нарушить правила обмена информацией об инцидентах (в частности, между субъектами КИИ). Значимые субъекты КИИ должны перейти к использованию доверенных программно-аппаратных комплексов на своих объектах до 1 января 2030 года. Субъектам КИИ, осуществляющим деятельность в сфере связи, рекомендуется направлять перечни и сведения в центральный аппарат ФСТЭК России или управление ФСТЭК России по. Субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости в соответствии с требованиями 127-П.
Что такое КИИ?
Поэтому так важно внедрять комплексные защитные решения". Это мощная система информационной безопасности класса XDR Extended Detection and Response , которая предоставляет специалистам по информационной безопасности полную картину событий как на уровне сети, так и в инфраструктуре рабочих мест и серверов и обеспечивает их эффективную защиту от сложных угроз и целевых атак. Все больше компаний осознают важность своевременного обнаружения и реагирования на кибератаки. Как подчеркивают эксперты, делиться информацией о новом вредоносном ПО и техниках злоумышленников очень важно. Угрозы становятся более сложными и продвинутыми, а современные решения в сфере кибербезопасности позволяют вовремя их обнаружить и своевременно отреагировать, избежав потерь или сведя их к минимуму. Те меры, которые принимает государство для защиты КИИ от кибератак, в том числе на законодательном уровне, - это большой шаг в сторону повышения безопасности. Подключение к системе ГосСОПКА и построение корпоративных ведомственных центров позволит значительно повысить уровень ИБ и защищенность информационных ресурсов стратегически важных для государства отраслей. Однако многие компании только начинают осваивать базовые меры кибербезопасности.
И самостоятельно воспользоваться предложенными государственными мерами способны далеко не все. Для этого необходим целый комплекс технических средств, а главное - грамотные специалисты. В нем приняли участие 5 266 IT-специалистов из 31 страны, включая Россию.
Решения не просто должны заработать, но и обеспечить в компаниях непрерывность и безопасность их производственных процессов.
Мы понимаем, что иногда запрашиваем большое количество информации по различным вопросам, связанным с объектами КИИ, однако, эта детализация необходима, чтобы в том числе понимать в каких областях есть сложности и где требуется скорректировать подходы. Директор дирекции информационных технологий, автоматизации и телекоммуникаций «Газпром нефти» Антон Думин поднял вопрос неоднозначного толкования понятийного аппарата в нормативной базе: Не всегда однозначно трактуются термины, которые применяются, например, такие как «программно-аппаратные комплексы» или что означает понятие «импортозаместить» внутри КИИ. Хотелось бы, чтобы мы выстраивали понятийный аппарат, учитывая, как будут реализовываться намеченные планы в горизонте десяти лет, а не двух. Эти циклы всегда более длинные и мы должны понимать, как будем двигаться, в том числе по таким направлениям, как восполнение кадрового потенциала или производство и эксплуатация радиоэлектроники. Генеральный директор холдинга Т1 Игорь Калганов также поддержал необходимость создания общего стратегического документа в сфере КИИ и единого глоссария: Когда мы придем к единому пониманию и найдем методы, при которых заказчики будут хотеть признавать себя КИИ, нам всем станет гораздо проще взаимодействовать и договариваться.
Начальник Департамента информатизации РЖД Кирилл Семион высказал предложение разделить понятие безопасности и требований, которые предъявляются к КИИ: Отсутствие импортозависимых компонентов в КИИ не всегда является достаточным, чтобы обеспечить их безопасность. Также спикер обратил внимание на необходимость введения конкретных требований к понятию безопасная разработка. И ответственность подрядчиков за соблюдение данных требований по безопасности, чтобы крупнейшие потребители не несли дополнительных затрат для исправления ситуации. Директор по информационным технологиям Госкорпорации «Росатом» Евгений Абакумов рассказал про критерии доверенности ПАК, которые видятся важными для крупнейших заказчиков: Нам важно знать, кто является производителем решения, как выстроены процессы их разработки. Иногда бывают ситуации, когда часть приложений наших партнеров разрабатываются за границей.
Этот вопрос мы должны контролировать в том числе.
В России есть ПО, которое част ично замещает функционал популярных иностранных продуктов. Однако некоторым программным продуктам аналогов пока нет. Промышленные предприятия преимущественно используют импортный софт для ERP-систем управление процессами и зарубежный инженерный софт проектирование сложных изделий. Еще один программный продукт, замена которого пока проблематична — свободная объектно-реляционная система управления базами данных СУБД Oracle, на которой работают банки. Сейчас Oracle на ср едних задачах можно заместить софтом Postg res, но на доработку полного функционала продукта потребуется время. А вот, например, в области моделирования проектов нефтедобычи наши программы превосходят зарубежные аналоги по всем параметрам. Экспортный потенциал у того, что будет делаться и делается сейчас, достаточно большой. Реально ли это в принципе? В любом случае, спрос на отечественное ПО в госсекторе и частных структурах за последние год-два вырос в разы.
Самый высокий интерес к нему наблюдается в финансовых институтах и топливно-энергетическом комплексе. Существует также запрос на перенос функциональности зарубежных разработок на отечественные решения. Спрос рождает предложение — закон рынка. Сейчас у отечественных разработчиков есть все возможности заполнить рынок необходимого программного обеспечения. В нем установлены требования к ПО, используемому органами власти и госкомпаниями на объектах КИИ, правила согласования закупок зарубежного ПО. Основными целями постановления являются запуск процесса импортозамещения применяемых на объектах КИИ программно-аппаратных комплексов, определение конкретных шагов, которые должны быть выполнены, и сроков их реализации. Составленные и опубликованные планы перехода позволят производителям российской радиоэлектронной продукции оценить требуемые объемы ее выпуска, а также технические и функциональные характеристики, что даст возможность целенаправленно решать поставленные задачи.
Современные вызовы КИИ российской промышленности». Решения не просто должны заработать, но и обеспечить в компаниях непрерывность и безопасность их производственных процессов. Мы понимаем, что иногда запрашиваем большое количество информации по различным вопросам, связанным с объектами КИИ, однако эта детализация необходима, чтобы в том числе понимать, в каких областях есть сложности и где требуется скорректировать подходы», — отметил заместитель министра цифрового развития, связи и массовых коммуникаций России Андрей Заренин. Сегодня Председатель Правительства поручил всем индустриальным центрам компетенций провести работу по выделению критических информационных систем и процессов с точки зрения устойчивости к вызовам и угрозам. Такую работу мы проведем, типовые объекты КИИ утвердим, посоветовавшись с отраслями, после чего должны будут появиться планы перехода, которые станут отображением матрицы: что мы должны поменять, почему, на что, когда и зачем. Работа для нас понятная, ведем ее вместе со всеми отраслями», — подчеркнул директор Департамента цифровых технологий Министерства промышленности и торговли России Владимир Дождев.
Обзор законодательства РФ о критической информационной инфраструктуре
Также спикер обратил внимание на необходимость введения конкретных требований к понятию безопасная разработка. И ответственность подрядчиков за соблюдение данных требований по безопасности, чтобы крупнейшие потребители не несли дополнительных затрат для исправления ситуации. Директор по информационным технологиям Госкорпорации «Росатом» Евгений Абакумов рассказал про критерии доверенности ПАК, которые видятся важными для крупнейших заказчиков: «Нам важно знать, кто является производителем решения, как выстроены процессы их разработки. Иногда бывают ситуации, когда часть приложений наших партнеров разрабатываются за границей. Этот вопрос мы должны контролировать в том числе». Среди требований к производителю и разработчику: собственная сеть сервисных центров на территории РФ; наличие прав на документацию, технологию, патентов и исключительных прав на ПО; поддержка продукта на протяжении всего жизненного цикла. Также отдельно Евгений Абакумов остановился на требованиях к аппаратному и программному обеспечению ПАК. Старший вице-президент по информационным технологиям Ростелекома Кирилл Меньшов акцентировал внимание на предназначении ПАКов: «Мне кажется, что решить вопрос ПАКов без понимания того, что они из себя представляют — невозможно.
Они появились для специализированных задач, которые нельзя решить с помощью универсальных серверов. Поэтому ПАКи между собой различаются радикально.
В этой статье подробно освещаются следующие аспекты: что такое КИИ, что представляют собой субъект и объект КИИ, все ли операторы связи являются субъектами КИИ, что субъекты КИИ должны делать, в случае, если у них есть объекты КИИ, а также в случае, если у них таких объектов нет, в каком порядке предпринимать все эти действия, кому, как и когда отчитываться. Также в статье присутствует перечень документов, в настоящее время регулирующих все эти вопросы. Что такое КИИ?
Последнее десятилетие во всем мире разрабатывают подходы и утверждают законодательную базу, чтобы обезопасить крупные предприятия, важные сегменты экономики и инфраструктуру стран от массовых компьютерных вирусов, целенаправленных кибератак и преступлений в области информационной безопасности. В 2013 году подписан Указ Президента РФ "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации". Данный закон регулирует отношения государственных и частных предприятий в области обеспечения безопасности критической информационной инфраструктуры КИИ для ее устойчивого функционирования, при компьютерных атаках и иных преступлениях в области информационной безопасности. В начале 2020 года участники Ассоциации "Ростелесеть" в разных регионах впервые столкнулись с запросами из прокуратуры, где звучало требование отчитаться о проделанной работе по КИИ. Для форума MUSE мы готовили доклады и круглые столы по данной теме, но в связи с переносом даты проведения форума решили, что важно поделиться с читателями своим видением.
Помимо операторов связи под регулирование в области обеспечения безопасности КИИ попали и другие сферы и сегменты экономики: здравоохранение, наука, транспорт, энергетика, банковская сфера, сфера финансовых рынков, топливно-энергетический комплекс, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность, химическая промышленность. Субъект КИИ — это организация, то есть государственный орган, государственное учреждение, юридическое лицо или индивидуальный предприниматель, у кого присутствует объект КИИ. Объект КИИ — это то, что может быть подвержено атаке, как правило, это информационные системы и сети, а также системы управления. Совокупность информации в базах данных и средства, которые ее обрабатывают. Информационно-телекоммуникационные сети ИТКС.
ФСТЭК России после получения сведений о результатах категорирования от субъекта КИИ обязан в течение 30 дней проверить правильность категорирования и при выявлении нарушений возвратить направленный документ субъекту КИИ для исправления. Что будет, если не проводить категорирование? В случае непредставления субъектом КИИ сведений о результатах категорирования объекта критической информационной инфраструктуры происходит нарушение ч. Невыполнение данного требования влечет за собой административную ответственность по статьям 19.
Что такое объекты КИИ? При этом объекты КИИ подразделяются на категории — первую, вторую, третью — по важности для информационной безопасности, также есть объекты КИИ, которым не присвоена категория. Этот момент вызывает отдельные споры: одна из главных просьб бизнеса — не налагать обязательства по импортозамещению на КИИ третьей категории. Какие аргументы против у российского бизнеса? В письме РСПП, выдержки из которого опубликованы в РБК , приводятся следующие аргументы против готовящейся директивы: Переход предприятий, управляющих КИИ, на российское ПО и оборудование потребует существенные затраты, что приведет к росту цен и снижению конкуренции на рынке, а в конечном счете к ухудшению качества услуг и отставанию в развитии разных сегментов рынка. В перечень предприятий, которые собираются обязать выполнять требования, включены наименее важные объекты третьей категории и объекты без присвоенной категории.
Не только те, от которых зависит информационная безопасность и обороноспособность страны. Шохин приводит в пример частные банки, поликлиники, мобильных операторов, операторов по продаже билетов.
Обеспечение безопасности КИИ
Генеральный директор холдинга Т1 Игорь Калганов также поддержал необходимость создания общего стратегического документа в сфере КИИ и единого глоссария: «Когда мы придем к единому пониманию и найдем методы, при которых заказчики будут хотеть признавать себя КИИ, нам всем станет гораздо проще взаимодействовать и договариваться». Начальник Департамента информатизации РЖД Кирилл Семион высказал предложение разделить понятие безопасности и требований, которые предъявляются к КИИ: «Отсутствие импортозависимых компонентов в КИИ не всегда является достаточным, чтобы обеспечить их безопасность». Также спикер обратил внимание на необходимость введения конкретных требований к понятию безопасная разработка. И ответственность подрядчиков за соблюдение данных требований по безопасности, чтобы крупнейшие потребители не несли дополнительных затрат для исправления ситуации. Директор по информационным технологиям Госкорпорации «Росатом» Евгений Абакумов рассказал про критерии доверенности ПАК, которые видятся важными для крупнейших заказчиков: «Нам важно знать, кто является производителем решения, как выстроены процессы их разработки.
Иногда бывают ситуации, когда часть приложений наших партнеров разрабатываются за границей. Этот вопрос мы должны контролировать в том числе». Среди требований к производителю и разработчику: собственная сеть сервисных центров на территории РФ; наличие прав на документацию, технологию, патентов и исключительных прав на ПО; поддержка продукта на протяжении всего жизненного цикла. Также отдельно Евгений Абакумов остановился на требованиях к аппаратному и программному обеспечению ПАК.
Старший вице-президент по информационным технологиям Ростелекома Кирилл Меньшов акцентировал внимание на предназначении ПАКов: «Мне кажется, что решить вопрос ПАКов без понимания того, что они из себя представляют — невозможно.
Также важно не забыть про вспомогательные процессы, нарушение которых может привести к проблемам в КИИ. Например, мониторинг и управление критическими процессами или управление телеком сетями в этот список также попадают». По требованиям Постановления, заниматься этой работой должна постоянно действующая комиссия, куда обязаны входить все ответственные лица: от руководителя субъекта КИИ до работников структурных подразделений по защите от ЧС. Определив объекты КИИ, можно переходить непосредственно к категорированию. Финансовым организациям в этом списке следует обратить внимание на III раздел «Экономическая значимость». Хотя в тексте есть детали, которые особенно важно не пропустить. Например, в п.
Подписывайтесь на «Газету.
Ru» в Дзен и Telegram.
Так как сегодня в достаточно сжатые сроки требуется перевести на отечественные решения все объекты КИИ, нам необходимы выверенные термины и правила, которые будут трактоваться однозначно. Чтобы производители отвечали на запрос потребителей, а заказчики в свою очередь могли выстроить приоритизацию перехода на отечественные решения. По мнению участников Ассоциации, в целях гармонизации действующего законодательства целесообразно утвердить ключевой нормативный правовой акт, в котором будут закреплены основополагающие принципы, понятийный аппарат, критерии определения технологической независимости и доверенности в сфере КИИ и другое», — рассказала Рената Абдулина. Кроме того, представители крупнейших компаний страны озвучили запрос на информационное и консультационное сопровождение процессов импортозамещения на объектах КИИ для получения компетентных разъяснений, например, как трактовать пункты нормативных актов или как применять методические рекомендации. Новости отрасли.
Кабмин внёс законопроект о переходе субъектов критической инфраструктуры на российский софт
Субъекты критической информационной инфраструктуры (КИИ) должны предоставлять во ФСТЭК сведения в том числе о программных, программно-аппаратных средствах, а также. Субъекты КИИ обяжут перейти на доверенные программно-аппаратные комплексы. Соответствующее постановление Правительства РФ было официально опубликовано 14 ноября. Новые субъекты КИИ, индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере. Сегодня в отечественной индустрии разработки программных продуктов сложилась уникальная ситуация, когда практически все субъекты КИИ и разработчики прикладного ПО, планирующие. Ответ: Субъекты КИИ, владельцы значимых объектов КИИ, обязаны в срок не позднее 90 календарных дней с момента включения данного объекта в реестр значимых объектов КИИ. Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле.
Новое в Каталоге Энергетика.RU
- Что такое КИИ?
- С сентября 2024 субъекты КИИ должны использовать только доверенные ПАК
- электроэнергетика и теплоэнергетика, генерация и электросети, предприятия и специалисты энергетики
- Кабмин будет определять типы информсистем для их отнесения к важным объектам КИИ
Обновление подборки законодательства о КИИ на сентябрь 2023
Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле. Таким образом, закон предусматривает два вида субъектов КИИ — владельцы объектов КИИ и координаторы взаимодействия этих объектов. Планируется, что субъекты критической информационной инфраструктуры (КИИ) до 2024 года должны перейти на преимущественное использование российского ПО. Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области ИБ. Кто же такие субъекты КИИ? В январском письме Центральный Банк призвал поднадзорные организации провести повторное категорирование субъектов КИИ и до 31 марта 2023 отчитаться о статусе работ.
Информационное сообщение ФСТЭК России от 28 апреля 2023 г. N 240/82/818
Трудности импортозамещения ПО По данным экспертов в России насчитывается порядка 300 тысяч объектов КИИ, поэтому жесткие требования импортозамещения программного обеспечения в нашей стране действительно являются критически важными. При этом, несмотря на то, что ответственные лица почти в каждой организации имеют KPI по импортозамещению, вопрос о невозможности уложиться в срок до 2025 года остается актуальным. В чем же проблема? Главный барьер на пути к замещению импортного программного обеспечения — отсутствие полных аналогов на российском ИТ-рынке. Еще сложнее дело обстоит с целыми экосистемами, основанными на импортных решениях: в этом случае создание полного стека отечественных технологий может потребовать нескольких лет. Пока что выходом является комбинирование нескольких продуктов для обеспечения компании необходимым функционалом.
Альтернативной этому решению является использование отечественного стека совместимых продуктов от нескольких российских поставщиков. Также, переход на новое программное обеспечение требует времени. Тестирование нового решения обычно занимает от полугода до года, но перевод мощностей осуществляется постепенно и может длиться более пяти лет.
Идентификации Пользователя, зарегистрированного на сайте для его дальнейшей авторизации, оформления заказа и других действий. Предоставления Пользователю доступа к персонализированным данным сайта. Установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования сайта, оказания услуг и обработки запросов и заявок от Пользователя. Определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества. Подтверждения достоверности и полноты персональных данных, предоставленных Пользователем. Создания учетной записи для использования частей сайта , если Пользователь дал согласие на создание учетной записи. Уведомления Пользователя по электронной почте. Предоставления Пользователю эффективной технической поддержки при возникновении проблем, связанных с использованием сайта. Предоставления Пользователю с его согласия специальных предложений, информации о ценах, новостной рассылки и иных сведений от имени сайта. Осуществления рекламной деятельности с согласия Пользователя. Способы и сроки обработки персональной информации 5. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств. Пользователь соглашается с тем, что Администрация вправе передавать персональные данные третьим лицам, в частности, курьерским службам, организациями почтовой связи в том числе электронной , операторам электросвязи, исключительно в целях выполнения заказа Пользователя, оформленного на сайте , включая доставку Товара, документации или e-mail сообщений. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации. При утрате или разглашении персональных данных Администрация вправе не информировать Пользователя об утрате или разглашении персональных данных.
При этом он отмечает, что в сфере регистрации недвижимости этот закон вряд ли как—то критически повлияет на текущее положение дел. Поэтому это важно для достаточно узкого круга лиц", — полагает он. На объекте недвижимого имущества может быть инфраструктура, которая подвергается атакам, поэтому внесение в список КИИ тут видится логичным, убеждён Павел Катков. Возможно, депутаты пытаются защитить эти системы от хакерских атак, которые могли бы осуществляться в целях срыва этих сделок. Может, это ещё окажет воздействие на риелторов, но косвенное, ведь они не регистрируют сделки непосредственно", — рассуждает эксперт. Ценный опыт Если говорить общими словами, то раньше компания сама разбиралась со своими проблемами, связанными с безопасностью, а сейчас обязана уведомлять и информировать о них вышестоящие инстанции, комментирует законодательную новеллу Ольга Звагольская, руководитель инсорсинговых направлений ГК Itglobal. Если раньше компания могла где—то безответственно подходить к безопасности, то теперь она обязана выполнять требования к безопасности. А значит и безопасность данных, в том числе в области недвижимости, станет выше", — считает она. С этим согласен Данияр Исхаков, заместитель директора департамента консалтинга IT—компании Innostage: "Активная позиция государственных регуляторов в области защиты информации, а также отраслевых регуляторов например, Минэнерго заставляет организации уделять вопросам обеспечения информационной безопасности всё большее внимание. Вместе с тем сами организации, осознавая необходимость устойчивого функционирования в условиях постоянных кибератак, зачастую транслируют полученный опыт в защите значимых объектов КИИ, а также реализованные организационные и технические меры по защите информации на всю инфраструктуру организации".
Защита технических средств и систем, Защита информационной автоматизированной системы и ее компонентов, Планирование мероприятий по обеспечению безопасности, Управление конфигурацией, Реагирование на инциденты информационной безопасности, Обеспечение действий в нештатных ситуациях, Информирование и обеспечение персонала. Кроме того, могут предъявляться дополнительные требования в зависимости от сферы деятельности субъекта. Например, в одной из предыдущих статей мы подробно разобрали специфику обеспечения информационной безопасности в финансовых организациях. Соблюдение цифрового суверенитета на объектах КИИ Выполнение требований к безопасности КИИ осложняется тем, что организации обязаны соблюдать не менее строгие требования по импортозамещению программного обеспечения. С тех пор нормативно-правовая база в области обеспечения независимости от иностранных технологий заметно расширилась, а в 2022 году был выпущен Указ Президента РФ N 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», который запрещает Закупать иностранное ПО для использования на объектах КИИ с 31 марта 2022 года, Использовать иностранное ПО в КИИ с 1 января 2025 года. Даже если организация успела приобрести ПО от иностранного вендора до 2022 года, ей все равно придется осуществить миграцию на отечественные технологии. Чем дольше она откладывает переход, тем сложнее будет уложиться в срок. Но даже если абстрагироваться от требований законодательства, такие организации сейчас подвергаются гораздо большему риску, чем им кажется, рассчитывая на собственную внутреннюю ИТ-экспертизу. Одно из следствий ухода зарубежных вендоров с российского рынка и отсутствия техподдержки и обновлений — это накопление багов и уязвимостей в программном обеспечении, создающее удобное поле для кибератак.
ВсеПрофи24
Также вспомним определение объекта КИИ, приведенное в 187-ФЗ, согласно которому объектами КИИ является некое множество ИС/ИТ/АСУ, принадлежащих субъекту КИИ. К субъектам КИИ относятся органы власти, ИП и российские организации, которые владеют объектами критической информационной инфраструктуры или обеспечивают взаимодействие. Для подключения субъекта КИИ к ГосСОПКА необходимо направить письменный запрос в ФСБ России по адресу: 107031, г. Москва, ул. Большая Лубянка д. 1/3. Сегодня в отечественной индустрии разработки программных продуктов сложилась уникальная ситуация, когда практически все субъекты КИИ и разработчики прикладного ПО, планирующие.
Секретные адреса: сделки с недвижимостью защитили от хакеров
Также вспомним определение объекта КИИ, приведенное в 187-ФЗ, согласно которому объектами КИИ является некое множество ИС/ИТ/АСУ, принадлежащих субъекту КИИ. Субъекты КИИ обяжут перейти на доверенные программно-аппаратные комплексы. Соответствующее постановление Правительства РФ было официально опубликовано 14 ноября. К субъектам КИИ относятся органы власти, ИП и российские организации, которые владеют объектами критической информационной инфраструктуры или обеспечивают взаимодействие. Планируется, что субъекты критической информационной инфраструктуры (КИИ) до 2024 года должны перейти на преимущественное использование российского ПО. Согласно данному закону, КИИ – это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. 2. Создание и бесплатное распространение для субъектов КИИ автоматизированной системы федерального уровня по передаче информации об объектах КИИ (на связанных с ГТ) 3.