Кроме того, согласно проекту, правительство будет определять порядок и сроки перехода значимых объектов КИИ на преимущественное использование российского ПО и оборудования.
Кабмин внёс законопроект о переходе субъектов критической инфраструктуры на российский софт
Мы рассмотрели, кто такой субъект критической информационной инфраструктуры, что такое объект КИИ и какие необходимо выполнить действия для выполнения требований ФСТЭК. Новости законодательства. Около трети направленных сведений о результатах присвоения объекту КИИ категории значимости ФСТЭК России возвращает промышленным объектам на доработку.
Категорирование КИИ
Сегодня в отечественной индустрии разработки программных продуктов сложилась уникальная ситуация, когда практически все субъекты КИИ и разработчики прикладного ПО, планирующие. Президент России Владимир Путин подписал закон о расширении перечня субъектов критической информационной инфраструктуры. С 1 сентября 2024 г. субъектам КИИ России будет запрещено приобретать и использовать ПАК, которые не является доверенными.
Кабмин определит перечень объектов критической информационной инфраструктуры
По вновь создаваемым объектам критической информационной инфраструктуры сведения, указанные в подпунктах "а" - "в" и "з" пункта 17 настоящих Правил, направляются в течение 10 рабочих дней после утверждения требований к создаваемому объекту критической информационной инфраструктуры, а сведения, указанные в подпунктах "г" - "ж" и "и" пункта 17 настоящих Правил, - в течение 10 рабочих дней после ввода объекта критической информационной инфраструктуры в эксплуатацию принятия на снабжение. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, проверяет сведения о результатах присвоения категорий значимости в порядке, предусмотренном частями 6 - 8 статьи 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". В случае изменения сведений, указанных в пункте 17 настоящих Правил, субъект критической информационной инфраструктуры направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, новые сведения в печатном и электронном виде не позднее 20 рабочих дней со дня их изменения по форме, предусмотренной пунктом 18 настоящих Правил. Государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере деятельности, осуществляют мониторинг представления субъектами критической информационной инфраструктуры, выполняющими функции полномочия или осуществляющими виды деятельности в соответствующих областях сферах , актуальных и достоверных сведений, указанных в пункте 17 настоящих Правил. В отношении субъектов критической информационной инфраструктуры, подведомственных государственным органам и российским юридическим лицам, указанным в абзаце первом настоящего пункта, мониторинг представления актуальных и достоверных сведений осуществляется этими государственными органами и российскими юридическими лицами. Мониторинг осуществляется регулярно путем запроса и оценки информации о сроках представления, актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил. Актуальность и достоверность сведений может подтверждаться государственными органами и российскими юридическими лицами, указанными в абзаце первом настоящего пункта, путем ознакомления с объектами критической информационной инфраструктуры по месту их нахождения. При выявлении по результатам мониторинга нарушения сроков работ по категорированию, представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, неактуальных либо недостоверных сведений государственные органы и российские юридические лица, указанные в абзаце первом настоящего пункта, направляют в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о выявленных нарушениях в срок не позднее 30 дней со дня их выявления.
К мониторингу, указанному в пункте 19 2 настоящих Правил, государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере деятельности, могут привлекать подведомственные им организации в части оценки актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил. Организации, привлекаемые к оценке актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил, должны иметь в соответствии с Законом Российской Федерации "О государственной тайне" лицензию на проведение работ с использованием сведений, составляющих государственную тайну, а также в соответствии с Федеральным законом "О лицензировании отдельных видов деятельности" лицензию на деятельность по технической защите конфиденциальной информации в части оказания услуг по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации и или услуг по мониторингу информационной безопасности средств и систем информатизации. Состав организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил, определяется государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере деятельности, в соответствии с критериями, определяемыми указанными органами и российскими юридическими лицами по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.
Хранители профильных баз данных получат особый статус и дополнительные обязанности. Депутаты Госдумы РФ в третьем чтении приняли поправки в закон "О безопасности критической информационной инфраструктуры РФ".
Его действие распространили на сферу регистрации сделок с недвижимостью. В среду, 5 июля, законопроект поступит на рассмотрение Совета Федерации РФ. Согласно документу, к субъектам критической информационной инфраструктуры КИИ теперь будут отнесены лица, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно—телекоммуникационные сети и автоматизированные системы управления, функционирующие в сфере государственной регистрации недвижимости. Например, есть системы, связанные со здравоохранением, транспортом, обороной, безопасностью. Читайте также: Болтун — находка для хакера: нейросети стали помогать мошенникам "Государство заинтересовано в том, чтобы предотвращать компьютерные атаки и сбои в этих системах, так как они угрожают безопасности как страны, так и жизни граждан.
У субъекта КИИ, то есть у организаций, которые к этим системам имеют отношение, есть ряд обязанностей. С недавних пор через ГосСОПКА передаются также и сведения об инцидентах, связанных с утечкой персональных данных", — объясняет он. По большому счёту закон не устанавливает большое количество обязанностей, но довольно чётко регламентирует взаимодействие государственных органов и субъектов КИИ.
Согласно п.
Сертифицированные средства применяются в случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ. В иных случаях могут применяться несертифицированные средства защиты, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих соответствующие лицензии на деятельность в области защиты информации.
Выбор наихудшего сценария атак. Оформление результатов. Алгоритм категорирования объектов КИИ. Порядок согласования перечня объектов КИИ с отраслевым регулятором.
Рекомендации эксперта.
Закон о безопасности КИИ в вопросах и ответах
Планируется, что субъекты критической информационной инфраструктуры (КИИ) до 2024 года должны перейти на преимущественное использование российского ПО. Вывод строя или уничтожение субъектов КИИ подорвет безопасность, экономическую ситуацию, общественное здравоохранение. Основные сферы, в которых могут быть объекты КИИ. Современные вызовы КИИ российской промышленности», сообщает пресс-служба Ассоциация КП ПОО. Современные вызовы КИИ российской промышленности», сообщает пресс-служба Ассоциация КП ПОО. Марченко также напомнил о законодательстве в сфере КИИ – на слайдах более десятка различных нормативных документов, в том числе о проверках субъектов КИИ. Субъект КИИ сам определяет свои объекты и проводит границы. То есть сегментировать объекты субъект КИИ может по-разному.
Владельцы социально значимых объектов КИИ будут использовать ПАК
Для подключения субъекта КИИ к ГосСОПКА необходимо направить письменный запрос в ФСБ России по адресу: 107031, г. Москва, ул. Большая Лубянка д. 1/3. субъекты КИИ) на принадлежащих им значимых объектах не. Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле. Так как сегодня в достаточно сжатые сроки требуется. Короче говоря, объекты КИИ — это информационные системы, принадлежащие субъектам КИИ и помогающие в выполнении критических процессов.
О критической информационной инфраструктуре (КИИ)
В обзоре изменений за апрель 2023 года рассмотрим: дополнительные требования для значимых объектов КИИ с удаленным управлением, госконтроль и аккредитация. Также вспомним определение объекта КИИ, приведенное в 187-ФЗ, согласно которому объектами КИИ является некое множество ИС/ИТ/АСУ, принадлежащих субъекту КИИ. Правительство РФ утвердило для субъектов КИИ порядок перехода на использование доверенных ПАК, соответствующих специальным требованиям.
Субъект КИИ: два подхода к определению статуса
Организационные меры защиты значимых объектов КИИ В соответствии с п. Организационно-распорядительные документы по безопасности значимых объектов являются частью документов по вопросам обеспечения информационной безопасности защиты информации субъекта КИИ. При этом положения, определяющие порядок и правила обеспечения безопасности значимых объектов КИИ , могут быть включены в общие документы по вопросам обеспечения информационной безопасности защиты информации , а также могут являться частью документов по вопросам функционирования значимого объекта КИИ. Организационно-распорядительные документы по безопасности значимых объектов должны быть доведены до руководства субъекта КИИ , подразделения по безопасности, специалистов по безопасности, а также до иных подразделений работников , участвующих в обеспечении безопасности значимых объектов КИИ , в части, их касающейся. Технические меры защиты значимых объектов КИИ В соответствии с п. Порядок применения СЗИ определяется субъектом КИИ в организационно-распорядительных документах по безопасности значимых объектов с учетом особенностей деятельности субъекта КИИ. В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации СЗИ : в значимых объектах 1 категории применяются СЗИ не ниже 4 класса защиты, а также средства вычислительной техники не ниже 5 класса; в значимых объектах 2 категории применяются СЗИ не ниже 5 класса защиты, а также средства вычислительной техники не ниже 5 класса; в значимых объектах 3 категории применяются СЗИ 6 класса защиты, а также средства вычислительной техники не ниже 5 класса.
При этом в значимых объектах 1 и 2 категорий значимости применяются сертифицированные СЗИ , прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. Функции безопасности СЗИ должны обеспечивать выполнение требований П-239. Часть 4. Требования к вышеупомянутым процессам определены в разделе 5 П-235. Внедрение организационных и технических мер защиты значимых объектов КИИ Внедрение организационных и технических мер по обеспечению безопасности значимого объекта организуется субъектом критической информационной инфраструктуры в соответствии с проектной и рабочей эксплуатационной документацией на значимый объект, стандартами организаций и включает: установку и настройку средств защиты информации, настройку программных и программно-аппаратных средств; разработку организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности значимого объекта; внедрение организационных мер по обеспечению безопасности значимого объекта; предварительные испытания значимого объекта и его подсистемы безопасности; опытную эксплуатацию значимого объекта и его подсистемы безопасности; анализ уязвимостей значимого объекта и принятие мер по их устранению; приемочные испытания значимого объекта и его подсистемы безопасности. При внедрении организационных мер по обеспечению безопасности значимого объекта осуществляются: организация контроля физического доступа к программно-аппаратным средствам значимого объекта и его линиям связи; реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации программных и программно-аппаратных средств; проверка полноты и детальности описания в организационно-распорядительных документах по безопасности значимых объектов действий пользователей и администраторов значимого объекта по реализации организационных мер; определение администратора безопасности значимого объекта; отработка действий пользователей и администраторов значимого объекта по реализации мер по обеспечению безопасности значимого объекта.
При этом анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта. Анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта. При проведении анализа уязвимостей применяются следующие способы их выявления: анализ проектной, рабочей эксплуатационной документации и организационно-распорядительных документов по безопасности значимого объекта; анализ настроек программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта; выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, посредством анализа состава установленного программного обеспечения и обновлений безопасности с применением средств контроля анализа защищенности и или иных средств защиты информации; выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, сетевых служб, доступных для сетевого взаимодействия, с применением средств контроля анализа защищенности; тестирование на проникновение в условиях, соответствующих возможностям нарушителей, определенных в модели угроз безопасности информации.
Мы рассмотрели, кто такой субъект критической информационной инфраструктуры, что такое объект КИИ и какие необходимо выполнить действия для выполнения требований ФСТЭК. Теперь хотелось немного поговорить об ответственности, возникающей в случае невыполнения требований. Согласно Указа Президента РФ от 25. Государственный контроль в области обеспечения безопасности значимых объектов КИИ будет осуществлять ФСТЭК в виде плановых и внеплановых проверок с последующим предписанием в случае выявленных нарушений. Плановые проверки проводятся: по истечению 3-х лет со дня внесения сведений об объекте КИИ в реестр; по истечению 3-х лет со дня осуществления последней плановой проверки. Внеплановые проверки будут проводиться в случае: по истечению срока выполнения субъектом КИИ предписания об устранении выявленного нарушения; возникновения компьютерного инцидента, повлекшего негативные последствия; по поручению Президента РФ или Правительства РФ, либо на основании требования Прокуратуры РФ.
Если ФСТЭК выявит нарушение, будет выписано предписание с конкретным сроком устранения, который можно будет продлить по уважительным причинам, а вот в случаи с Прокуратурой РФ будет все сложнее, так как она придёт к вам уже с постановлением об административном правонарушении, ссылаясь на статью 19. И еще немного о мерах наказания, которые были введены за не соблюдение требований по обеспечению безопасности критической информационной структуры.
Он отметил, что поправок ждут с осени 2022 года, и они просто необходимы для ускорения реализации положений Указов Президента РФ об обеспечении технологической независимости и безопасности критической информационной инфраструктуры страны, перехода на отечественный софт и «железо». Артём Шейкин. Зачастую компании, органы и организации этим правом пренебрегали и минимизировали количество систем, которые определяются как КИИ, чтобы не нести существенные затраты на обеспечение информационной безопасности Артём Шейкин, член Комитета СФ по госстроительству и законодательству Сегодня в верхней палате пошёл круглый стол, где обсуждались вопросы обеспечения технологической независимости и безопасности критической информационной инфраструктуры РФ. Как сообщил глава департамента цифровых технологий Минпромторга РФ Владимир Дождев, уже готов перечень типовых объектов критической инфраструктуры , которые в обязательном порядке должны пройти категорирование и быть защищены.
Разумеется, это все отразится на итоговой стоимости средств защиты информации объектов КИИ. А можно обратиться к нашим специалистам, которые помогут определить, относится ли организация к субъектам КИИ, организуют и проведут полный комплекс мероприятий по категорированию объектов КИИ и обеспечению их безопасности.
Вы сможете сэкономить время, существенно снизить стоимость работ и избежать ошибок при подготовке документов. Оставить заявку До 1 января осталось совсем немного времени! Узнать больше о категорировании объектов КИИ и задать другие вопросы о средствах защиты информации можно нашим специалистам:.