации взаимодействия объектов КИИ, обеспечивают субъекты КИИ в соответствии с действующим законодательством в области информационной безопасности посредством принятия правовых, организационных и технических мер. Субъектами КИИ выступают: 1 государственные органы, государственные учреждения, российские юридические лица и или индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат объекты КИИ, а также 2 российские юридические лица и или индивидуальные предприниматели, которые обеспечивают взаимодействие объектов КИИ ст. Помимо субъектов в процессе обеспечения безопасности объектов КИИ принимают участие: 1 ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, при этом: осуществляет государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры; ведет реестр значимых объектов критической информационной инфраструктуры; проверяет правильность соблюдения порядка осуществления категорирования и определения категории значимости объекта КИИ, и другое.
N 452 14 3. В случае если осуществление критического процесса зависит от осуществления иных критических процессов, предусмотренная подпунктом "е" пункта 14 настоящих Правил оценка проводится исходя из совокупного масштаба возможных последствий от нарушения или прекращения функционирования всех выполняемых критических процессов. Информация об изменениях: См. Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры. По мере необходимости указанный перечень может быть изменен в порядке, предусмотренном для его разработки и утверждения. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов внесения изменений в перечень объектов. Перечень объектов в течение 10 рабочих дней после утверждения направляется в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры. В перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
Допускается оформление единого акта по результатам категорирования нескольких объектов критической информационной инфраструктуры, принадлежащих одному субъекту критической информационной инфраструктуры.
Одним из главных принципов обеспечения безопасности является предотвращение компьютерных атак. Какие организации попадают в сферу действия Закона? Требования Закона затрагивают те организации государственные органы и учреждения, юридические лица и индивидуальных предпринимателей , которым принадлежат на праве собственности, аренды или ином законном основании объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в Законе называются субъектами КИИ.
Какие действия должны предпринять субъекты КИИ для выполнения Закона? Согласно закону, субъекты КИИ должны: провести категорирование объектов КИИ; обеспечить интеграцию встраивание в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации ГосСОПКА ; принять организационные и технические меры по обеспечению безопасности объектов КИИ. Что подлежит категорированию? Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и или иные процессы в рамках выполнения функций полномочий или осуществления видов деятельности субъектов КИИ. Что в себя включает категорирование объектов КИИ?
Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории — первая, вторая или третья в порядке убывания значимости. Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается. В реестр включается следующая информация: наименование значимого объекта КИИ; сведения о взаимодействии значимого объекта КИИ и сетей электросвязи; сведения о лице, эксплуатирующем значимый объект КИИ; присвоенная категория значимости; сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ; меры, применяемые для обеспечения безопасности значимого объекта КИИ.
Подписывайтесь на «Газету. Ru» в Дзен и Telegram.
Импортозамещение ПО для критической информационной инфраструктуры
По нему к субъектам КИИ относятся те организации, которые для страны жизненно важны и потому должны работать при любой ситуации. Новости законодательства. Субъекты КИИ обяжут перейти на доверенные программно-аппаратные комплексы. Соответствующее постановление Правительства РФ было официально опубликовано 14 ноября. До 2025 года субъекты КИИ обязали перейти на всё отечественное.
Обзор законодательства РФ о критической информационной инфраструктуре
Короче говоря, объекты КИИ — это информационные системы, принадлежащие субъектам КИИ и помогающие в выполнении критических процессов. Новости законодательства. В Госдуму внесен законопроект Минцифры о переходе субъектов критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение и радиоэлектронную. С 1 сентября 2024 г. субъектам КИИ России будет запрещено приобретать и использовать ПАК, которые не является доверенными. Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА.