Планируется, что субъекты критической информационной инфраструктуры (КИИ) до 2024 года должны перейти на преимущественное использование российского ПО.
Другие материалы
- Категорирование КИИ
- Переход бизнеса на российский софт. Зачем он нужен и какие споры вызывает - ТАСС
- Обновление подборки законодательства о КИИ на сентябрь 2023
- Комментарии из Telegram
- Что является целью Закона и как он должен работать?
- В Госдуму внесён законопроект о переходе субъектов КИИ на ПО РФ для безопасности
Что такое критическая информационная инфраструктура?
С целью выработки единых подходов ассоциация "Ростелесеть" формирует для своих участников рекомендованные документы. По мере корректировки видения этот пакет документов будет меняться и расширяться. Сроки исполнения Большинство государственных органов и учреждений уже прошли этап создания комиссии, утверждения перечня объектов КИИ и их категорирования. Процесс активно проходит с 2017 года. Для коммерческих компаний эти даты можно рассматривать как рекомендованные, ФСТЭК уже начал рассылать запросы участникам ассоциации, а привлечение прокуратуры в качестве дополнительного контроля подсказывает, что операторам уже сейчас необходимо запускать процедуры и быть готовыми к проверкам. Помимо регуляторной нагрузки, операторы, которые реально запустили процедуры изучения процессов и безопасности своих информационных систем и телекоммуникационных сетей, говорят, что данный процесс не получится быстро закрыть. Необходимо разобраться, какие системы присутствуют на предприятии, создать систему оценки уровня безопасности. Такая систематизация дает возможность увидеть слабые звенья, упорядочить вопрос доступов, рассмотреть слабые места и механизмы их устранения. Необходимо находить и положительные моменты в такой систематизации и работе. Поэтому рекомендуем не откладывать процесс, мы уверены, что в ближайшее время усилится контроль и появятся жесткие наказания за попустительство в вопросе КИИ.
Правовая база Указ Президента РФ от 22 декабря 2017 г. N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий"; Приказ ФСТЭК России от 25 декабря 2017г.
Сведения о предоставлении объекту КИИ категории значимости. Практические вопросы самоопределения. Анализ бизнес-процессов выделение и оценка.
Выбор наихудшего сценария атак. Оформление результатов.
Новое постановление правительства С 1 сентября 2024 г. С 1 сентября 2024 г. До 1 января 2030 г. По версии документа ПАК — это радиоэлектронная продукция, в том числе телекоммуникационное оборудование , программное обеспечение ПО и технические средства, работающие совместно для выполнения одной или нескольких сходных задач.
Механизм исключений В документе сказано, что допускается к использованию иная продукция «в случае отсутствия произведенных в России доверенных ПАК, являющихся аналогами приобретенных субъектами КИИ».
Функционирует при финансовой поддержке Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации Регион Кабмин внёс законопроект о переходе субъектов критической инфраструктуры на российский софт В Госдуму внесён законопроект о переходе субъектов КИИ на ПО РФ для безопасности Правительство РФ внесло в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры КИИ в России на отечественное программное обеспечение ПО для безопасности. Соответствующий документ появился в базе нижней палаты парламента в четверг, 21 марта. Согласно документу, речь идёт о переходе на преимущественное использование отечественных программ для электронных вычислительных машин ЭВМ , а также баз данных и радиоэлектронной продукции.
Безопасность КИИ - Безопасность объектов критической информационной инфраструктуры
| Переход критической инфраструктуры на отечественный софт и программно-аппаратные комплексы | Министерство цифрового развития, связи и массовых коммуникаций России готовит документ, в соответствии с которым субъекты телевещания признают объектами критической. |
| Кабмин будет определять типы информсистем для их отнесения к важным объектам КИИ | Переход субъектов КИИ РФ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ РФ должен быть завершен до 1 января 2030 года. |
Список отраслей, относящихся к критической инфраструктуре
- ФСТЭК сообщила об увеличении категории значимости для более чем 40 объектов КИИ в 2023 году | GST
- Что такое КИИ?
- В 2024 году субъекты КИИ начнут пользоваться доверенными ПАК
- Застрахуй утечку
- Критическая информационная инфраструктура (КИИ)
Информационное сообщение ФСТЭК России от 28 апреля 2023 г. N 240/82/818
Сейчас субъекты КИИ регулярно и специально снижают степень значимости имеющихся в их распоряжении объектов КИИ, и эту проблему отмечают в Правительстве РФ уже давно. Переход субъектов КИИ на российское ПО и оборудование имеет под собой основания, по мнению представителя АРПП. Что такое КИИ и кто попадает под ФЗ-187? Обязанности субъектов КИИ: категорирование объектов КИИ, обеспечение интеграции с ГосСОПКА, принятие мер по безопасности объектов.
Обновлены проекты о переводе субъектов КИИ на отечественный софт
| Кабмин будет определять типы информсистем для их отнесения к важным объектам КИИ | В январском письме Центральный Банк призвал поднадзорные организации провести повторное категорирование субъектов КИИ и до 31 марта 2023 отчитаться о статусе работ. |
| Дата-центры и Закон о КИИ: разбираем нюансы | Субъекты КИИ обяжут перейти на доверенные программно-аппаратные комплексы. Соответствующее постановление Правительства РФ было официально опубликовано 14 ноября. |
| Как выполнить требования закона о защите критической инфраструктуры | Докладчик: Алексей КомаровВторой вебинар из серии: "Безопасность КИИ и требования 187-ФЗ"Темы: Главные определения, их смысловое наполнение, практические нюа. |
| Категорирование объектов КИИ (187-ФЗ) | Security | Субъекты КИИ обяжут перейти на доверенные программно-аппаратные комплексы. Соответствующее постановление Правительства РФ было официально опубликовано 14 ноября. |
| Категорирование объектов КИИ, ФСТЭК, примеры, акты | В Госдуму внесен законопроект Минцифры о переходе субъектов критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение и радиоэлектронную. |
Список субъектов КИИ расширен сферой госрегистрации недвижимости
Короче говоря, объекты КИИ — это информационные системы, принадлежащие субъектам КИИ и помогающие в выполнении критических процессов. Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. Таким образом, закон предусматривает два вида субъектов КИИ — владельцы объектов КИИ и координаторы взаимодействия этих объектов.
Переход критической инфраструктуры на отечественный софт и программно-аппаратные комплексы
Ответ: Субъекты КИИ, владельцы значимых объектов КИИ, обязаны в срок не позднее 90 календарных дней с момента включения данного объекта в реестр значимых объектов КИИ. Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области ИБ. Методические рекомендации по категорированию объектов КИИ Порядок принятия решения о признании организации субъектом КИИ. Планируется, что субъекты критической информационной инфраструктуры (КИИ) до 2024 года должны перейти на преимущественное использование российского ПО. Кабмин внес в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры РФ на использование российского программного обеспечения (ПО). По завершению категорирования сведения о его результатах должны направляться субъектом КИИ во ФСТЭК России для ведения реестра значимых объектов КИИ.
Переход критической инфраструктуры на отечественный софт и программно-аппаратные комплексы
| Новые требования для субъектов КИИ: Безопасная разработка прикладного ПО | Вывод строя или уничтожение субъектов КИИ подорвет безопасность, экономическую ситуацию, общественное здравоохранение. Основные сферы, в которых могут быть объекты КИИ. |
| Безопасность критической информационной инфраструктуры | Было проверено более 400 объектов КИИ, принадлежащие 73 субъектам. |
Категорирование КИИ
На основании результатов можно в том числе увидеть участки кода, которые в ходе выполнения не были задействованы, а значит, требуют дополнительного внимания. К примеру, они могут быть проверены на отсутствие недекларированных возможностей в ручном режиме. Фаззинг-тестирование с его исполнением. Для данного процесса необходимо разработать специальные функции либо наборы входных данных методами «мутационного» или «генерационного» фаззинга , которые подаются на вход тех же самых функций, составляющих поверхность атаки. И точно так же, как в динамическом анализе, для фаззинга собирается покрытие и анализируются результаты, а выявленные ошибки включаются в план устранения недостатков. Отслеживание исправления ошибок, уязвимостей в ходе жизненного цикла. На данном этапе проводится автоматизация процедур реагирования на выявленные уязвимости, которые возникли в ходе разработки либо по сообщениям от пользователей. Как правило, в информационных системах разработки заводятся тикеты. По данным тикетам разработчикам ставится в план задача по устранению критических уязвимостей и уязвимостей, имеющих высокий приоритет. Устранив уязвимость, разработчик в комментариях может сделать пометку с идентификатором тикета. Тем самым будет обеспечена прослеживаемость закрытия выявленных уязвимостей.
Информирование о выявленных уязвимостях и компенсирующих мероприятиях конечных пользователей. В качестве примера можно привести сообщения на сайтах крупных разработчиков средств защиты информации. Там публикуются сообщения, в которых дается ссылка на источник скачивания обновлений, указываются идентификаторы уязвимостей, а также даются ссылки на инструкции по устранению уязвимостей и проведению дополнительных мероприятий. Оповещение конечного пользователя об окончании жизненного цикла ПО. К примеру, в специальном разделе сайта разработчика могут быть организованы специальные «фильтры» по продуктам, которые ведут на страницы с планами по поддержке ПО в ходе жизненного цикла.
Генеральный директор холдинга Т1 Игорь Калганов также поддержал необходимость создания общего стратегического документа в сфере КИИ и единого глоссария: Когда мы придем к единому пониманию и найдем методы, при которых заказчики будут хотеть признавать себя КИИ, нам всем станет гораздо проще взаимодействовать и договариваться. Начальник Департамента информатизации РЖД Кирилл Семион высказал предложение разделить понятие безопасности и требований, которые предъявляются к КИИ: Отсутствие импортозависимых компонентов в КИИ не всегда является достаточным, чтобы обеспечить их безопасность. Также спикер обратил внимание на необходимость введения конкретных требований к понятию безопасная разработка. И ответственность подрядчиков за соблюдение данных требований по безопасности, чтобы крупнейшие потребители не несли дополнительных затрат для исправления ситуации. Директор по информационным технологиям Госкорпорации «Росатом» Евгений Абакумов рассказал про критерии доверенности ПАК, которые видятся важными для крупнейших заказчиков: Нам важно знать, кто является производителем решения, как выстроены процессы их разработки.
Иногда бывают ситуации, когда часть приложений наших партнеров разрабатываются за границей. Этот вопрос мы должны контролировать в том числе. Среди требований к производителю и разработчику: собственная сеть сервисных центров на территории РФ; наличие прав на документацию, технологию, патентов и исключительных прав на ПО; поддержка продукта на протяжении всего жизненного цикла. Также отдельно Евгений Абакумов остановился на требованиях к аппаратному и программному обеспечению ПАК. Старший вице-президент по информационным технологиям Ростелекома Кирилл Меньшов акцентировал внимание на предназначении ПАКов: Мне кажется, что решить вопрос ПАКов без понимания того, что они из себя представляют — невозможно. Они появились для специализированных задач, которые нельзя решить с помощью универсальных серверов. Поэтому ПАКи между собой различаются радикально.
Категории значимости объектов КИИ представлены в трех уровнях: высокий 1 , средний 2 и низкий 3. Важно отметить, что если объект относится к высшей категории по одному из показателей критериев, то расчет по остальным показателям не выполняется. Категории значимости КИИ Описание Социальная Возможность причинения ущерба жизни или здоровью людей, а также прекращения или нарушения функционирования объектов, обеспечивающих жизнедеятельность населения. Без категорирования объектов КИИ невозможно определить необходимые технические и организационные меры защиты.
При этом требование по переводу на отечественное ПО распространяется на все объекты, категорированные как КИИ, независимо от того, являются ли они государственными или частными организациями. Кроме того, Минпромторг России уже разработал порядо к перехода объектов критической информационной инфраструктуры КИИ на программно-аппаратные комплексы ПАКи. Это должно простимулировать процесс и помочь организациям в решении вопроса с переходом на отечественное ПО, чтобы он состоялся в срок и прошел максимально безболезненно. Соответствующий Проект постановления правительства РФ предлаг ает владельцам о бъектов КИИ некий алгоритм действий, который позволит осуществить такой переход своевременно и без информационных потерь. Для начала организации должны будут провести аудит собственных объектов КИИ и разработать план действий. А уже к апрелю 2023 года владельцы объектов должны спланировать переход на ПАКи отечественного производства на основе российского ПО, находящегося в реестрах Минпромторга и Минцифры. Понятно, что в связи с отсутствием зарубежных аналогов отечественные организации в любом случае будут переходить на ПО российского производства. Задача российских разработчиков — обеспечить их конкурентноспособным ПО. Безопасности, как известно, много не бывает, тем более если речь идет о сохранности данных. КИИ — это системы, атаки по которым могут привести к серьезным экономическим, политическим, социальным или экологическим последствиям. Документ, запрещающий использование зарубежного ПО на объектах КИИ, разработан как раз в целях обеспечения безопасности. Вмешательство через импортный софт может полностью остановить работу организаций, что приведет к серьезным социальным и технологическим последствиям. В этой связи отказ от иностранного софта и переход на отечественное ПО неизбежен. Иностранного оборудования до последнего времени применялось достаточно много и сегодня его необходимо замещать, параллельно создавая новое. Каких решений не хватает? За это время отечественные компании-разработчики создали большое количество ПО и оборудования, которые могут быть использованы для КИИ.