В их числе – субъекты критической информационной инфраструктуры (КИИ). Категорирование объектов КИИ проведение работ всех категорий от здравоохранения до МО. 2. Создание и бесплатное распространение для субъектов КИИ автоматизированной системы федерального уровня по передаче информации об объектах КИИ (на связанных с ГТ) 3. Переход субъектов КИИ РФ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ РФ должен быть завершен до 1 января 2030 года. Современные вызовы КИИ российской промышленности».
О критической информационной инфраструктуре (КИИ)
Определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, управления и контроля ими. Формирование перечня объектов КИИ, подлежащих категорированию. Перечень объектов для категорирования подлежит согласованию с ведомством-регулятором, утверждается субъектом КИИ и в течение 5 рабочих дней после утверждения направляется во ФСТЭК России. Оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ в соответствии с показателями, указанных в Правилах. Всего предусматривается 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ, а также его значимость для обеспечения правопорядка, обороны и безопасности страны. Присвоение каждому из объектов КИИ одной из категорий значимости в соответствии с наивысшим значением показателей, либо принятие решения об отсутствии необходимости присвоения категории. Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией под председательством руководителя субъекта КИИ или уполномоченного им лица , его работников и, при необходимости, приглашённых специалистов ведомств-регуляторов в соответствующей сфере. Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения направляется во ФСТЭК России. Предоставленные материалы в тридцатидневный срок со дня получения проверяются регулятором на соответствие порядку осуществления категорирования и оценивается правильность присвоения категории. Категория значимого объекта КИИ может быть изменена по мотивированному решению ФСТЭК России в рамках государственного контроля безопасности значимых объектов КИИ, в случае изменения самого объекта КИИ, а также в связи с реорганизацией субъекта КИИ в том числе ликвидацией, изменением его организационно-правовой формы и т.
ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак далее — силы и средства ОПЛ КА. К силам ОПЛ КА относятся: уполномоченные подразделения ФСБ России; национальный координационный центр по компьютерным инцидентам, который создается ФСБ России для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов; подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты. В данной системе должна собираться и агрегироваться вся информация о компьютерных атаках и инцидентах, получаемая от субъектов КИИ.
Главный барьер на пути к замещению импортного программного обеспечения — отсутствие полных аналогов на российском ИТ-рынке. Еще сложнее дело обстоит с целыми экосистемами, основанными на импортных решениях: в этом случае создание полного стека отечественных технологий может потребовать нескольких лет. Пока что выходом является комбинирование нескольких продуктов для обеспечения компании необходимым функционалом. Альтернативной этому решению является использование отечественного стека совместимых продуктов от нескольких российских поставщиков. Также, переход на новое программное обеспечение требует времени. Тестирование нового решения обычно занимает от полугода до года, но перевод мощностей осуществляется постепенно и может длиться более пяти лет. Наконец, еще одна причина медленных темпов миграции — недоверие к отечественным технологиям.
В мышление российских предпринимателей и потребителей вросла установка «западное происхождение товара — гарант качества», в то время как российские продукты воспринимаются как нечто сделанное наспех, не функциональное и не надежное. Зато теперь, когда государство говорит о том, что пора делать то же самое, но с отечественными решениями — осуществлять внедрение, получать обратную связь от заказчика для доработки продукта и т.
Так, в конце апреля глава Минцифры Максут Шадаев, выступая на годовом собрании АРПП «Отечественный софт», сообщил, что министерство очень рассчитывает на принятие в весеннюю сессию законопроекта о преимущественном использовании всеми субъектами КИИ отечественного ПО. Такой документ еще в сентябре 2022 г. В поручении говорилось, что проект должен устанавливать «требования по преимущественному использованию всеми субъектами КИИ отечественных ПО, программно-аппаратных комплексов, телекоммуникационного оборудования и радиоэлектронной продукции с учетом их готовности к массовому внедрению на принадлежащих им значимых инфраструктурных объектах».
Законопроект наделяет правительство и отраслевые ведомства правом устанавливать перечень критических информационных систем, которые будут относиться к объектам КИИ, в каждой отрасли», — указал тогда в ходе своего выступления Максут Шадаев. Кроме того, по каждой отрасли, по каждому виду таких объектов будут определяться предельные сроки перехода на российские решения, сказал министр. До этого мысль о том, что запрет для каждой отрасли на использование иностранного ПО будет определять правительство, озвучивал вице-премьер Дмитрий Чернышенко. Причем эти сроки должны быть синхронизированы со сроками готовности к массовому внедрению соответствующих отечественных решений. На сегодняшний день документ уже готов, согласован с заинтересованными сторонами и в ближайшее время будет внесен в Госдуму, сообщали «Ведомости» со ссылкой на свои источники, знакомые с ходом обсуждения законопроекта.
Есть ли готовность? По словам советника генерального директора Content AI Олега Сажина, с точки зрения готовности отечественных игроков заместить иностранные решения ситуация выглядит по-разному для разных классов ПО.
N 452 14 2. В случае если функционирование одного объекта критической информационной инфраструктуры зависит от функционирования другого объекта критической информационной инфраструктуры, оценка масштаба возможных последствий, предусмотренная подпунктом "е" пункта 14 настоящих Правил, проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект. Информация об изменениях: Правила дополнены пунктом 14 3 с 24 апреля 2019 г. N 452 14 3. В случае если осуществление критического процесса зависит от осуществления иных критических процессов, предусмотренная подпунктом "е" пункта 14 настоящих Правил оценка проводится исходя из совокупного масштаба возможных последствий от нарушения или прекращения функционирования всех выполняемых критических процессов. Информация об изменениях: См. Перечень объектов утверждается субъектом критической информационной инфраструктуры.
Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры. По мере необходимости указанный перечень может быть изменен в порядке, предусмотренном для его разработки и утверждения. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов внесения изменений в перечень объектов. Перечень объектов в течение 10 рабочих дней после утверждения направляется в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
Категорирование КИИ
На официальном веб-ресурсе правовой информации появился документ, предполагающий расширение перечня субъектов критической информационной инфраструктуры (КИИ). Субъектами КИИ являются государственные органы, а также госучреждения, российские юридические лица или индивидуальные предприниматели. Субъектами КИИ являются государственные органы, а также госучреждения, российские юридические лица или индивидуальные предприниматели. В КоАП внесена ответственность за предоставление недостоверных сведений о категорировании объектов КИИ, а также утверждены правки в процедуру категорирования объектов КИИ и. По таким объектам КИИ установят сроки перехода на российские продукты.
Оставить свой комментарий:
- Как выполнить требования закона о защите критической инфраструктуры - Российская газета
- Что такое критическая информационная инфраструктура?
- Треть российских компаний увеличивает бюджет на безопасность - SearchInform
- ФЗ-187 — основной нормативно-правовой акт в отношении КИИ
- Переход бизнеса на российский софт. Зачем он нужен и какие споры вызывает - ТАСС
Новые требования для субъектов КИИ: Безопасная разработка прикладного ПО
Итак, мы с вами разобрались, что такое КИИ и кого мы можем называть субъектом критической информационной инфраструктурой. После осознания руководством предприятия принадлежности к субъектам КИИ, необходимо создать внутреннюю комиссию по категорированию. В 2022 году многие организации пересмотрели свои ИБ-бюджеты, в том числе субъекты критической информационной инфраструктуры (КИИ). К субъектам КИИ относятся организации, от которых зависит работа транспорта, сетей связи, функционирование финансовой системы и государственных, медицинских и прочих услуг. Кабмин внес в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры РФ на использование российского программного обеспечения (ПО).
Подписан закон об изменении перечня субъектов критической информационной инфраструктуры
Сегодня тема технологической независимости критической информационной инфраструктуры находится на стыке нескольких направлений и, безусловно, в этом вопросе нам нужно регулирование, дополнительный понятийный аппарат. Сегодня Председатель Правительства поручил всем индустриальным центрам компетенций провести работу по выделению критических информационных систем и процессов, с точки зрения устойчивости к вызовам и угрозам, связанным с не утратой контроля за теми инструментами, которые мы у себя применяем. Такую работу мы проведем, типовые объекты КИИ утвердим, посоветовавшись с отраслями, после чего должны будут появиться планы перехода, которые станут отображением матрицы: что мы должны поменять, почему, на что, когда и зачем. Работа для нас понятная, ведем ее вместе со всеми отраслями. Вице-президент Транснефти Андрей Бадалов высказал обеспокоенность большим количеством отчетных показателей по импортозамещению. При этом ключевыми показателями должны стать безопасность и непрерывность работы и это в прямом смысле не эквивалентно просто импортозамещению.
Важно выбрать такие отечественные решения, которые обеспечат более высокий уровень безопасности КИИ, чем импортные. Делать это надо, сохраняя устойчивость КИИ. Мы многое будем делать впервые и важно в этом вопросе не торопиться. Решения не просто должны заработать, но и обеспечить в компаниях непрерывность и безопасность их производственных процессов. Мы понимаем, что иногда запрашиваем большое количество информации по различным вопросам, связанным с объектами КИИ, однако, эта детализация необходима, чтобы в том числе понимать в каких областях есть сложности и где требуется скорректировать подходы.
Директор дирекции информационных технологий, автоматизации и телекоммуникаций «Газпром нефти» Антон Думин поднял вопрос неоднозначного толкования понятийного аппарата в нормативной базе: Не всегда однозначно трактуются термины, которые применяются, например, такие как «программно-аппаратные комплексы» или что означает понятие «импортозаместить» внутри КИИ.
Уполномоченные органы должны ежегодно до 1 мая обновлять эти планы. После утверждения они направляют их субъектам КИИ. Субъекты, в свою очередь, должны разработать личный план перехода, включающий: Общие сведения.
Как отметила Черкессова, в министерстве формируют требования по этому вопросу. Во второй половине марта 2022 года президент России Владимир Путин подписал закон о технологической независимости России. Закон подразумевает запрет на приобретение иностранного программного обеспечения ПО для объектов критической информационной структуры России.
Категории значимости объектов КИИ представлены в трех уровнях: высокий 1 , средний 2 и низкий 3. Важно отметить, что если объект относится к высшей категории по одному из показателей критериев, то расчет по остальным показателям не выполняется. Категории значимости КИИ Описание Социальная Возможность причинения ущерба жизни или здоровью людей, а также прекращения или нарушения функционирования объектов, обеспечивающих жизнедеятельность населения. Без категорирования объектов КИИ невозможно определить необходимые технические и организационные меры защиты.
Секретные адреса: сделки с недвижимостью защитили от хакеров
В письме РСПП, выдержки из которого опубликованы в РБК , приводятся следующие аргументы против готовящейся директивы: Переход предприятий, управляющих КИИ, на российское ПО и оборудование потребует существенные затраты, что приведет к росту цен и снижению конкуренции на рынке, а в конечном счете к ухудшению качества услуг и отставанию в развитии разных сегментов рынка. В перечень предприятий, которые собираются обязать выполнять требования, включены наименее важные объекты третьей категории и объекты без присвоенной категории. Не только те, от которых зависит информационная безопасность и обороноспособность страны. Шохин приводит в пример частные банки, поликлиники, мобильных операторов, операторов по продаже билетов. По мнению главы РСПП, на российском рынке мало ПО и оборудования, которые могут заменить импортные аналоги, "только 49 из 3827 позиций перечня российской радиоэлектронной продукции "теоретически" могут быть использованы на производстве, указывает он, ссылаясь на анализ, проведенный представителями промышленности", говорится в статье. Бизнес опасается того, что требования будут ужесточены в процессе внедрения. То есть получается, что мы можем доказать необходимость использования иностранного ПО и оборудования на наших предприятий, но регулятор в любой момент введет дополнительные требования", — ответили в РСПП по запросу ТАСС. Что отвечают IT-компании Разработчики, то есть те компании, которые должны осуществить импортозамещение на объектах КИИ, не согласны с позицией РСПП и предприятий, выступающих против готовящихся требований.
Проект приказа разработан с целью устранить существующий пробел, а также унифицировать порядок обращения со служебной информацией для иных государственных органов, органов государственных внебюджетных фондов, органов местного самоуправления, а также организаций, осуществляющим в соответствии с федеральными законами отдельные публичные полномочия, при обращении со служебной информацией.
При этом конкретизируется область действия положений, вводятся отдельно термины «служебная информация ограниченного доступа» и «документ для служебного пользования», а также иная терминология для уточнения порядка обращения с указанными сведениями и документами. Согласно проекту, внутренний порядок обращения с документами для служебного пользования в органах и организациях определяется самостоятельно руководителем. Общественное обсуждение приказа завершилось 5 мая. ТК 362 На странице технического комитета по стандартизации «Защита информации» далее — ТК 362 опубликован ряд отчетных документов о выполненных работах: традиционные справки-доклады о ходе работ по плану по состоянию на 29. Согласно указанным документам выполнены следующие работы: 1. Идентификация и аутентификация. Формальная модель управления доступом. Часть 3.
Часть 4. Руководство по управлению рисками информационной безопасности. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения». Система управления информационной безопасностью. Техника защиты информации. Номенклатура показателей качества». Системы автоматизированного управления учетными записями и правами доступа.
Классификация средств защиты информации от несанкционированного доступа и номенклатура показателей качества». Разосланы на рассмотрение в организации-члены ТК 362 проект Рекомендаций по стандартизации «Информационная технология.
Действующее сегодня зарубежное оборудование постепенно заменят на технику и софт, зарегистрированные в реестрах российских радиоэлектронной продукции и программного обеспечения. Планы перехода субъектов КИИ на доверенные программно-аппаратные комплексы к следующему сентябрю уже должны быть утверждены.
Артём Шейкин. Зачастую компании, органы и организации этим правом пренебрегали и минимизировали количество систем, которые определяются как КИИ, чтобы не нести существенные затраты на обеспечение информационной безопасности Артём Шейкин, член Комитета СФ по госстроительству и законодательству Сегодня в верхней палате пошёл круглый стол, где обсуждались вопросы обеспечения технологической независимости и безопасности критической информационной инфраструктуры РФ.
Как сообщил глава департамента цифровых технологий Минпромторга РФ Владимир Дождев, уже готов перечень типовых объектов критической инфраструктуры , которые в обязательном порядке должны пройти категорирование и быть защищены. Сенатор Шейкин в ходе мероприятия преждожил распространить господдержку не только на разработку российского программного обеспечения, но его внедрение и сопровожение проектов в данной сфере.
электроэнергетика и теплоэнергетика, генерация и электросети, предприятия и специалисты энергетики
- Список субъектов КИИ расширен сферой госрегистрации недвижимости
- Услуги и сервисы
- Ваше сообщение отправлено
- Застрахуй утечку
- В 2024 году субъекты КИИ начнут пользоваться доверенными ПАК
Обзор Постановления Правительства Российской Федерации от 14.11.2023 № 1912
Краткое резюме ПАК, не являющиеся доверенными в контексте данного нормативного правового акта НПА , в том числе средства защиты информации СЗИ , можно приобрести до 01. Приобретение ПАК, не являющихся доверенными, с 01. Функции защиты на уровне идентификации, аутентификации пользователей, управления доступом реализованы во множестве ПАК, не являющихся сертифицированными СЗИ например, коммутатор, программируемый логический контроллер — это как раз те самые встроенные средства защиты, приоритетное использование которых предписывает Приказ ФСТЭК России от 25. Акцент на соблюдение законодательства о государственной тайне тоже оставляет вопросы.
Тут можно порекомендовать субъектам КИИ ориентироваться на отраслевые планы перехода от Уполномоченных органов, с каким грифом или пометкой они придут, с такими же отправлять собственные разработанные планы и отчеты о ходе их реализации. Планы субъектов КИИ должны содержать довольно большой перечень информации.
Кто контролирует выполнение требований закона о безопасности КИИ? Постановление Правительства Российской Федерации от 17. При этом, основанием для проведения плановой проверки будет являться истечение 3 лет со дня: а внесения сведений об объекте КИИ в реестр значимых объектов критической информационной инфраструктуры; б окончания осуществления последней плановой проверки в отношении значимого объекта критической информационной инфраструктуры. Основаниями для внеплановых проверок являются: а истечение срока выполнения субъектом КИИ выданного предписания об устранении выявленного нарушения требований по обеспечению безопасности; б возникновение компьютерного инцидента на значимом объекте КИИ, повлекшего негативные последствия; в приказ органа государственного контроля, изданный в соответствии с поручением Президента РФ или Правительства РФ либо на основании требования прокурора об осуществлении внеплановой проверки.
Чем дольше она откладывает переход, тем сложнее будет уложиться в срок. Но даже если абстрагироваться от требований законодательства, такие организации сейчас подвергаются гораздо большему риску, чем им кажется, рассчитывая на собственную внутреннюю ИТ-экспертизу. Одно из следствий ухода зарубежных вендоров с российского рынка и отсутствия техподдержки и обновлений — это накопление багов и уязвимостей в программном обеспечении, создающее удобное поле для кибератак.
Трудности импортозамещения ПО По данным экспертов в России насчитывается порядка 300 тысяч объектов КИИ, поэтому жесткие требования импортозамещения программного обеспечения в нашей стране действительно являются критически важными. При этом, несмотря на то, что ответственные лица почти в каждой организации имеют KPI по импортозамещению, вопрос о невозможности уложиться в срок до 2025 года остается актуальным. В чем же проблема? Главный барьер на пути к замещению импортного программного обеспечения — отсутствие полных аналогов на российском ИТ-рынке. Еще сложнее дело обстоит с целыми экосистемами, основанными на импортных решениях: в этом случае создание полного стека отечественных технологий может потребовать нескольких лет. Пока что выходом является комбинирование нескольких продуктов для обеспечения компании необходимым функционалом.
Технические меры защиты значимых объектов КИИ В соответствии с п. Порядок применения СЗИ определяется субъектом КИИ в организационно-распорядительных документах по безопасности значимых объектов с учетом особенностей деятельности субъекта КИИ. В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации СЗИ : в значимых объектах 1 категории применяются СЗИ не ниже 4 класса защиты, а также средства вычислительной техники не ниже 5 класса; в значимых объектах 2 категории применяются СЗИ не ниже 5 класса защиты, а также средства вычислительной техники не ниже 5 класса; в значимых объектах 3 категории применяются СЗИ 6 класса защиты, а также средства вычислительной техники не ниже 5 класса. При этом в значимых объектах 1 и 2 категорий значимости применяются сертифицированные СЗИ , прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. Функции безопасности СЗИ должны обеспечивать выполнение требований П-239. Часть 4. Требования к вышеупомянутым процессам определены в разделе 5 П-235. Внедрение организационных и технических мер защиты значимых объектов КИИ Внедрение организационных и технических мер по обеспечению безопасности значимого объекта организуется субъектом критической информационной инфраструктуры в соответствии с проектной и рабочей эксплуатационной документацией на значимый объект, стандартами организаций и включает: установку и настройку средств защиты информации, настройку программных и программно-аппаратных средств; разработку организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности значимого объекта; внедрение организационных мер по обеспечению безопасности значимого объекта; предварительные испытания значимого объекта и его подсистемы безопасности; опытную эксплуатацию значимого объекта и его подсистемы безопасности; анализ уязвимостей значимого объекта и принятие мер по их устранению; приемочные испытания значимого объекта и его подсистемы безопасности. При внедрении организационных мер по обеспечению безопасности значимого объекта осуществляются: организация контроля физического доступа к программно-аппаратным средствам значимого объекта и его линиям связи; реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации программных и программно-аппаратных средств; проверка полноты и детальности описания в организационно-распорядительных документах по безопасности значимых объектов действий пользователей и администраторов значимого объекта по реализации организационных мер; определение администратора безопасности значимого объекта; отработка действий пользователей и администраторов значимого объекта по реализации мер по обеспечению безопасности значимого объекта. При этом анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта. Анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта. При проведении анализа уязвимостей применяются следующие способы их выявления: анализ проектной, рабочей эксплуатационной документации и организационно-распорядительных документов по безопасности значимого объекта; анализ настроек программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта; выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, посредством анализа состава установленного программного обеспечения и обновлений безопасности с применением средств контроля анализа защищенности и или иных средств защиты информации; выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, сетевых служб, доступных для сетевого взаимодействия, с применением средств контроля анализа защищенности; тестирование на проникновение в условиях, соответствующих возможностям нарушителей, определенных в модели угроз безопасности информации. Допускается проведение анализа уязвимостей на макете в тестовой зоне значимого объекта или макетах отдельных сегментов значимого объекта. В случае выявления уязвимостей значимого объекта, которые могут быть использованы для реализации способствовать возникновению угроз безопасности информации, принимаются меры, направленные на их устранение или исключающие возможность использования эксплуатации нарушителем выявленных уязвимостей. По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, отсутствуют уязвимости, как минимум содержащиеся в банке данных угроз безопасности информации ФСТЭК России или выявленные уязвимости не приводят к возникновению угроз безопасности информации в отношении значимого объекта. В ходе приемочных испытаний значимого объекта и его подсистемы безопасности должен быть проведен комплекс организационных и технических мероприятий испытаний , в результате которых подтверждается соответствие значимого объекта и его подсистемы безопасности требованиям П-239, а также требованиям ТЗ на создание значимого объекта и или ТЗ частного технического задания на создание подсистемы безопасности значимого объекта.
Что такое КИИ?
Кто же такие субъекты КИИ? Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле. Ответ: Субъекты КИИ, владельцы значимых объектов КИИ, обязаны в срок не позднее 90 календарных дней с момента включения данного объекта в реестр значимых объектов КИИ.