Самый важный этап для успешного завершения проекта — это качественное проведение категорирования и аудита объектов КИИ. Современные вызовы КИИ российской промышленности». Новые субъекты КИИ, индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере. До 1 января 2030 г. субъекты критической информационной инфраструктуры (КИИ) обязаны перевести принадлежащие им значимые объекты на доверенные программно-аппаратные.
Обеспечение безопасности КИИ
Новые изменения в области категорирования критической информационной инфраструктуры 09 января, 2023 В конце декабря 2022 года утверждены новые требования соблюдения актуальности сведений по категорированию критической информационной инфраструктуры КИИ : Федеральным законом от 19. Постановлением Правительства от 20. Основные положения: Согласно новой редакции статьи 19.
Также Приказом вводятся обязательные меры по реализации компенсирующих мер в случае невозможности обеспечения технической поддержки средств защиты информации со стороны производителя. СУБД 5 класса защиты - 2 категории значимости. СУБД 4 класса защиты - 1 категории значимости.
Директор по информационным технологиям Госкорпорации «Росатом» Евгений Абакумов рассказал про критерии доверенности ПАК, которые видятся важными для крупнейших заказчиков: Нам важно знать, кто является производителем решения, как выстроены процессы их разработки.
Иногда бывают ситуации, когда часть приложений наших партнеров разрабатываются за границей. Этот вопрос мы должны контролировать в том числе. Среди требований к производителю и разработчику: собственная сеть сервисных центров на территории РФ; наличие прав на документацию, технологию, патентов и исключительных прав на ПО; поддержка продукта на протяжении всего жизненного цикла. Также отдельно Евгений Абакумов остановился на требованиях к аппаратному и программному обеспечению ПАК. Старший вице-президент по информационным технологиям Ростелекома Кирилл Меньшов акцентировал внимание на предназначении ПАКов: Мне кажется, что решить вопрос ПАКов без понимания того, что они из себя представляют — невозможно. Они появились для специализированных задач, которые нельзя решить с помощью универсальных серверов.
Поэтому ПАКи между собой различаются радикально. Либо нам придется делать много классов ПАКов, либо мы подойдем к решению издалека, сделаем более абстрактно, но тогда нам сложно будет соответствовать. Чтобы нам удалось прийти к итогу, важна работа всех участников сегодняшней дискуссии: потребителей, разработчиков и органов государственной власти. Генеральный директор АНО «Консорциум «Вычислительная техника» Светлана Легостаева обратила особое внимание на доверие со стороны заказчика к оборудованию, которое обязательно должно быть чем-то подтверждено: Нужно развивать институт центров тестирования. Они будут решать задачу доказательства того, что функционал, который задекларирован на бумаге производителем действительно выдержал нагрузочные испытания и соответствует всем заявленным характеристикам.
Например: операторы сотовой связи, организации, передающие или продающие электроэнергию, биржи, больницы, клиники и поликлиники, научно-исследовательские институты. Объектами КИИ являются: информационные системы как «1С: Предприятие» и подобные ; информационно-телекоммуникационные сети например, локальные сети организаций ; автоматизированные системы управления например, система пожарной сигнализации и т.
Кроме этого, различают значимые объекты КИИ. Им присваивается одна из категорий значимости, а сведения о них вносятся в соответствующий реестр. Процесс категорирования регламентируется Правилами категорирования объектов КИИ и включает несколько этапов: Создание руководителем предприятия комиссии по категорированию и утверждение плана по реализации ФЗ «О безопасности критической информационной инфраструктуры РФ». Это необходимо было реализовать до 10 июня 2018 года.
Ваше сообщение отправлено
- Новые требования для субъектов КИИ: Безопасная разработка прикладного ПО
- Владимир Путин подписал закон об изменении перечня субъектов КИИ
- Застрахуй утечку
- Часть 2. Система безопасности значимых объектов КИИ
- К 2030 году субъекты КИИ в РФ полностью импортозаместят ПО и оборудование
Обзор законодательства РФ о критической информационной инфраструктуре
Все субъекты КИИ должны быть подключены к ведомственным или корпоративным центрам ГосСОПКА либо создать свой центр ГосСОПКА. О порядке перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ (ПП РФ 1912). Мы рассмотрели, кто такой субъект критической информационной инфраструктуры, что такое объект КИИ и какие необходимо выполнить действия для выполнения требований ФСТЭК.
Импортозамещение ПО для критической информационной инфраструктуры
В целях организации перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им ЗОКИИ Уполномоченными органами могут привлекаться отраслевые центры компетенций, в том числе созданные на базе организаций, подведомственных Уполномоченным органам, или иные организации в порядке, предусмотренном законодательством РФ. Краткое резюме ПАК, не являющиеся доверенными в контексте данного нормативного правового акта НПА , в том числе средства защиты информации СЗИ , можно приобрести до 01. Приобретение ПАК, не являющихся доверенными, с 01. Функции защиты на уровне идентификации, аутентификации пользователей, управления доступом реализованы во множестве ПАК, не являющихся сертифицированными СЗИ например, коммутатор, программируемый логический контроллер — это как раз те самые встроенные средства защиты, приоритетное использование которых предписывает Приказ ФСТЭК России от 25. Акцент на соблюдение законодательства о государственной тайне тоже оставляет вопросы. Тут можно порекомендовать субъектам КИИ ориентироваться на отраслевые планы перехода от Уполномоченных органов, с каким грифом или пометкой они придут, с такими же отправлять собственные разработанные планы и отчеты о ходе их реализации.
Тестирование нового решения обычно занимает от полугода до года, но перевод мощностей осуществляется постепенно и может длиться более пяти лет. Наконец, еще одна причина медленных темпов миграции — недоверие к отечественным технологиям.
В мышление российских предпринимателей и потребителей вросла установка «западное происхождение товара — гарант качества», в то время как российские продукты воспринимаются как нечто сделанное наспех, не функциональное и не надежное. Зато теперь, когда государство говорит о том, что пора делать то же самое, но с отечественными решениями — осуществлять внедрение, получать обратную связь от заказчика для доработки продукта и т. Как бы то ни было, теперь миграции не избежать. Нужно подобрать отечественные технологии и начинать тестирование как можно скорее. Наши специалисты учитывают специфику рынка, поэтому их работа соответствует нормативно-правовым требованиям к информационной безопасности и цифровому суверенитету. Все продукты разрабатываются в соответствии с концепцией жизненного цикла безопасной разработки SDL. Благодаря соответствию стандартам Java SE миграция происходит легко, путем замены пары строк кода.
Как правило, в информационных системах разработки заводятся тикеты. По данным тикетам разработчикам ставится в план задача по устранению критических уязвимостей и уязвимостей, имеющих высокий приоритет. Устранив уязвимость, разработчик в комментариях может сделать пометку с идентификатором тикета. Тем самым будет обеспечена прослеживаемость закрытия выявленных уязвимостей. Информирование о выявленных уязвимостях и компенсирующих мероприятиях конечных пользователей. В качестве примера можно привести сообщения на сайтах крупных разработчиков средств защиты информации. Там публикуются сообщения, в которых дается ссылка на источник скачивания обновлений, указываются идентификаторы уязвимостей, а также даются ссылки на инструкции по устранению уязвимостей и проведению дополнительных мероприятий.
Оповещение конечного пользователя об окончании жизненного цикла ПО. К примеру, в специальном разделе сайта разработчика могут быть организованы специальные «фильтры» по продуктам, которые ведут на страницы с планами по поддержке ПО в ходе жизненного цикла. На рис. Рекомендуем закладывать процессы таким образом, чтобы в дальнейшем расширять их до охвата всех необходимых этапов жизненного цикла. Далее мы рассмотрим проект по внедрению процесса БРПО в соответствии с требованиями регулятора. Когда прикладное ПО разрабатывается силами собственных разработчиков, необходимо внедрить наиболее полный состав процессов безопасности. В случае заказной разработки или использования вендорского ПО необходимо обеспечить наличие всех необходимых свидетельств по процессам безопасности, выстроенным на стороне вендора — производителя ПО, и приобщить их в проектную документацию на ЗО КИИ.
Как правило, типовой проект внедрения процессов безопасной разработки ПО разделяется на пять основных этапов. На первом этапе готовится технико-экономическое обоснование для руководства с верхнеуровневыми финансовыми параметрами проекта, основными этапами работ, основными результатами, которые достигаются в ходе проекта, а также персоналом, который требуется привлечь.
Важно отметить, что если объект относится к высшей категории по одному из показателей критериев, то расчет по остальным показателям не выполняется. Категории значимости КИИ Описание Социальная Возможность причинения ущерба жизни или здоровью людей, а также прекращения или нарушения функционирования объектов, обеспечивающих жизнедеятельность населения. Без категорирования объектов КИИ невозможно определить необходимые технические и организационные меры защиты.
От результатов категорирования зависят дальнейшие работы в области информационной безопасности.
Секретные адреса: сделки с недвижимостью защитили от хакеров
| Информационное сообщение ФСТЭК России от 28 апреля 2023 г. N 240/82/818 - ФСТЭК России | К субъектам КИИ относятся организации, от которых зависит работа транспорта, сетей связи, функционирование финансовой системы и государственных, медицинских и прочих услуг. |
| Что такое критическая информационная инфраструктура? | Аргументы и Факты | До 2025 года субъекты КИИ обязали перейти на всё отечественное. |
| В 2024 году субъекты КИИ начнут пользоваться доверенными ПАК | Согласно данному закону, КИИ – это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. |
Основные разделы
- Переход бизнеса на российский софт. Зачем он нужен и какие споры вызывает - ТАСС
- Субъекты КИИ перейдут на российский софт к 2030 году
- Переход бизнеса на российский софт. Зачем он нужен и какие споры вызывает - ТАСС
- Категорирование объектов КИИ (187-ФЗ) | Security
- Комментарии ВКонтакте
ЦБ РФ напомнил о категорировании субъектов КИИ
Таким образом, закон предусматривает два вида субъектов КИИ — владельцы объектов КИИ и координаторы взаимодействия этих объектов. Подробный план перехода субъектов КИИ будет утвержден до 1 сентября 2024 года. Субъекты критической информационной инфраструктуры (КИИ) должны предоставлять во ФСТЭК сведения в том числе о программных, программно-аппаратных средствах, а также. Переход субъектов КИИ на российское ПО и оборудование имеет под собой основания, по мнению представителя АРПП.
Кабмин внёс законопроект о переходе субъектов критической инфраструктуры на российский софт
О порядке перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ (ПП РФ 1912). Современные вызовы КИИ российской промышленности», сообщает пресс-служба Ассоциация КП ПОО. Сейчас субъекты КИИ регулярно и специально снижают степень значимости имеющихся в их распоряжении объектов КИИ, и эту проблему отмечают в Правительстве РФ уже давно. Статья про идентификацию объектов КИИ и субъектов КИИ. нарушить правила обмена информацией об инцидентах (в частности, между субъектами КИИ). Подробный план перехода субъектов КИИ будет утвержден до 1 сентября 2024 года.
Кабмин будет определять типы информсистем для их отнесения к важным объектам КИИ
Когда прикладное ПО разрабатывается силами собственных разработчиков, необходимо внедрить наиболее полный состав процессов безопасности. В случае заказной разработки или использования вендорского ПО необходимо обеспечить наличие всех необходимых свидетельств по процессам безопасности, выстроенным на стороне вендора — производителя ПО, и приобщить их в проектную документацию на ЗО КИИ. Как правило, типовой проект внедрения процессов безопасной разработки ПО разделяется на пять основных этапов. На первом этапе готовится технико-экономическое обоснование для руководства с верхнеуровневыми финансовыми параметрами проекта, основными этапами работ, основными результатами, которые достигаются в ходе проекта, а также персоналом, который требуется привлечь. На втором этапе проводится аудит текущих бизнес-процессов разработки, формируется целевое состояние процессов разработки, исходя из требований регулятора либо бизнес-потребностей, далее выявляются несоответствия и формируются рекомендации по внедрению организационных и технических мероприятий. На третьем этапе рекомендации ранжируются по степени их реализуемости и сводятся в дорожную карту. Настоятельно рекомендуем разрабатывать детальный план перехода и пояснительную записку с обоснованием принятых решений, чтобы всегда можно было поднять историю и причины принятых решений. Четвертый этап — это уже непосредственно работа проектной команды, которая движется по дорожной карте. Исходя из практики, оптимальным вариантом является тот, в котором техническое лидерство в проекте остается за разработчиками, а организационное лидерство, то есть руководство проектом, возложено на специалиста по информационной безопасности. В этом случае происходит тесная интеграция компетенций безопасников и разработчиков.
И наконец, на последнем этапе происходит контроль функционирования внедренных процессов. Через несколько месяцев после завершения внедрения производится сбор и анализ всех свидетельств и записей процессов безопасной разработки ПО на предмет их полноты и достаточности. Разумеется, подобных процессов безопасности и проверок может быть гораздо больше: сканирование на уязвимости, сканирование зависимостей, антивирусная проверка, анализ дампа сетевого трафика при динамическом анализе ПО или анализ логов при сборке проекта, любые другие виды проверок ПО на стендах или проведение пентестов. При реализации проекта по внедрению БРПО необходимо учитывать существующие процессы разработки, специфику организации и ее значимых объектов КИИ. Старт проекту должно дать руководство при полном понимании выгод от его реализации и затрат на него.
Но будут исключения Правительство России выпустило новое постановление о переходе субъектов критической информационной инфраструктуры России на использование отечественного ПО и «железа» до 1 сентября 2024 г. Но есть механизм исключения, позволяющий использовать иностранные софт и железо при отсутствии российских аналогов. Новое постановление правительства С 1 сентября 2024 г. С 1 сентября 2024 г. До 1 января 2030 г.
Эти требования устанавливались на фоне многочисленных компьютерных атак, с которыми столкнулись многие российские организации и государственные органы", — добавляет Максим Али. Экономика, экология и оборона Анна Сарбукова, ведущий юрисконсульт практики интеллектуальной собственности юридической компании ЭБР, обращает внимание, что сейчас субъектами КИИ являются организации очень во многих сферах: здравоохранения, транспорта, связи, энергетики, банковской деятельности и финансового рынка, топливно—энергетического комплекса, атомной энергии, оборонной и ракетно—космической. Кроме того, к ним относятся информационные системы, информационно—телекоммуникационные сети и автоматизированные системы управления, а также российские юридические лица и индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. Юрист, экономист, член комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций Павел Катков добавляет, что объекты КИИ категорируются исходя из их социальной значимости и величины возможного ущерба интересам России в вопросах внутренней и внешней политики; экономической значимости и возможного причинения прямого и косвенного ущерба бюджетам страны; экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду. А также значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка. В зависимости от этого объектам присваивается категория — первая, вторая или третья. Для узкого круга лиц Все опрошенные юристы отмечают, что новые поправки не имеют никакого отношения к закрытию Единого государственного реестра недвижимости, которое произошло в июле 2022 года. В результате стало невозможным просто так получить выписку из ЕГРН. Тогда же внесли изменения и в закон о нотариате, поскольку нотариус теперь является одним из немногих лиц, которое может получить доступ к данным о недвижимости. Поэтому включение оператора реестра недвижимости в перечень субъектов российской КИИ не сильно влияет на текущее положение дел", — подчёркивает Максим Али.
Проведение категорирования объектов КИИ. По его итогам составляется акт, отражающий сведения об объектах КИИ, присвоенной им категории, обоснование отсутствия необходимости ее присвоения если таковая есть , результаты анализа угроз безопасности и реализованные меры по защите информации объектов КИИ. Крайний срок для этого этапа — 1 января 2019 года. За уклонение от предоставления сведений и нарушение установленных сроков предусмотрена ответственность — от административной ст. Вы относитесь к субъектам КИИ? Помните, что провести категорирование объектов можно и самостоятельно, обучив сотрудников.
Перечень объектов критической информационной инфраструктуры будет расширен
Переход субъектов КИИ РФ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ РФ должен быть завершен до 1 января 2030 года. Самих себя субъекты КИИ как владельцы информации, информационных систем или киберфизических систем как-то защищают, причем, скорее всего, вполне адекватно. В 2022 году многие организации пересмотрели свои ИБ-бюджеты, в том числе субъекты критической информационной инфраструктуры (КИИ). Субъектами КИИ являются государственные органы, а также госучреждения, российские юридические лица или индивидуальные предприниматели.
Новые требования для субъектов КИИ: безопасная разработка прикладного ПО
Перечень объектов для категорирования подлежит согласованию с ведомством-регулятором, утверждается субъектом КИИ и в течение 5 рабочих дней после утверждения направляется во ФСТЭК России. Оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ в соответствии с показателями, указанных в Правилах. Всего предусматривается 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ, а также его значимость для обеспечения правопорядка, обороны и безопасности страны. Присвоение каждому из объектов КИИ одной из категорий значимости в соответствии с наивысшим значением показателей, либо принятие решения об отсутствии необходимости присвоения категории.
Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией под председательством руководителя субъекта КИИ или уполномоченного им лица , его работников и, при необходимости, приглашённых специалистов ведомств-регуляторов в соответствующей сфере. Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения направляется во ФСТЭК России. Предоставленные материалы в тридцатидневный срок со дня получения проверяются регулятором на соответствие порядку осуществления категорирования и оценивается правильность присвоения категории.
Категория значимого объекта КИИ может быть изменена по мотивированному решению ФСТЭК России в рамках государственного контроля безопасности значимых объектов КИИ, в случае изменения самого объекта КИИ, а также в связи с реорганизацией субъекта КИИ в том числе ликвидацией, изменением его организационно-правовой формы и т. ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак далее — силы и средства ОПЛ КА. К силам ОПЛ КА относятся: уполномоченные подразделения ФСБ России; национальный координационный центр по компьютерным инцидентам, который создается ФСБ России для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов; подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.
В данной системе должна собираться и агрегироваться вся информация о компьютерных атаках и инцидентах, получаемая от субъектов КИИ. Перечень информации и порядок ее предоставления в ГосСОПКА будет определен соответствующим приказом, проект которого был представлен на общественное обсуждение. Согласно текущей версии документа, срок предоставления информации о кибератаке составляет 24 часа с момента обнаружения.
В части субъектов КИИ, осуществляющих деятельность в сфере cвязи, являющихся федеральными органами исполнительной власти, подведомственными им учреждениями, а также организациями, осуществляющими деятельность в сфере cвязи в двух и более субъектах Российской Федерации, рассмотрение перечней и сведений осуществляется центральным аппаратом ФСТЭК России. В части субъектов КИИ, осуществляющих деятельность в сфере связи, за исключением указанных организаций, рассмотрение перечней и сведений осуществляется управлением ФСТЭК России по федеральному округу, на территории которого расположены указанные субъекты КИИ.
Федеральный закон принят Государственной Думой 28 июня 2023 года и одобрен Советом Федерации 5 июля 2023 года. Опубликован 10 июля. Ранее «Телеспутник» писал , что правительство в ближайшее время разработает нормативное определение программно-аппаратного комплекса и представит стандарт для оборудования в сфере критической информационной инфраструктуры.
Но есть механизм исключения, позволяющий использовать иностранные софт и железо при отсутствии российских аналогов. Новое постановление правительства С 1 сентября 2024 г. С 1 сентября 2024 г. До 1 января 2030 г. По версии документа ПАК — это радиоэлектронная продукция, в том числе телекоммуникационное оборудование , программное обеспечение ПО и технические средства, работающие совместно для выполнения одной или нескольких сходных задач.
Кабмин определит перечень объектов критической информационной инфраструктуры
в) работники субъекта КИИ, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры. Короче говоря, объекты КИИ — это информационные системы, принадлежащие субъектам КИИ и помогающие в выполнении критических процессов. На официальном веб-ресурсе правовой информации появился документ, предполагающий расширение перечня субъектов критической информационной инфраструктуры (КИИ). Правительство РФ внесло в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры (КИИ) в России на отечественное программное обеспечение. В решение для безопасности объектов критической информационной инфраструктуры (КИИ) мы объединили продукты Positive Technologies. Мониторинг перехода субъектов КИИ на преимущественное применение российского ПО предлагается закрепить за Минцифры.
Застрахуй утечку
- Информационное сообщение ФСТЭК России от 28 апреля 2023 г. N 240/82/818
- Список субъектов КИИ расширен сферой госрегистрации недвижимости
- Как выполнить требования закона о защите критической инфраструктуры
- Переход бизнеса на российский софт. Зачем он нужен и какие споры вызывает - ТАСС
Как выполнить требования закона о защите критической инфраструктуры
ФСТЭК в ходе проверок оценивает реализацию организационных мер. Для соответствия требованиям необходимо не просто разработать или актуализировать пакет документов, регламентирующий работу с КИИ, но и ознакомить с ним всех ответственных сотрудников. Сами сотрудники, непосредственно отвечающие за обеспечение безопасности объектов КИИ, а не только руководители, должны регулярно повышать свою квалификацию, чтобы быть подготовленными к актуальным угрозам и противодействовать злоумышленникам, число и уровень которых постоянно растет. В частности, по-прежнему в разработке находятся Методики оценки показателей критериев экономической значимости объектов КИИ РФ, социальной значимости, по работе комиссий по категорированию объектов КИИ.
Помимо операторов связи под регулирование в области обеспечения безопасности КИИ попали и другие сферы и сегменты экономики: здравоохранение, наука, транспорт, энергетика, банковская сфера, сфера финансовых рынков, топливно-энергетический комплекс, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность, химическая промышленность. Субъект КИИ — это организация, то есть государственный орган, государственное учреждение, юридическое лицо или индивидуальный предприниматель, у кого присутствует объект КИИ. Объект КИИ — это то, что может быть подвержено атаке, как правило, это информационные системы и сети, а также системы управления. Совокупность информации в базах данных и средства, которые ее обрабатывают. Информационно-телекоммуникационные сети ИТКС. Системы, осуществляющие передачу информации по линиям связи. Автоматизированные системы управления АСУ.
Комплекс средств автоматизации и информационных технологий для реализации производственных функций. Как правило, у различных сегментов экономики преобладает конкретный тип объекта КИИ, в случае с операторами связи — информационно-телекоммуникационные сети ИТКС. Оператор связи это субъект КИИ? Законодатель пошел простым путем, он ввел критерии, по которым можно быстро определить является организация субъектом КИИ или нет. То есть субъектами КИИ операторов связи обозначили сразу, а далее каждый утверждает отсутствие, наличие и количество объектов КИИ, описывает их и обеспечивает выполнение мер для обнаружения, предупреждения и ликвидации последствий компьютерных атак. Надзорный орган производит оценку действий и решений субъектов КИИ, контролирует и корректирует их работу.
Их целью является похищение ценных сведений и новейших разработок, а иногда вывод из строя атакуемых систем сетей и даже диверсии. Именно по этой причине принятие мер по защите информации ключевых отраслей находится под строгим контролем уполномоченных органов государственной власти. Основным нормативным правовым документом, регулирующим взаимодействие различных субъектов в сфере критической информационной инфраструктуры, выступает Федеральный закон от 26. Кто должен защищать КИИ? Защиту объектов КИИ и сетей электросвязи, используемых для организации взаимодействия объектов КИИ, обеспечивают субъекты КИИ в соответствии с действующим законодательством в области информационной безопасности посредством принятия правовых, организационных и технических мер.
Подходы к внедрению процессов БРПО Рассматривая существующие подходы к внедрению процессов безопасной разработки ПО БРПО , можно выделить три основных направления: отечественная регуляторика, гармонизированные международные стандарты, международные стандарты и практики. В ней приводятся типовые действия в ходе подготовки и реализации меры, а также возможное распределение ролей и обязанностей участников. То есть мероприятия, которые должен формально провести оценщик для того, чтобы удостовериться, что требования стандарта 56939 выполняются. Описывать отдельно следующие три книги мы в рамках данной статьи не будем, скажем лишь кратко, что они содержат требования к методикам и инструментам, реализующим конкретные меры, в том числе требования к процессу проведения статического и динамического анализов кода. Разработка документа «Руководства по безопасной разработке ПО». Данное руководство, помимо общих организационных моментов, касающихся области действия, определения целей, распределения ролей, должно включать указания на все процедуры безопасной разработки. Анализ и моделирование угроз информационной безопасности. На данном этапе происходит моделирование тех угроз, которые рабочая группа специалистов выявляет в предположении на каждом этапе жизненного цикла и разрабатывает компенсирующие мероприятия, которые затем отражаются на архитектуре разрабатываемого проекта ПО. Обеспечение прослеживаемости. Суть процесса заключается в том, чтобы функциональную спецификацию ПО можно было проследить до конкретных блоков функций, которые их реализуют. Это упрощает контроль недекларированных возможностей в ходе реализации проекта ПО и внесения в него изменений. Статический анализ кода без его исполнения. Это уже техническая мера, и она требует внедрения специального инструмента — статического анализатора кода. По результатам анализа нескольких проверок безопасности статическим анализатором проекта ПО необходимо провести так называемую «разметку»: сопоставить выявленные ошибки и предупреждения с тем, являются ли они на самом деле недостатками ПО. Также в правила статического анализатора можно добавить необходимую стилистику оформления исходного кода, которая принята в проекте. При каком-либо отступлении от нее разработчику необходимо будет в комментариях указывать причину.