Субъекты КИИИ: кто это, подходы к определению статуса субъекта критической информационной инфраструктуры, определение сферы деятельности субъекта КИИ и как не. Правительство РФ внесло в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры (КИИ) в России на отечественное программное обеспечение. Субъекты КИИИ: кто это, подходы к определению статуса субъекта критической информационной инфраструктуры, определение сферы деятельности субъекта КИИ и как не.
Критическая информационная инфраструктура (КИИ)
Вмешательство через импортный софт может полностью остановить работу организаций, что приведет к серьезным социальным и технологическим последствиям. В этой связи отказ от иностранного софта и переход на отечественное ПО неизбежен. Иностранного оборудования до последнего времени применялось достаточно много и сегодня его необходимо замещать, параллельно создавая новое. Каких решений не хватает? За это время отечественные компании-разработчики создали большое количество ПО и оборудования, которые могут быть использованы для КИИ. В реестр Минцифры РФ, по последним данным, включено 14, 6 тыс. Это неплохие цифры. При этом доля российского программного обеспечения на отечественных промышленных предприятиях составляет всего четверть. Речь в данном случае идет о технологиях, выполняющих ключевые функции: управление данными о продукции, диспетчеризация, сбор информации со станков и т.
Возможности обрести технологический суверенитет у страны есть. В России есть ПО, которое част ично замещает функционал популярных иностранных продуктов. Однако некоторым программным продуктам аналогов пока нет. Промышленные предприятия преимущественно используют импортный софт для ERP-систем управление процессами и зарубежный инженерный софт проектирование сложных изделий. Еще один программный продукт, замена которого пока проблематична — свободная объектно-реляционная система управления базами данных СУБД Oracle, на которой работают банки. Сейчас Oracle на ср едних задачах можно заместить софтом Postg res, но на доработку полного функционала продукта потребуется время. А вот, например, в области моделирования проектов нефтедобычи наши программы превосходят зарубежные аналоги по всем параметрам.
Для обмена информацией об инцидентах через техническую инфраструктуру необходимо организовать канал защищенного межсетевого взаимодействия, решить организационные вопросы по определению зоны ответственности, и подключить организацию к технической инфраструктуре НКЦКИ под определенной учетной записью. При создании центра необходимо руководствоваться документами ФСБ России, которые определяют требования к организациям и методическую основу деятельности таких центров.
Перечислим эти документы: Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы Российской Федерации; Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации; Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак; Регламент взаимодействия подразделений Федеральной службы безопасности Российской Федерации и организации при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак. Чтобы стать субъектом ГосСОПКА и построить центр ГосСОПКА необходимо: Иметь лицензию ФСБ России на право осуществления работ, связанных с использованием сведений, составляющих государственную тайну, в случае если им обрабатывается соответствующая информация, либо осуществляется деятельность по мониторингу информационных систем, обрабатывающих сведения, составляющие государственную тайну. Порядок лицензирования определен постановлением Правительства Российской Федерации от 15 апреля 1995 г. Иметь лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации по услугам мониторинга информационной безопасности средств и систем информатизации. Порядок лицензирования определен постановлением Правительства Российской Федерации от 3 февраля 2012 г.
Интегрированные корпоративные ИС используются для автоматизации всех функций предприятия и охватывают весь цикл работ от проектирования до сбыта продукции. Учитывая тот факт, что цифровая трансформация в той или иной степени уже затронула большинство сфер экономики страны, к объектам КИИ могут быть причислены любые информсистемы, ИТК-сети, автоматизированные системы управления АСУ. К числу ключевых ИС можно причислить информсистемы операторов связи, банков, медицинских организаций, железнодорожных и авиакомпаний и др. Очевидно: если информационная система функционирует в области здравоохранения, в банковской и финансовой сфере, в организациях транспорта и связи, ТЭК, атомной промышленности, ВПК, ракетно-космической промышленности РКП , горнодобывающей промышленности, металлургической и химической промышленности, она по определению является важным объектом, которому необходимо обеспечить безопасность.
В любом случае он запущен, и сроки перехода уже обозначены на уровне руководства страны. Так, запрет на закупку зарубежного ПО для госструктур действует с 31 марта 2022 года. Полностью отказаться от него они должны с 1 января 2025 года. При этом требование по переводу на отечественное ПО распространяется на все объекты, категорированные как КИИ, независимо от того, являются ли они государственными или частными организациями. Кроме того, Минпромторг России уже разработал порядо к перехода объектов критической информационной инфраструктуры КИИ на программно-аппаратные комплексы ПАКи. Это должно простимулировать процесс и помочь организациям в решении вопроса с переходом на отечественное ПО, чтобы он состоялся в срок и прошел максимально безболезненно. Соответствующий Проект постановления правительства РФ предлаг ает владельцам о бъектов КИИ некий алгоритм действий, который позволит осуществить такой переход своевременно и без информационных потерь. Для начала организации должны будут провести аудит собственных объектов КИИ и разработать план действий. А уже к апрелю 2023 года владельцы объектов должны спланировать переход на ПАКи отечественного производства на основе российского ПО, находящегося в реестрах Минпромторга и Минцифры.
Понятно, что в связи с отсутствием зарубежных аналогов отечественные организации в любом случае будут переходить на ПО российского производства. Задача российских разработчиков — обеспечить их конкурентноспособным ПО. Безопасности, как известно, много не бывает, тем более если речь идет о сохранности данных.
Крайний срок для этого этапа — 1 января 2019 года. За уклонение от предоставления сведений и нарушение установленных сроков предусмотрена ответственность — от административной ст. Вы относитесь к субъектам КИИ?
Помните, что провести категорирование объектов можно и самостоятельно, обучив сотрудников. Но в таком случае есть риск понести значительные финансовые потери из-за ошибок, возникших при категорировании. Разумеется, это все отразится на итоговой стоимости средств защиты информации объектов КИИ.
Подписан закон об изменении перечня субъектов критической информационной инфраструктуры
Соответствующий документ появился в базе нижней палаты парламента в четверг, 21 марта. Согласно документу, речь идёт о переходе на преимущественное использование отечественных программ для электронных вычислительных машин ЭВМ , а также баз данных и радиоэлектронной продукции. Если закон будет принят, то он вступит в силу с 1 марта следующего года.
Поэтому выводы о том, наблюдаем ли мы вектор на снижение внимания к задаче защиты данных, будет правильнее делать в следующем году», — комментирует Алексей Парфентьев. Как изменился бюджет на ИБ в вашей организации Общая картина выделения бюджетов заметно отличалась только в 2020-м пандемийном году, когда компании были вынуждены экстренно переориентироваться под удаленный формат работы и вопросы безопасности откладывали. По данным нашего прошлогоднего исследования меньше половины компаний в России внедряют в свою работу серьезные средства защиты от кибератак , а большинство обходится только антивирусом. Как меняется бюджет на закупку защитного ПО «Мы прогнозируем, что ситуация начнет меняться, начиная со следующего года. Это глобальный тренд — Gartner сообщает, что в 2023 г. У этого глобального тренда в России свое развитие. В этом году проблема защиты информации стала очевидна.
Помимо традиционных рисков утечек информации и атак вирусами-шифровальщиками, с которыми и раньше сталкивалось большинство, многие компании стали жертвами т. Кроме того, мы прогнозируем, что начнет работать отложенный спрос.
Итак, после утверждения отраслевого плана уполномоченные органы в течение 20 рабочих суток направляют готовый вариант организации, работающей с субъектом КИИ. В нем организация обязана указать ряд сведений: общие данные о субъекте КИИ; список значимых субъектов КИИ, принадлежащих этому субъекту, данные о котором есть в спецреестре; данные об эксплуатируемом ПАК; плановые и фактические доли доверенных ПАК, которые использует субъект КИИ; прогнозируемый объем расходов субъекта КИИ по реализации плана перехода. После того, как сведения поступят в госорган, представители последнего в течение месяца его рассмотрят и решат вносить ли его в список аналогичных планов. Если вердикт будет положительным, то уполномоченные органы оповестят компанию о нем в течение 5 рабочих дней, а дальше будут вести специальный отчет.
По стандарту план перехода утверждает руководитель субъекта КИИ, а затем в течение последующих 10 дней отправляет в уполномоченные органы, соблюдая требования законодательства в отношении гостайны. Отметим, организация вправе при определенных обстоятельствах изменить план.
Но в таком случае есть риск понести значительные финансовые потери из-за ошибок, возникших при категорировании. Разумеется, это все отразится на итоговой стоимости средств защиты информации объектов КИИ. А можно обратиться к нашим специалистам, которые помогут определить, относится ли организация к субъектам КИИ, организуют и проведут полный комплекс мероприятий по категорированию объектов КИИ и обеспечению их безопасности. Вы сможете сэкономить время, существенно снизить стоимость работ и избежать ошибок при подготовке документов. Оставить заявку До 1 января осталось совсем немного времени! Узнать больше о категорировании объектов КИИ и задать другие вопросы о средствах защиты информации можно нашим специалистам:.
Импортозамещение ПО для критической информационной инфраструктуры
На официальном веб-ресурсе правовой информации появился документ, предполагающий расширение перечня субъектов критической информационной инфраструктуры (КИИ). Новости законодательства. К субъектам КИИ относятся. Короче говоря, объекты КИИ — это информационные системы, принадлежащие субъектам КИИ и помогающие в выполнении критических процессов.
Безопасность критической информационной инфраструктуры
Новые субъекты КИИ, индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере. Кроме того, согласно проекту, правительство будет определять порядок и сроки перехода значимых объектов КИИ на преимущественное использование российского ПО и оборудования. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов КИИ. После осознания руководством предприятия принадлежности к субъектам КИИ, необходимо создать внутреннюю комиссию по категорированию.
Субъект КИИ: два подхода к определению статуса
СУБД 5 класса защиты - 2 категории значимости. СУБД 4 класса защиты - 1 категории значимости. Многофункциональные МЭ уровня сети 5 класса защиты - 2 категории значимости.
Опубликован 10 июля. Ранее «Телеспутник» писал , что правительство в ближайшее время разработает нормативное определение программно-аппаратного комплекса и представит стандарт для оборудования в сфере критической информационной инфраструктуры. Об этом корреспонденту «Телеспутника» в кулуарах Петербургского международного экономического форума рассказал заместитель главы Минпромторга Василий Шпак.
Альтернативной этому решению является использование отечественного стека совместимых продуктов от нескольких российских поставщиков. Также, переход на новое программное обеспечение требует времени. Тестирование нового решения обычно занимает от полугода до года, но перевод мощностей осуществляется постепенно и может длиться более пяти лет. Наконец, еще одна причина медленных темпов миграции — недоверие к отечественным технологиям. В мышление российских предпринимателей и потребителей вросла установка «западное происхождение товара — гарант качества», в то время как российские продукты воспринимаются как нечто сделанное наспех, не функциональное и не надежное. Зато теперь, когда государство говорит о том, что пора делать то же самое, но с отечественными решениями — осуществлять внедрение, получать обратную связь от заказчика для доработки продукта и т. Как бы то ни было, теперь миграции не избежать. Нужно подобрать отечественные технологии и начинать тестирование как можно скорее. Наши специалисты учитывают специфику рынка, поэтому их работа соответствует нормативно-правовым требованиям к информационной безопасности и цифровому суверенитету.
С 21 марта 2023 года вступают в силу требования постановления Правительства N 2360 новая редакция постановления Правительства N 127 по использованию перечней типовых отраслевых объектов КИИ, мониторингу подведомственных субъектов КИИ, информированию ФСТЭК о нарушениях подведомственных субъектов КИИ, а также по изменению состава показателей критериев значимости. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в ФСТЭК.
Комментарии из Telegram
- Субъекты КИИ перейдут на российский софт к 2030 году - RSpectr
- Почему это важно
- Переход критической инфраструктуры на отечественный софт и программно-аппаратные комплексы
- С сентября 2024 субъекты КИИ должны использовать только доверенные ПАК – постановление
- Главные новости
КТО МЫ, КИИ ИЛИ НЕ КИИ?
- Информационное сообщение ФСТЭК России от 28 апреля 2023 г. N 240/82/818 - ФСТЭК России
- Хотите получать наши новости?
- Похожие статьи
- Получить консультацию
Дата-центры и Закон о КИИ: разбираем нюансы
Самих себя субъекты КИИ как владельцы информации, информационных систем или киберфизических систем как-то защищают, причем, скорее всего, вполне адекватно. В Госдуму внесен законопроект Минцифры о переходе субъектов критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение и радиоэлектронную. Кто же такие субъекты КИИ? Сегодня в отечественной индустрии разработки программных продуктов сложилась уникальная ситуация, когда практически все субъекты КИИ и разработчики прикладного ПО.
Вопрос-ответ
О порядке перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ (ПП РФ 1912). нарушить правила обмена информацией об инцидентах (в частности, между субъектами КИИ). Вывод строя или уничтожение субъектов КИИ подорвет безопасность, экономическую ситуацию, общественное здравоохранение. Основные сферы, в которых могут быть объекты КИИ. Согласно документу, к субъектам критической информационной инфраструктуры (КИИ) теперь будут отнесены лица, которым на праве собственности, аренды или на ином законном. Было проверено более 400 объектов КИИ, принадлежащие 73 субъектам.