Кабмин внес в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры РФ на использование российского программного обеспечения (ПО). С 1 сентября 2024 г. субъектам КИИ России будет запрещено приобретать и использовать ПАК, которые не является доверенными. На официальном веб-ресурсе правовой информации появился документ, предполагающий расширение перечня субъектов критической информационной инфраструктуры (КИИ). Сегодня в отечественной индустрии разработки программных продуктов сложилась уникальная ситуация, когда практически все субъекты КИИ и разработчики прикладного ПО, планирующие.
Обеспечение безопасности КИИ
Категорирование субъектов КИИ осуществляется на основе критериев значимости и показателей их значений, а также соблюдением установленного порядка. Кроме того, согласно проекту, правительство будет определять порядок и сроки перехода значимых объектов КИИ на преимущественное использование российского ПО и оборудования. Правительство РФ утвердило для субъектов КИИ порядок перехода на использование доверенных ПАК, соответствующих специальным требованиям. Президент России Владимир Путин подписал закон о расширении перечня субъектов критической информационной инфраструктуры.
Список субъектов КИИ расширен сферой госрегистрации недвижимости
О критической информационной инфраструктуре КИИ О критической информационной инфраструктуре КИИ В последнее время все большее внимание уделяется стратегически важным для государства областям, таким как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, а также области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности далее — ключевые отрасли. Информационные сети и системы указанных отраслей все чаще становятся объектом для кибератак, которые проводятся и или спонсируются не только согражданами, но и представителями других государств. Их целью является похищение ценных сведений и новейших разработок, а иногда вывод из строя атакуемых систем сетей и даже диверсии. Именно по этой причине принятие мер по защите информации ключевых отраслей находится под строгим контролем уполномоченных органов государственной власти. Основным нормативным правовым документом, регулирующим взаимодействие различных субъектов в сфере критической информационной инфраструктуры, выступает Федеральный закон от 26.
Эти требования устанавливались на фоне многочисленных компьютерных атак, с которыми столкнулись многие российские организации и государственные органы", — добавляет Максим Али. Экономика, экология и оборона Анна Сарбукова, ведущий юрисконсульт практики интеллектуальной собственности юридической компании ЭБР, обращает внимание, что сейчас субъектами КИИ являются организации очень во многих сферах: здравоохранения, транспорта, связи, энергетики, банковской деятельности и финансового рынка, топливно—энергетического комплекса, атомной энергии, оборонной и ракетно—космической. Кроме того, к ним относятся информационные системы, информационно—телекоммуникационные сети и автоматизированные системы управления, а также российские юридические лица и индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. Юрист, экономист, член комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций Павел Катков добавляет, что объекты КИИ категорируются исходя из их социальной значимости и величины возможного ущерба интересам России в вопросах внутренней и внешней политики; экономической значимости и возможного причинения прямого и косвенного ущерба бюджетам страны; экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду. А также значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка. В зависимости от этого объектам присваивается категория — первая, вторая или третья. Для узкого круга лиц Все опрошенные юристы отмечают, что новые поправки не имеют никакого отношения к закрытию Единого государственного реестра недвижимости, которое произошло в июле 2022 года. В результате стало невозможным просто так получить выписку из ЕГРН. Тогда же внесли изменения и в закон о нотариате, поскольку нотариус теперь является одним из немногих лиц, которое может получить доступ к данным о недвижимости. Поэтому включение оператора реестра недвижимости в перечень субъектов российской КИИ не сильно влияет на текущее положение дел", — подчёркивает Максим Али.
Анатолий Сазонов Руководитель направления безопасности промышленных предприятий Infosecurity a Softline company В связи со всеми законодательными изменениями бизнес и госструктуры понимают, что им необходимо правильно строить или улучшать существующую систему ИБ, опираясь при этом преимущественно на отечественные решения. Куда уходят деньги Как отмечают собеседники Cyber Media, в 2022 году основная масса средств направлялась на замену иностранных решений. В итоге к 2023 году субъекты КИИ подошли с разной степенью готовности: часть компаний успела полностью заменить системы защиты, другая — спроектировать и закупить, третья — только запланировать. Именно поэтому в текущем году тренд продолжается — ведется проектирование, закупка, внедрение и доработка систем для защиты КИИ. И хотя инвестиции возросли, безопасность критической инфраструктуры пока зачастую остается на том же уровне. Но это в лучшем случае. Есть немало историй с печальным финалом — сетуют эксперты. Федор Музалевский Директор технического департамента RTM Group Дело в том, что даже кратный рост бюджета не позволяет покупать средства защиты больше или лучше. Рост цен на отечественные межсетевые экраны, средства управления уязвимостями и иные технические средства защиты информации — все это нивелирует рост бюджета. Более того, многие субъекты КИИ, которые планировали приобретение дополнительного ПО в прошлом году, сейчас вынуждены тратить бюджет на замену уже имеющихся неподдерживаемых импортных решений отечественными. По словам Федора Музалевского, девиз российских вендоров «второго такого шанса повышать цены не будет» обернулся катастрофическим снижением реальной безопасности. Однако с этим мнением согласны не все собеседники Cyber Media. В прошлом году, по наблюдениям Александра Моисеева, в основном закупались шлюзы безопасности — взамен ушедших с рынка игроков Fortigate, Paloalto, Cisco и т. В этом году компании в основном бюджеты расходуют на внедрение систем класса SIEM. Также на рынке есть интерес к средствам безопасной разработки ПО — статическим и динамическим анализаторам. Импортозамещение: честно и по-серому После ухода западных вендоров с рынка организации-субъекты КИИ разделились на три группы. Первая переключилась на российские аналоги, вторая — на решения оставшихся западных вендоров.
Функционирует при финансовой поддержке Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации Регион Кабмин внёс законопроект о переходе субъектов критической инфраструктуры на российский софт В Госдуму внесён законопроект о переходе субъектов КИИ на ПО РФ для безопасности Правительство РФ внесло в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры КИИ в России на отечественное программное обеспечение ПО для безопасности. Соответствующий документ появился в базе нижней палаты парламента в четверг, 21 марта. Согласно документу, речь идёт о переходе на преимущественное использование отечественных программ для электронных вычислительных машин ЭВМ , а также баз данных и радиоэлектронной продукции.
ФСТЭК России проводит проверки субъектов КИИ
Собрав воедино и проанализировав нормативные правовые акты — видишь насколько важна совместная работа всех участников рынка. Так как сегодня в достаточно сжатые сроки требуется перевести на отечественные решения все объекты КИИ, нам необходимы выверенные термины и правила, которые будут трактоваться однозначно. Чтобы производители отвечали на запрос потребителей, а заказчики в свою очередь могли выстроить приоритизацию перехода на отечественные решения. По мнению участников Ассоциации, в целях гармонизации действующего законодательства целесообразно утвердить ключевой нормативный правовой акт, в котором будут закреплены основополагающие принципы, понятийный аппарат, критерии определения технологической независимости и доверенности в сфере КИИ и другое.
Такой НПА может лечь в основу разграничения полномочий и ответственности при определении политики достижения технологического суверенитета, а также задаст для организаций различных отраслей экономики единый вектор на пути достижения технологической независимости. Кроме того, представители крупнейших компаний страны озвучили запрос на информационное и консультационное сопровождение процессов импортозамещения на объектах КИИ для получения компетентных разъяснений, например, как трактовать пункты нормативных актов или как применять методические рекомендации. Сегодня тема технологической независимости критической информационной инфраструктуры находится на стыке нескольких направлений и, безусловно, в этом вопросе нам нужно регулирование, дополнительный понятийный аппарат.
Сегодня Председатель Правительства поручил всем индустриальным центрам компетенций провести работу по выделению критических информационных систем и процессов, с точки зрения устойчивости к вызовам и угрозам, связанным с не утратой контроля за теми инструментами, которые мы у себя применяем. Такую работу мы проведем, типовые объекты КИИ утвердим, посоветовавшись с отраслями, после чего должны будут появиться планы перехода, которые станут отображением матрицы: что мы должны поменять, почему, на что, когда и зачем. Работа для нас понятная, ведем ее вместе со всеми отраслями.
Вице-президент Транснефти Андрей Бадалов высказал обеспокоенность большим количеством отчетных показателей по импортозамещению. При этом ключевыми показателями должны стать безопасность и непрерывность работы и это в прямом смысле не эквивалентно просто импортозамещению.
Мы связываем это в большей степени с тем, что в компаниях стремились оплатить «железо» до того, как оно подорожало или опасаясь дефицита. На какие цели тратят ИБ-бюджеты Реальные потребности бизнеса по-прежнему заметно обгоняют мотив выполнять требование регуляторов. Зеркальная картина только у компаний — субъектов КИИ, госорганизаций. Строгие законодательные требования позитивно сказываются на оснащенности защитными решениями.
Но ИБ-программы — это как правило сложные системы, с которыми нужно работать. И если ИБ-специалисты не видят для себя пользы, это создает риск формальной, а не реальной защиты», — комментирует Алексей Парфентьев. Что является главным мотиватором по внедрению защитного ПО «Срез по отраслям показывает, что только компании финансовой и нефтегазовой сферы активно наращивают бюджеты. В других отраслях, особенно в ритейле, ситуация хуже общей картины. При этом сфера торговли всегда была в числе «передовиков» по оснащенности защитным ПО.
Можно ли для защиты КИИ использовать несертифицированные средства? Согласно п. Сертифицированные средства применяются в случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ. В иных случаях могут применяться несертифицированные средства защиты, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих соответствующие лицензии на деятельность в области защиты информации.
Рекомендованный состав больше относится к крупным операторам связи и лишь подсказывает кандидатов и затрагиваемые аспекты оценки процессов.
Для небольших компаний этот перечень лучше сократить. Комиссия формирует положение о комиссии по категорированию объектов критической информационной инфраструктуры, где прописывает все принципы работы комиссии. После чего утверждается план работы и формируется перечень объектов критической информационной инфраструктуры на своем предприятии. Важно, что в перечень включаются все объекты КИИ, как значимые, так и не значимые. Нужно сформировать перечень всех объектов КИИ, после чего у организации будет еще год для проведения категорирования и установления степени значимости. Общаясь с сотрудниками ФСТЭК, мы осознаем, что в службе только формируются подходы, регламентирующих документов много, они содержат обобщенный характер требований, а в ближайшие годы предстоит большая работа по трактовке и совместному их пониманию с регулятором. С целью выработки единых подходов ассоциация "Ростелесеть" формирует для своих участников рекомендованные документы. По мере корректировки видения этот пакет документов будет меняться и расширяться. Сроки исполнения Большинство государственных органов и учреждений уже прошли этап создания комиссии, утверждения перечня объектов КИИ и их категорирования. Процесс активно проходит с 2017 года.
Для коммерческих компаний эти даты можно рассматривать как рекомендованные, ФСТЭК уже начал рассылать запросы участникам ассоциации, а привлечение прокуратуры в качестве дополнительного контроля подсказывает, что операторам уже сейчас необходимо запускать процедуры и быть готовыми к проверкам. Помимо регуляторной нагрузки, операторы, которые реально запустили процедуры изучения процессов и безопасности своих информационных систем и телекоммуникационных сетей, говорят, что данный процесс не получится быстро закрыть.
Дата-центры и Закон о КИИ: разбираем нюансы
На официальном веб-ресурсе правовой информации появился документ, предполагающий расширение перечня субъектов критической информационной инфраструктуры (КИИ). Ответ: Субъекты КИИ, владельцы значимых объектов КИИ, обязаны в срок не позднее 90 календарных дней с момента включения данного объекта в реестр значимых объектов КИИ. Субъекты КИИ обяжут перейти на доверенные программно-аппаратные комплексы. Соответствующее постановление Правительства РФ было официально опубликовано 14 ноября. Около трети направленных сведений о результатах присвоения объекту КИИ категории значимости ФСТЭК России возвращает промышленным объектам на доработку. Марченко также напомнил о законодательстве в сфере КИИ – на слайдах более десятка различных нормативных документов, в том числе о проверках субъектов КИИ.
Безопасность КИИ - Безопасность объектов критической информационной инфраструктуры
Сами сотрудники, непосредственно отвечающие за обеспечение безопасности объектов КИИ, а не только руководители, должны регулярно повышать свою квалификацию, чтобы быть подготовленными к актуальным угрозам и противодействовать злоумышленникам, число и уровень которых постоянно растет. В частности, по-прежнему в разработке находятся Методики оценки показателей критериев экономической значимости объектов КИИ РФ, социальной значимости, по работе комиссий по категорированию объектов КИИ. Если у компании не хватает ресурсов для подготовки к проверке регулятора, рекомендуем обратиться за помощью к специалистам.
По стандарту план перехода утверждает руководитель субъекта КИИ, а затем в течение последующих 10 дней отправляет в уполномоченные органы, соблюдая требования законодательства в отношении гостайны.
Отметим, организация вправе при определенных обстоятельствах изменить план. Для этого нужно отправить копию утвержденного документа, приложив сопроводительное письмо с правками. Далее уполномоченный орган повторит те же действия, что и при утверждении: в течение месяца рассмотрит, а в последующие 5 дней сообщит о решении. Подтверждающий документ от госслужбы безопасности потребуется для ПАК, у которых есть функция защиты информации.
В остальном программное обеспечение, на котором работает ПАК, должно соответствовать еще двум требованиям : сведения об этом ПО включены не только в единый реестр программ РФ для ЭВМ, но и в аналогичный перечень, но для стран ЕАЭС; безопасность и эффективность программ, предназначенных для защиты от кибератак, ликвидации последствий от последних и подобного рода проблем, подтверждена госслужбами, включая ФСБ.
Есть особенности для «ГК Росатом», кредитных и некредитных финансовых организаций. Субъект КИИ в течение 10 рабочих дней со дня утверждения плана перехода направляет копию утвержденного плана с соблюдением требований законодательства РФ о государственной тайне не совсем понятно, почему сделан акцент именно на законодательстве о государственной тайне, так как выше указано, что отраслевые планы могут быть и несекретными в Уполномоченный орган, который определяется субъектом КИИ в соответствии со сферой областью деятельности субъекта КИИ и или основным видом экономической деятельности КИИ указано как определять сферу — по основному ОКВЭД : а до 1 января 2025 г. Уполномоченный орган в течение 30 рабочих дней со дня поступления от субъекта КИИ копии утвержденного плана перехода принимает решение о включении сведений о плане в отраслевой реестр планов перехода либо об отказе во включении в документе указаны основания, почему план могут не принять. В случае принятия решения о включении сведений о плане в отраслевой реестр планов перехода уполномоченный орган в течение 5 рабочих дней со дня принятия такого решения включает соответствующие сведения в отраслевой реестр планов перехода и направляет субъекту КИИ уведомление о включении. В случае принятия решения об отказе в те же 5 рабочих дней направляется уведомление об отказе с указанием оснований. Внесение изменений в план осуществляется путем утверждения плана перехода в новой редакции.
Создается рабочая группа, включающая представителей Минпромторга и или представителей отраслевого центра компетенций по информационной безопасности в промышленности, образованного на базе подведомственной Министерству организации, включенной в перечень юрлиц, привлекаемых к оценке. Обозначены этапы управления уязвимостями. Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области ИБ.
Кабмин определит перечень объектов критической информационной инфраструктуры
Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов КИИ. По нему к субъектам КИИ относятся те организации, которые для страны жизненно важны и потому должны работать при любой ситуации. Инициатива должна ускорить переход субъектов КИИ на отечественное ПО и оборудование, упростить этот процесс и внести в него определённость, объяснил «СенатИнформ» зампред.
Переход критической инфраструктуры на отечественный софт и программно-аппаратные комплексы
При этом в значимых объектах 1 и 2 категорий значимости применяются сертифицированные СЗИ , прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. Функции безопасности СЗИ должны обеспечивать выполнение требований П-239. Часть 4. Требования к вышеупомянутым процессам определены в разделе 5 П-235.
Внедрение организационных и технических мер защиты значимых объектов КИИ Внедрение организационных и технических мер по обеспечению безопасности значимого объекта организуется субъектом критической информационной инфраструктуры в соответствии с проектной и рабочей эксплуатационной документацией на значимый объект, стандартами организаций и включает: установку и настройку средств защиты информации, настройку программных и программно-аппаратных средств; разработку организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности значимого объекта; внедрение организационных мер по обеспечению безопасности значимого объекта; предварительные испытания значимого объекта и его подсистемы безопасности; опытную эксплуатацию значимого объекта и его подсистемы безопасности; анализ уязвимостей значимого объекта и принятие мер по их устранению; приемочные испытания значимого объекта и его подсистемы безопасности. При внедрении организационных мер по обеспечению безопасности значимого объекта осуществляются: организация контроля физического доступа к программно-аппаратным средствам значимого объекта и его линиям связи; реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации программных и программно-аппаратных средств; проверка полноты и детальности описания в организационно-распорядительных документах по безопасности значимых объектов действий пользователей и администраторов значимого объекта по реализации организационных мер; определение администратора безопасности значимого объекта; отработка действий пользователей и администраторов значимого объекта по реализации мер по обеспечению безопасности значимого объекта. При этом анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта.
Анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта. При проведении анализа уязвимостей применяются следующие способы их выявления: анализ проектной, рабочей эксплуатационной документации и организационно-распорядительных документов по безопасности значимого объекта; анализ настроек программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта; выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, посредством анализа состава установленного программного обеспечения и обновлений безопасности с применением средств контроля анализа защищенности и или иных средств защиты информации; выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, сетевых служб, доступных для сетевого взаимодействия, с применением средств контроля анализа защищенности; тестирование на проникновение в условиях, соответствующих возможностям нарушителей, определенных в модели угроз безопасности информации. Допускается проведение анализа уязвимостей на макете в тестовой зоне значимого объекта или макетах отдельных сегментов значимого объекта.
В случае выявления уязвимостей значимого объекта, которые могут быть использованы для реализации способствовать возникновению угроз безопасности информации, принимаются меры, направленные на их устранение или исключающие возможность использования эксплуатации нарушителем выявленных уязвимостей. По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, отсутствуют уязвимости, как минимум содержащиеся в банке данных угроз безопасности информации ФСТЭК России или выявленные уязвимости не приводят к возникновению угроз безопасности информации в отношении значимого объекта. В ходе приемочных испытаний значимого объекта и его подсистемы безопасности должен быть проведен комплекс организационных и технических мероприятий испытаний , в результате которых подтверждается соответствие значимого объекта и его подсистемы безопасности требованиям П-239, а также требованиям ТЗ на создание значимого объекта и или ТЗ частного технического задания на создание подсистемы безопасности значимого объекта.
Ввод в действие значимого объекта и его подсистемы безопасности осуществляется при положительном заключении выводе в акте приемки или в аттестате соответствия о соответствии значимого объекта установленным требованиям по обеспечению безопасности. Силы обеспечения безопасности значимых объектов КИИ В соответствии с п. Руководитель субъекта КИИ определяет состав и структуру системы безопасности, а также функции ее участников при обеспечении безопасности значимых объектов КИИ в зависимости от количества значимых объектов КИИ , а также особенностей деятельности субъекта КИИ.
RU - Правительство РФ внесло в Госдуму законопроект, наделяющий кабинет министров полномочиями определять в каждой отрасли типы информационных систем, которые необходимо будет относить к значимым объектам критической информационной инфраструктуры КИИ с учетом отраслевых особенностей, говорится в сообщении Минцифры, которое подготовило проект. Как отмечает министерство, по таким объектам КИИ правительство будет устанавливать сроки перехода на российские ИТ-продукты. Согласно тексту проекта, в частности, предлагается наделить правительство полномочиями устанавливать требования к используемым на значимых объектах КИИ программному обеспечению ПО и радиоэлектронной продукции, в том числе - к телеком-оборудованию и программно-аппаратным комплексам ПАК. Также правительство будет устанавливать случаи и порядок согласования использования на значимых объектах КИИ иностранного ПО, радиоэлектроники, телеком-оборудования и ПАК.
Заметим, уловка не нова, такое же прикрытие в начале года использовал MetaStealer. Для верности жертву в заключение еще раз проводят по тому же кругу, но уже в другом домене — n0wpay[. Выбор хостинга для Android-трояна, по словам аналитиков, необычен: это украинский сервис Ucoz, а не российский или европейский дата-центр, которым отдают предпочтение фишеры рунета. Работа осуществляется в фоновом режиме, через 10 секунд после старта иконка исчезает из списка приложений.
Устранив уязвимость, разработчик в комментариях может сделать пометку с идентификатором тикета. Тем самым будет обеспечена прослеживаемость закрытия выявленных уязвимостей. Информирование о выявленных уязвимостях и компенсирующих мероприятиях конечных пользователей. В качестве примера можно привести сообщения на сайтах крупных разработчиков средств защиты информации. Там публикуются сообщения, в которых дается ссылка на источник скачивания обновлений, указываются идентификаторы уязвимостей, а также даются ссылки на инструкции по устранению уязвимостей и проведению дополнительных мероприятий. Оповещение конечного пользователя об окончании жизненного цикла ПО. К примеру, в специальном разделе сайта разработчика могут быть организованы специальные «фильтры» по продуктам, которые ведут на страницы с планами по поддержке ПО в ходе жизненного цикла. На рис. Рекомендуем закладывать процессы таким образом, чтобы в дальнейшем расширять их до охвата всех необходимых этапов жизненного цикла.
Далее мы рассмотрим проект по внедрению процесса БРПО в соответствии с требованиями регулятора. Когда прикладное ПО разрабатывается силами собственных разработчиков, необходимо внедрить наиболее полный состав процессов безопасности. В случае заказной разработки или использования вендорского ПО необходимо обеспечить наличие всех необходимых свидетельств по процессам безопасности, выстроенным на стороне вендора — производителя ПО, и приобщить их в проектную документацию на ЗО КИИ. Как правило, типовой проект внедрения процессов безопасной разработки ПО разделяется на пять основных этапов. На первом этапе готовится технико-экономическое обоснование для руководства с верхнеуровневыми финансовыми параметрами проекта, основными этапами работ, основными результатами, которые достигаются в ходе проекта, а также персоналом, который требуется привлечь. На втором этапе проводится аудит текущих бизнес-процессов разработки, формируется целевое состояние процессов разработки, исходя из требований регулятора либо бизнес-потребностей, далее выявляются несоответствия и формируются рекомендации по внедрению организационных и технических мероприятий. На третьем этапе рекомендации ранжируются по степени их реализуемости и сводятся в дорожную карту.
Безопасность КИИ - Безопасность объектов критической информационной инфраструктуры
В запросе необходимо изложить сферы деятельности субъекта КИИ, перечень информационных ресурсов, включенных в зону ответственности субъекта, контактные данные руководителя и лиц, ответственных за взаимодействие. Для обмена информацией об инцидентах через техническую инфраструктуру необходимо организовать канал защищенного межсетевого взаимодействия, решить организационные вопросы по определению зоны ответственности, и подключить организацию к технической инфраструктуре НКЦКИ под определенной учетной записью. При создании центра необходимо руководствоваться документами ФСБ России, которые определяют требования к организациям и методическую основу деятельности таких центров. Перечислим эти документы: Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы Российской Федерации; Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации; Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак; Регламент взаимодействия подразделений Федеральной службы безопасности Российской Федерации и организации при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Чтобы стать субъектом ГосСОПКА и построить центр ГосСОПКА необходимо: Иметь лицензию ФСБ России на право осуществления работ, связанных с использованием сведений, составляющих государственную тайну, в случае если им обрабатывается соответствующая информация, либо осуществляется деятельность по мониторингу информационных систем, обрабатывающих сведения, составляющие государственную тайну. Порядок лицензирования определен постановлением Правительства Российской Федерации от 15 апреля 1995 г. Иметь лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации по услугам мониторинга информационной безопасности средств и систем информатизации.
Отслеживание исправления ошибок, уязвимостей в ходе жизненного цикла. На данном этапе проводится автоматизация процедур реагирования на выявленные уязвимости, которые возникли в ходе разработки либо по сообщениям от пользователей. Как правило, в информационных системах разработки заводятся тикеты. По данным тикетам разработчикам ставится в план задача по устранению критических уязвимостей и уязвимостей, имеющих высокий приоритет. Устранив уязвимость, разработчик в комментариях может сделать пометку с идентификатором тикета.
Тем самым будет обеспечена прослеживаемость закрытия выявленных уязвимостей. Информирование о выявленных уязвимостях и компенсирующих мероприятиях конечных пользователей. В качестве примера можно привести сообщения на сайтах крупных разработчиков средств защиты информации. Там публикуются сообщения, в которых дается ссылка на источник скачивания обновлений, указываются идентификаторы уязвимостей, а также даются ссылки на инструкции по устранению уязвимостей и проведению дополнительных мероприятий. Оповещение конечного пользователя об окончании жизненного цикла ПО.
К примеру, в специальном разделе сайта разработчика могут быть организованы специальные «фильтры» по продуктам, которые ведут на страницы с планами по поддержке ПО в ходе жизненного цикла. На рис. Рекомендуем закладывать процессы таким образом, чтобы в дальнейшем расширять их до охвата всех необходимых этапов жизненного цикла. Далее мы рассмотрим проект по внедрению процесса БРПО в соответствии с требованиями регулятора. Когда прикладное ПО разрабатывается силами собственных разработчиков, необходимо внедрить наиболее полный состав процессов безопасности.
В случае заказной разработки или использования вендорского ПО необходимо обеспечить наличие всех необходимых свидетельств по процессам безопасности, выстроенным на стороне вендора — производителя ПО, и приобщить их в проектную документацию на ЗО КИИ.
При проведении анализа уязвимостей применяются следующие способы их выявления: анализ проектной, рабочей эксплуатационной документации и организационно-распорядительных документов по безопасности значимого объекта; анализ настроек программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта; выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, посредством анализа состава установленного программного обеспечения и обновлений безопасности с применением средств контроля анализа защищенности и или иных средств защиты информации; выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, сетевых служб, доступных для сетевого взаимодействия, с применением средств контроля анализа защищенности; тестирование на проникновение в условиях, соответствующих возможностям нарушителей, определенных в модели угроз безопасности информации. Допускается проведение анализа уязвимостей на макете в тестовой зоне значимого объекта или макетах отдельных сегментов значимого объекта. В случае выявления уязвимостей значимого объекта, которые могут быть использованы для реализации способствовать возникновению угроз безопасности информации, принимаются меры, направленные на их устранение или исключающие возможность использования эксплуатации нарушителем выявленных уязвимостей. По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, отсутствуют уязвимости, как минимум содержащиеся в банке данных угроз безопасности информации ФСТЭК России или выявленные уязвимости не приводят к возникновению угроз безопасности информации в отношении значимого объекта. В ходе приемочных испытаний значимого объекта и его подсистемы безопасности должен быть проведен комплекс организационных и технических мероприятий испытаний , в результате которых подтверждается соответствие значимого объекта и его подсистемы безопасности требованиям П-239, а также требованиям ТЗ на создание значимого объекта и или ТЗ частного технического задания на создание подсистемы безопасности значимого объекта. Ввод в действие значимого объекта и его подсистемы безопасности осуществляется при положительном заключении выводе в акте приемки или в аттестате соответствия о соответствии значимого объекта установленным требованиям по обеспечению безопасности. Силы обеспечения безопасности значимых объектов КИИ В соответствии с п. Руководитель субъекта КИИ определяет состав и структуру системы безопасности, а также функции ее участников при обеспечении безопасности значимых объектов КИИ в зависимости от количества значимых объектов КИИ , а также особенностей деятельности субъекта КИИ. Структурное подразделение по безопасности, специалисты по безопасности должны осуществлять следующие функции: разрабатывать предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представлять их руководителю субъекта КИИ уполномоченному лицу ; проводить анализ угроз безопасности информации в отношении значимых объектов КИИ и выявлять уязвимости в них; обеспечивать реализацию требований по обеспечению безопасности значимых объектов КИИ , установленных в соответствии со ст.
Структурное подразделение по безопасности, специалисты по безопасности реализуют вышеуказанные функции во взаимодействии с подразделениями работниками , эксплуатирующими значимые объекты КИИ , и подразделениями работниками , обеспечивающими функционирование значимых объектов КИИ. Для выполнения вышеупомянутых функций, субъектами КИИ могут привлекаться организации, имеющие в зависимости от информации, обрабатываемой значимым объектом КИИ , лицензию на деятельность по технической защите информации, составляющей государственную тайну, и или на деятельность по технической защите конфиденциальной информации далее - лицензии в области защиты информации. Работники структурного подразделения по безопасности, специалисты по безопасности должны обладать знаниями и навыками, необходимыми для обеспечения безопасности значимых объектов КИИ в соответствии с требованиями П-235. Обязанности, возлагаемые на работников структурного подразделения по безопасности, специалистов по безопасности, должны быть определены в их должностных регламентах инструкциях. Работники, эксплуатирующие значимые объекты КИИ пользователи , а также работники, обеспечивающие функционирование значимых объектов КИИ , должны выполнять свои обязанности на значимых объектах КИИ в соответствии с правилами безопасности, установленными организационно-распорядительными документами по безопасности значимых объектов инструкциями, руководствами. До работников должны быть доведены положения организационно-распорядительных документов по безопасности значимых объектов в части, их касающейся. Представители организаций, привлекаемых субъектом КИИ для эксплуатации, обеспечения функционирования значимых объектов КИИ и или для обеспечения их безопасности, должны быть ознакомлены с организационно-распорядительными документами по безопасности значимых объектов.
Обзор требований ПП-127. Аутсорсинг функций Центра ГосСОПКА Обеспечения безопасности объектов КИИ на примерах компьютерных атак на промышленные объекты Разъяснения по составу сфер деятельности, в которых компьютерные атаки могут провоцировать техногенные аварии, экологические катастрофы, социальные потрясения и наносить серьезный ущерб Система безопасности значимых объектов КИИ: основы построения систем обеспечения безопасности информации Требования к системе безопасности значимых объектов КИИ. Структура процессов по КИИ. Рекомендуемый формат описание Процесса. Соотнесение Процессов и нормативных требований.
Защита субъектов и объектов КИИ
По нему к субъектам КИИ относятся те организации, которые для страны жизненно важны и потому должны работать при любой ситуации. Сегодня в отечественной индустрии разработки программных продуктов сложилась уникальная ситуация, когда практически все субъекты КИИ и разработчики прикладного ПО. Планы перехода субъектов КИИ на доверенные программно-аппаратные комплексы к следующему сентябрю уже должны быть утверждены. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов КИИ. Планы перехода субъектов КИИ на доверенные программно-аппаратные комплексы к следующему сентябрю уже должны быть утверждены.