После осознания руководством предприятия принадлежности к субъектам КИИ, необходимо создать внутреннюю комиссию по категорированию. Короче говоря, объекты КИИ — это информационные системы, принадлежащие субъектам КИИ и помогающие в выполнении критических процессов. Субъектам КИИ, выполняющим гособоронзаказ, теперь следует рассчитывать увеличение времени изготовления для единицы продукции. Инициатива должна ускорить переход субъектов КИИ на отечественное ПО и оборудование, упростить этот процесс и внести в него определённость, объяснил «СенатИнформ» зампред. Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области ИБ.
Новые требования для субъектов КИИ: безопасная разработка прикладного ПО
Субъекты КИИИ: кто это, подходы к определению статуса субъекта критической информационной инфраструктуры, определение сферы деятельности субъекта КИИ и как не. Сегодня в отечественной индустрии разработки программных продуктов сложилась уникальная ситуация, когда практически все субъекты КИИ и разработчики прикладного ПО, планирующие. После осознания руководством предприятия принадлежности к субъектам КИИ, необходимо создать внутреннюю комиссию по категорированию.
Hормативные акты по КИИ
Законодатели к началу проверок дополнили перечень нарушений в области обеспечения безопасности КИИ и предусмотрели административные меры ответственности за них. По данным экспертов, тех, к кому данные меры могут применяться, достаточно. Так на сегодняшний день более чем по 1 700 объектам не соблюдены сроки представления сведений о результатах их категорирования, установленные в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации. Пройти процедуру категорирования непросто.
Потому что все «крутились» внутри.
Если у тебя что-то происходит — простой производства, взорвался резервуар с химикатами, еще что-либо, — то, наверное, ты можешь посчитать, сколько на территории твоего предприятия займет нейтрализация последствий. Может, вообще ничего не потребуется и облако просто унесет на город, само предприятие никак не пострадает: все противогазы надели, полчаса посидели и сняли. Единственное, что есть — это поврежденный резервуар; вероятность того, что это случится из-за каких-то киберпроблем, крайне низка. Поэтому защитные мероприятия — не очень то и серьезные.
Но облако пошло в сторону города, его накрыло, и будем надеяться, что никто не умер. И этот риск — это не полчаса посидеть в противогазе. До принятия закона его никто не оценивал. Сейчас «нормативка» по ФЗ-187 расширяет и формализует имеющуюся оценку рисков.
Если кто-то делал оценку рисков умозрительно, ему это непривычно. Если как-то пытался формализовать — с калькулятором, Excel или еще чем-то, — то ему всё равно непривычно, потому что он оценивал внутренние риски для своей организации. А об экологии, жизни и здоровье граждан никто не заботился. Но и ждать от организаций, что они сами будут расширять оценку рисков, было бы странно.
Особенность защиты технологических сетей состоит в том, что инцидентов не очень много — публичными являются всего несколько в год по всему миру. И внутренняя оценка рисков из-за этого страдает — нет правильной оценки риска возникновения инцидента, он воспринимается как маловероятный. И это накладывает свой отпечаток. Когда со сцены «SOC-Форума» звучало, что, мол, как же вы, ребята, не выполняете требования закона, не защищаете себя самих — это некорректно.
Самих себя субъекты КИИ как владельцы информации, информационных систем или киберфизических систем как-то защищают, причем, скорее всего, вполне адекватно. Внутренняя модель рисков работает. Поэтому закон именно расширяет охват, заставляет защищать от последствий не столько себя самого, сколько остальных. Понятно, что если реализовать требования закона и подзаконных актов, более защищенным станет именно объект КИИ — он будет менее подвержен тому спектру угроз, который там прописан.
И в том числе повысится внутренняя безопасность предприятия, и в примере выше не надо будет надевать противогазы — резервуар не лопнет от хакерской атаки. Для того чтобы всё это заработало, мало просто порассуждать об этом. Надо действительно что-то менять. Сейчас в плане обеспечения выполнения требований закона о КИИ у нас есть статья Уголовного кодекса 274.
В принципе, она достаточно серьезна — там есть несколько пунктов, часть из них говорит как раз об атаках с внешней стороны: если кто-то зловредный нарушит работу объекта КИИ и это нанесет ущерб, то статья работает, кого-то сажают. Даже есть судебные прецеденты — несколько месяцев назад на Дальнем Востоке было судебное решение по отношению к группе лиц, которые что-то «нахимичили» с объектом КИИ, им дали условные сроки от 2 до 3 лет. Это — одна из первых правоприменительных практик на этот счет. И есть пункты, которые касаются ответственности за безопасность объекта КИИ в самой организации: если ты не соблюдаешь установленные правила эксплуатации и в результате что-то произошло, то уголовная ответственность тоже должна наступить.
Насколько это эффективно, пока не очень понятно. Если в случае с персональными данными ответственность очевидно может стать финансовой, и ущерб можно компенсировать, то в случае с инцидентами на объекте КИИ сделать это сложнее. Вот есть предприятие, остановилась подача электричества, полгорода сидело во тьме несколько часов. Как это предприятие должно компенсировать ущерб?
Можно предполагать, что какая-то ответственность прописана. Например, если электрические провода обрываются в случае внезапных погодных проблем, то ни о каких компенсациях речи нет — ремонтная бригада просто выезжает и натягивает эти провода. По-моему, простым гражданам никаких компенсаций в таком случае не положено — люди просто сидят без света и ждут, когда всё починят. Следует ли отдавать это на откуп хозяйствующим субъектам, или государству тоже нужно брать бразды в свои руки?
Если страдают другие юридические организации, тоже достаточно крупные, у нас культура в области кибербезопасности меняется и, возможно, в договорах между генераторами и потребителями электроэнергии могут появиться пункты про компенсации. Но у нас же есть физлица, у которых отключение электричества — это самый простой вариант. А если химическое облако полетело — это вред здоровью. Есть и другие последствия.
Если это — крупное предприятие, и оно обеспечивает определенный процент поступлений средств в местный бюджет, то у него возникнут проблемы с производством, упадет прибыль, оно меньше заплатит налогов. Это — один из рисков, которые рассматриваются в рамках 187-ФЗ. Ты уже пострадал, а тут приходит налоговая инспекция и говорит: «Прибыль у вас упала, вы недоплатили налогов, потому что плохо защищали. К такому механизму возникает много вопросов.
А есть еще моменты, связанные с нарушением обороноспособности. Приходит Минобороны и говорит: «Родина в опасности, потому что вы плохо защищали объект КИИ и сорвали гособоронзаказ. Как вы будете это компенсировать? С другой — инциденты возникают нечасто, что позволит воспринимать их как некий форс-мажор.
Возможно, стоит прописывать это в договорах наряду с другими вариантами прерывания получения услуги.
Часть 3. Часть 4. Руководство по управлению рисками информационной безопасности. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения». Система управления информационной безопасностью. Техника защиты информации. Номенклатура показателей качества».
Системы автоматизированного управления учетными записями и правами доступа. Классификация средств защиты информации от несанкционированного доступа и номенклатура показателей качества». Разосланы на рассмотрение в организации-члены ТК 362 проект Рекомендаций по стандартизации «Информационная технология. Криптографическая защита информации. Защищенный протокол взаимодействия квантово-криптографической аппаратуры выработки и распределения ключей и средства криптографической защиты информации». Плановый срок рассмотрения - апрель 2023 года. Представлены председателю ТК 362 для принятия решения об организации их публичного обсуждения проекты национальных стандартов: ГОСТ Р «Защита информации. Система менеджмента информационной безопасности. Представлен председателю ТК 362 для принятия решения об организации голосования по вопросу его представления в Федеральное агентство по техническому регулированию и метрологии Росстандарт на утверждение проект национального стандарта ГОСТ Р «Защита информации.
Система организации и управления защитой информации. Методы и средства обеспечения безопасности.
За это время отечественные компании-разработчики создали большое количество ПО и оборудования, которые могут быть использованы для КИИ. В реестр Минцифры РФ, по последним данным, включено 14, 6 тыс. Это неплохие цифры. При этом доля российского программного обеспечения на отечественных промышленных предприятиях составляет всего четверть. Речь в данном случае идет о технологиях, выполняющих ключевые функции: управление данными о продукции, диспетчеризация, сбор информации со станков и т. Возможности обрести технологический суверенитет у страны есть.
В России есть ПО, которое част ично замещает функционал популярных иностранных продуктов. Однако некоторым программным продуктам аналогов пока нет. Промышленные предприятия преимущественно используют импортный софт для ERP-систем управление процессами и зарубежный инженерный софт проектирование сложных изделий. Еще один программный продукт, замена которого пока проблематична — свободная объектно-реляционная система управления базами данных СУБД Oracle, на которой работают банки. Сейчас Oracle на ср едних задачах можно заместить софтом Postg res, но на доработку полного функционала продукта потребуется время. А вот, например, в области моделирования проектов нефтедобычи наши программы превосходят зарубежные аналоги по всем параметрам. Экспортный потенциал у того, что будет делаться и делается сейчас, достаточно большой. Реально ли это в принципе?
В любом случае, спрос на отечественное ПО в госсекторе и частных структурах за последние год-два вырос в разы. Самый высокий интерес к нему наблюдается в финансовых институтах и топливно-энергетическом комплексе.
К 2030 году субъекты КИИ в РФ полностью импортозаместят ПО и оборудование
Внесение изменений в план осуществляется путем утверждения плана перехода в новой редакции. Далее процедура та же, как описано выше. В целях организации перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им ЗОКИИ Уполномоченными органами могут привлекаться отраслевые центры компетенций, в том числе созданные на базе организаций, подведомственных Уполномоченным органам, или иные организации в порядке, предусмотренном законодательством РФ. Краткое резюме ПАК, не являющиеся доверенными в контексте данного нормативного правового акта НПА , в том числе средства защиты информации СЗИ , можно приобрести до 01. Приобретение ПАК, не являющихся доверенными, с 01. Функции защиты на уровне идентификации, аутентификации пользователей, управления доступом реализованы во множестве ПАК, не являющихся сертифицированными СЗИ например, коммутатор, программируемый логический контроллер — это как раз те самые встроенные средства защиты, приоритетное использование которых предписывает Приказ ФСТЭК России от 25.
Стандарт формируется для противодействия осуществлению переводов денежных средств без согласия клиента, расследования инцидентов защиты информации, использования в качестве фактора аутентификации. Стандарт содержит общее описание технологии цифрового отпечатка и ограничения ее использования, алгоритм формирования отпечатка, рекомендации по его хранению и применению. Административные регламенты ФСТЭК России Опубликован проект приказа Федеральной службы по техническому и экспортному контролю Российской Федерации далее — ФСТЭК России , предлагающий отменить административные регламенты по исполнению государственной функции по контролю за соблюдением лицензионных требований при: осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации. Службой также опубликованы для общественного обсуждения проекты приказов, предлагающие утвердить сроки и последовательность административных процедур при осуществлении лицензионного контроля: «Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации в пределах компетенции ФСТЭК России ». Скорректированы формулировки предмета лицензионного контроля, наименование административных процедур.
Исключена блок-схема исполнения государственной функции. Согласно проектам для осуществления контрольных мероприятий предлагается возможность привлечения сторонних экспертов по решению директора ФСТЭК России. Такие эксперты не должны состоять в гражданско-правовых и трудовых отношениях с проверяемой организацией или быть аффилированными лицами лицензиата. Основанием для включения в ежегодный план проведения проверок теперь является истечение трех лет со дня: государственной регистрации юридического лица, индивидуального предпринимателя ранее был установлен срок — по истечении одного года ; окончания проведения последней плановой проверки юридического лица, индивидуального предпринимателя осталось без изменений. Публичное обсуждение проектов завершилось 25 апреля. Действующее постановление Правительства Российской Федерации от 03. Проект приказа разработан с целью устранить существующий пробел, а также унифицировать порядок обращения со служебной информацией для иных государственных органов, органов государственных внебюджетных фондов, органов местного самоуправления, а также организаций, осуществляющим в соответствии с федеральными законами отдельные публичные полномочия, при обращении со служебной информацией. При этом конкретизируется область действия положений, вводятся отдельно термины «служебная информация ограниченного доступа» и «документ для служебного пользования», а также иная терминология для уточнения порядка обращения с указанными сведениями и документами. Согласно проекту, внутренний порядок обращения с документами для служебного пользования в органах и организациях определяется самостоятельно руководителем. Общественное обсуждение приказа завершилось 5 мая.
ТК 362 На странице технического комитета по стандартизации «Защита информации» далее — ТК 362 опубликован ряд отчетных документов о выполненных работах: традиционные справки-доклады о ходе работ по плану по состоянию на 29. Согласно указанным документам выполнены следующие работы: 1. Идентификация и аутентификация. Формальная модель управления доступом.
При каком-либо отступлении от нее разработчику необходимо будет в комментариях указывать причину. Динамический анализ кода с его исполнением. В простейшем случае динамический анализ кода проводится в виде ряда тестов: модульного, регрессионного и системного. Модульные тесты разрабатываются на те функции, которые принимают входные значения из внешних данных т. В ходе инструментирования кода счетчиками ошибок санитайзерами и отладочными аллокаторами необходимо провести автоматизированный запуск этих тестов, собрать тестовое покрытие и проанализировать результаты. На основании результатов можно в том числе увидеть участки кода, которые в ходе выполнения не были задействованы, а значит, требуют дополнительного внимания. К примеру, они могут быть проверены на отсутствие недекларированных возможностей в ручном режиме. Фаззинг-тестирование с его исполнением. Для данного процесса необходимо разработать специальные функции либо наборы входных данных методами «мутационного» или «генерационного» фаззинга , которые подаются на вход тех же самых функций, составляющих поверхность атаки. И точно так же, как в динамическом анализе, для фаззинга собирается покрытие и анализируются результаты, а выявленные ошибки включаются в план устранения недостатков. Отслеживание исправления ошибок, уязвимостей в ходе жизненного цикла. На данном этапе проводится автоматизация процедур реагирования на выявленные уязвимости, которые возникли в ходе разработки либо по сообщениям от пользователей. Как правило, в информационных системах разработки заводятся тикеты. По данным тикетам разработчикам ставится в план задача по устранению критических уязвимостей и уязвимостей, имеющих высокий приоритет. Устранив уязвимость, разработчик в комментариях может сделать пометку с идентификатором тикета. Тем самым будет обеспечена прослеживаемость закрытия выявленных уязвимостей.
Необходимо провести анализ угроз безопасности информации, мониторинг критических процессов и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ, а также рассмотреть возможные действия нарушителей: создать модель угроз нарушителя безопасности информации. С чего начать? Все начинается с создания комиссии, которая будет делать анализ информации и процессов компании, создавать приказы, положения и принимать решение о наличии и отсутствии объектов КИИ. По результатам обсуждения правового комитета ассоциации "Ростелесеть" мы рекомендуем для рассмотрения следующий список потенциальных участников комиссии: Руководитель компании или уполномоченное лицо генеральный директор, его заместитель ; Руководители, понимающие все технологические процессы в компании и их взаимосвязь технический директор, главный инженер ; Специалист, отвечающий за информационную безопасность главный администратор сети ; Сотрудник, отвечающий за гражданскую оборону и чрезвычайные ситуации если есть ; Специалист по защите государственной тайны если есть ; Специалист финансово-экономического подразделения: для расчета показателей экономической значимости экономист ; Специалист юридических подразделений: для проверки корректности соблюдения процедуры и оформления документов юрист. Рекомендованный состав больше относится к крупным операторам связи и лишь подсказывает кандидатов и затрагиваемые аспекты оценки процессов. Для небольших компаний этот перечень лучше сократить. Комиссия формирует положение о комиссии по категорированию объектов критической информационной инфраструктуры, где прописывает все принципы работы комиссии. После чего утверждается план работы и формируется перечень объектов критической информационной инфраструктуры на своем предприятии. Важно, что в перечень включаются все объекты КИИ, как значимые, так и не значимые. Нужно сформировать перечень всех объектов КИИ, после чего у организации будет еще год для проведения категорирования и установления степени значимости. Общаясь с сотрудниками ФСТЭК, мы осознаем, что в службе только формируются подходы, регламентирующих документов много, они содержат обобщенный характер требований, а в ближайшие годы предстоит большая работа по трактовке и совместному их пониманию с регулятором. С целью выработки единых подходов ассоциация "Ростелесеть" формирует для своих участников рекомендованные документы. По мере корректировки видения этот пакет документов будет меняться и расширяться.
Что такое КИИ?
Субъектам КИИ, осуществляющим деятельность в сфере связи, рекомендуется направлять перечни и сведения в центральный аппарат ФСТЭК России или управление ФСТЭК России по. Категорирование объектов КИИ проведение работ всех категорий от здравоохранения до МО. Было проверено более 400 объектов КИИ, принадлежащие 73 субъектам.
Hормативные акты по КИИ
Понять, что такое объекты критической инфраструктуры, предельно просто — это элементы ИТ-инфраструктуры компаний, попадающих под определение субъектов КИИ. Субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости в соответствии с требованиями 127-П. В их числе – субъекты критической информационной инфраструктуры (КИИ). Максимальный срок категорирования не должен превышать 1 года со дня утверждения субъектом КИИ перечня объектов. В обзоре изменений за апрель 2023 года рассмотрим: дополнительные требования для значимых объектов КИИ с удаленным управлением, госконтроль и аккредитация. Новости законодательства.
Требования к ПАК
- Пример категорирования объекта КИИ
- Часть 2. Система безопасности значимых объектов КИИ
- С сентября 2024 субъекты КИИ должны использовать только доверенные ПАК -
- Теперь все серьезно: как меняется безопасность субъектов КИИ
Закон о безопасности КИИ в вопросах и ответах
В Госдуму внесен законопроект Минцифры о переходе субъектов критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение и радиоэлектронную. Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле. Так как сегодня в достаточно сжатые сроки требуется. Короче говоря, объекты КИИ — это информационные системы, принадлежащие субъектам КИИ и помогающие в выполнении критических процессов. Современные вызовы КИИ российской промышленности», сообщает пресс-служба Ассоциация КП ПОО.
Как и кому необходимо подключаться к ГосСОПКА
Современные вызовы КИИ российской промышленности», сообщает пресс-служба Ассоциация КП ПОО. До 1 января 2030 г. субъекты критической информационной инфраструктуры (КИИ) обязаны перевести принадлежащие им значимые объекты на доверенные программно-аппаратные. Ответственность возлагается на должностных лиц субъекта КИИ. С 1 сентября 2024 г. субъектам КИИ России будет запрещено приобретать и использовать ПАК, которые не является доверенными. субъекты КИИ) на принадлежащих им значимых объектах не.
Минцифры разрабатывает документ, по которому субъектов телевещания признают объектами КИИ
- Новое в Каталоге Энергетика.RU
- Владельцы социально значимых объектов КИИ будут использовать ПАК
- Категорирование КИИ
- Почему нельзя откладывать внедрение безопасной разработки ПО?
- Безопасность КИИ - Безопасность объектов критической информационной инфраструктуры
- Новое постановление правительства
Владимир Путин подписал закон об изменении перечня субъектов КИИ
Нужно учитывать, что Федеральный закон не касается непосредственно перечисленных отраслей, а только ИС, коммуникационных и других сетей, которые в них используются. Что является объектом КИИ по закону? При анализе нормативно-правовой базы необходимо, прежде всего, сориентироваться в терминологии. Понять, что такое объекты критической инфраструктуры, предельно просто — это элементы ИТ-инфраструктуры компаний, попадающих под определение субъектов КИИ. При этом не имеет значения степень важности этих ИС, автоматизированных систем управления и телекоммуникаций и связи для самого предприятия. Главное — это то, что они классифицируются как часть КИИ страны, соответственно, требуют повышенной защиты от внутренних и внешних угроз. Основная часть условий по обеспечению безопасности в рамках ФЗ-187 касается только тех объектов, которые в результате категорирования признаются значимыми.
В качестве субъекта может выступать: орган муниципальной власти; государственные учреждения; юридические лица, зарегистрированные на территории российского государства.
В части субъектов КИИ, осуществляющих деятельность в сфере cвязи, являющихся федеральными органами исполнительной власти, подведомственными им учреждениями, а также организациями, осуществляющими деятельность в сфере cвязи в двух и более субъектах Российской Федерации, рассмотрение перечней и сведений осуществляется центральным аппаратом ФСТЭК России. В части субъектов КИИ, осуществляющих деятельность в сфере связи, за исключением указанных организаций, рассмотрение перечней и сведений осуществляется управлением ФСТЭК России по федеральному округу, на территории которого расположены указанные субъекты КИИ.
Но будут исключения Правительство России выпустило новое постановление о переходе субъектов критической информационной инфраструктуры России на использование отечественного ПО и «железа» до 1 сентября 2024 г. Но есть механизм исключения, позволяющий использовать иностранные софт и железо при отсутствии российских аналогов. Новое постановление правительства С 1 сентября 2024 г. С 1 сентября 2024 г.
До 1 января 2030 г.
Она предлагает единую консоль мониторинга, анализа и реагирования на киберугрозы. Рабочие места по-прежнему остаются основной мишенью злоумышленников и удобными точками входа при проведении кибератак. Поэтому важно в первую очередь начинать выстраивать свою передовую защиту с рабочих мест и серверов. Kaspersky EDR как раз позволяет защитить их, обеспечивая сбор, запись и хранение информации о событиях безопасности и обеспечивает централизованное расследование и реагирование на сложные кибератаки, направленные на инфраструктуру конечных точек. По нашим оценкам, в среднем в мире ущерб для крупных предприятий превышает 1 миллион долларов. Поэтому так важно внедрять комплексные защитные решения". Это мощная система информационной безопасности класса XDR Extended Detection and Response , которая предоставляет специалистам по информационной безопасности полную картину событий как на уровне сети, так и в инфраструктуре рабочих мест и серверов и обеспечивает их эффективную защиту от сложных угроз и целевых атак.
Все больше компаний осознают важность своевременного обнаружения и реагирования на кибератаки. Как подчеркивают эксперты, делиться информацией о новом вредоносном ПО и техниках злоумышленников очень важно. Угрозы становятся более сложными и продвинутыми, а современные решения в сфере кибербезопасности позволяют вовремя их обнаружить и своевременно отреагировать, избежав потерь или сведя их к минимуму. Те меры, которые принимает государство для защиты КИИ от кибератак, в том числе на законодательном уровне, - это большой шаг в сторону повышения безопасности. Подключение к системе ГосСОПКА и построение корпоративных ведомственных центров позволит значительно повысить уровень ИБ и защищенность информационных ресурсов стратегически важных для государства отраслей.
Кабмин определит перечень объектов критической информационной инфраструктуры
| К 2030 году субъекты КИИ в РФ полностью импортозаместят ПО и оборудование | В январском письме Центральный Банк призвал поднадзорные организации провести повторное категорирование субъектов КИИ и до 31 марта 2023 отчитаться о статусе работ. |
| ЦБ РФ напомнил о категорировании субъектов КИИ | Современные вызовы КИИ российской промышленности». |
| Обзор законодательства РФ о критической информационной инфраструктуре | К субъектам КИИ относятся органы власти, ИП и российские организации, которые владеют объектами критической информационной инфраструктуры или обеспечивают взаимодействие. |
| Подписан закон об изменении перечня субъектов критической информационной инфраструктуры | Мониторинг перехода субъектов КИИ на преимущественное применение российского ПО предлагается закрепить за Минцифры. |
| В 2024 году субъекты КИИ начнут пользоваться доверенными ПАК | Правительство РФ утвердило для субъектов КИИ порядок перехода на использование доверенных ПАК, соответствующих специальным требованиям. |