Сегодня в отечественной индустрии разработки программных продуктов сложилась уникальная ситуация, когда практически все субъекты КИИ и разработчики прикладного ПО.
Защита субъектов и объектов КИИ
Третий этап - разработать мероприятия по взаимодействию с ФСБ России. Это относится к субъектам КИИ как с значимыми, так и с незначимыми объектами КИИ, так как организация должна обеспечить соответствие 9 статьи ФЗ-187 часть 2 , в частности, незамедлительно информировать о компьютерных инцидентах федеральные органы исполнительной власти. На этом этапе разрабатывается и утверждается регламент информирования НКЦКИ об инцидентах, также организация подключается к технической инфраструктуре НКЦКИ при выборе этого способа информирования. Алексей Киселев. Фото: Пресс-служба "Лаборатории Касперского". Тем организациям, у которых есть значимые объекты КИИ, также надо соблюдать требования ФСТЭК по обеспечению их безопасности, выполнять предписания должностных лиц ФСТЭК об устранении нарушений в части соблюдения требований к обеспечению безопасности значимых объектов КИИ, что означает создать систему защиты и установить защитные решения. Решения "Лаборатории Касперского" защищают критические IT-инфраструктуры крупнейших российских банков, промышленных предприятий, федеральных органов власти и госкорпораций.
В основе этих продуктов лежат передовые технологии многоуровневой защиты, многие из которых являются уникальными", - рассказал Алексей Киселев, менеджер по развитию бизнеса "Лаборатории Касперского". Какие есть решения Решения "Лаборатории Касперского" для КИИ помогают закрыть требования закона и обеспечить реальную безопасность организации. Для крупных корпораций и промышленных предприятий с развитой ИБ-экспертизой предназначен пул решений из уровня защиты Kaspersky Expert Security , состоящий из взаимосвязанных и взаимодополняющих друг друга компонентов. Благодаря тесной интеграции бизнес получает набор решений, удовлетворяющий требованиям регулирующих органов и повышающий устойчивость системы безопасности к новым и сложным угрозам. Его центральный элемент - SIEM-система Kaspersky Unified Monitoring and Analysis Platform KUMA , которая предназначена для централизованного сбора, анализа и корреляции событий информационной безопасности из различных источников данных.
Этот вопрос мы должны контролировать в том числе». Среди требований к производителю и разработчику: собственная сеть сервисных центров на территории РФ; наличие прав на документацию, технологию, патентов и исключительных прав на ПО; поддержка продукта на протяжении всего жизненного цикла. Также отдельно Евгений Абакумов остановился на требованиях к аппаратному и программному обеспечению ПАК. Старший вице-президент по информационным технологиям Ростелекома Кирилл Меньшов акцентировал внимание на предназначении ПАКов: «Мне кажется, что решить вопрос ПАКов без понимания того, что они из себя представляют — невозможно. Они появились для специализированных задач, которые нельзя решить с помощью универсальных серверов.
Поэтому ПАКи между собой различаются радикально. Либо нам придется делать много классов ПАКов, либо мы подойдем к решению издалека, сделаем более абстрактно, но тогда нам сложно будет соответствовать. Чтобы нам удалось прийти к итогу, важна работа всех участников сегодняшней дискуссии: потребителей, разработчиков и органов государственной власти». Генеральный директор АНО «Консорциум «Вычислительная техника» Светлана Легостаева обратила особое внимание на доверие со стороны заказчика к оборудованию, которое обязательно должно быть чем-то подтверждено: «Нужно развивать институт центров тестирования. Они будут решать задачу доказательства того, что функционал, который задекларирован на бумаге производителем действительно выдержал нагрузочные испытания и соответствует всем заявленным характеристикам.
Организационно-распорядительные документы по безопасности значимых объектов должны быть доведены до руководства субъекта КИИ , подразделения по безопасности, специалистов по безопасности, а также до иных подразделений работников , участвующих в обеспечении безопасности значимых объектов КИИ , в части, их касающейся. Технические меры защиты значимых объектов КИИ В соответствии с п. Порядок применения СЗИ определяется субъектом КИИ в организационно-распорядительных документах по безопасности значимых объектов с учетом особенностей деятельности субъекта КИИ. В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации СЗИ : в значимых объектах 1 категории применяются СЗИ не ниже 4 класса защиты, а также средства вычислительной техники не ниже 5 класса; в значимых объектах 2 категории применяются СЗИ не ниже 5 класса защиты, а также средства вычислительной техники не ниже 5 класса; в значимых объектах 3 категории применяются СЗИ 6 класса защиты, а также средства вычислительной техники не ниже 5 класса. При этом в значимых объектах 1 и 2 категорий значимости применяются сертифицированные СЗИ , прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. Функции безопасности СЗИ должны обеспечивать выполнение требований П-239. Часть 4. Требования к вышеупомянутым процессам определены в разделе 5 П-235. Внедрение организационных и технических мер защиты значимых объектов КИИ Внедрение организационных и технических мер по обеспечению безопасности значимого объекта организуется субъектом критической информационной инфраструктуры в соответствии с проектной и рабочей эксплуатационной документацией на значимый объект, стандартами организаций и включает: установку и настройку средств защиты информации, настройку программных и программно-аппаратных средств; разработку организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности значимого объекта; внедрение организационных мер по обеспечению безопасности значимого объекта; предварительные испытания значимого объекта и его подсистемы безопасности; опытную эксплуатацию значимого объекта и его подсистемы безопасности; анализ уязвимостей значимого объекта и принятие мер по их устранению; приемочные испытания значимого объекта и его подсистемы безопасности. При внедрении организационных мер по обеспечению безопасности значимого объекта осуществляются: организация контроля физического доступа к программно-аппаратным средствам значимого объекта и его линиям связи; реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации программных и программно-аппаратных средств; проверка полноты и детальности описания в организационно-распорядительных документах по безопасности значимых объектов действий пользователей и администраторов значимого объекта по реализации организационных мер; определение администратора безопасности значимого объекта; отработка действий пользователей и администраторов значимого объекта по реализации мер по обеспечению безопасности значимого объекта. При этом анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта. Анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта. При проведении анализа уязвимостей применяются следующие способы их выявления: анализ проектной, рабочей эксплуатационной документации и организационно-распорядительных документов по безопасности значимого объекта; анализ настроек программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта; выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, посредством анализа состава установленного программного обеспечения и обновлений безопасности с применением средств контроля анализа защищенности и или иных средств защиты информации; выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, сетевых служб, доступных для сетевого взаимодействия, с применением средств контроля анализа защищенности; тестирование на проникновение в условиях, соответствующих возможностям нарушителей, определенных в модели угроз безопасности информации. Допускается проведение анализа уязвимостей на макете в тестовой зоне значимого объекта или макетах отдельных сегментов значимого объекта. В случае выявления уязвимостей значимого объекта, которые могут быть использованы для реализации способствовать возникновению угроз безопасности информации, принимаются меры, направленные на их устранение или исключающие возможность использования эксплуатации нарушителем выявленных уязвимостей. По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, отсутствуют уязвимости, как минимум содержащиеся в банке данных угроз безопасности информации ФСТЭК России или выявленные уязвимости не приводят к возникновению угроз безопасности информации в отношении значимого объекта.
Постановление Правительства РФ от 14. Подтверждением отсутствия произведенных в РФ доверенных программно-аппаратных комплексов, являющихся аналогами приобретенных, являются заключения, выданные Минпромторгом России Определен перечень федеральных органов исполнительной власти и российских юридических лиц, ответственных за организацию перехода субъектов КИИ на принадлежащих им значимых объектах на преимущественное применение доверенных программно-аппаратных комплексов в соответствующих сферах областях деятельности.
Владимир Путин подписал закон об изменении перечня субъектов КИИ
Субъектам КИИ, выполняющим гособоронзаказ, теперь следует рассчитывать увеличение времени изготовления для единицы продукции. В 2022 году многие организации пересмотрели свои ИБ-бюджеты, в том числе субъекты критической информационной инфраструктуры (КИИ). После осознания руководством предприятия принадлежности к субъектам КИИ, необходимо создать внутреннюю комиссию по категорированию. К субъектам КИИ относятся организации, от которых зависит работа транспорта, сетей связи, функционирование финансовой системы и государственных, медицинских и прочих услуг.
Субъект КИИ: два подхода к определению статуса
Объектами КИИ являются: информационные системы как «1С: Предприятие» и подобные ; информационно-телекоммуникационные сети например, локальные сети организаций ; автоматизированные системы управления например, система пожарной сигнализации и т. Кроме этого, различают значимые объекты КИИ. Им присваивается одна из категорий значимости, а сведения о них вносятся в соответствующий реестр. Процесс категорирования регламентируется Правилами категорирования объектов КИИ и включает несколько этапов: Создание руководителем предприятия комиссии по категорированию и утверждение плана по реализации ФЗ «О безопасности критической информационной инфраструктуры РФ». Это необходимо было реализовать до 10 июня 2018 года. Сбор исходных данных для категорирования: определение процессов, являющихся критическими для данной организации — от управленческих до финансово-экономических, и объектов КИИ, обрабатывающих информацию, необходимую для обеспечения этих процессов.
После того, как сведения поступят в госорган, представители последнего в течение месяца его рассмотрят и решат вносить ли его в список аналогичных планов.
Если вердикт будет положительным, то уполномоченные органы оповестят компанию о нем в течение 5 рабочих дней, а дальше будут вести специальный отчет. По стандарту план перехода утверждает руководитель субъекта КИИ, а затем в течение последующих 10 дней отправляет в уполномоченные органы, соблюдая требования законодательства в отношении гостайны. Отметим, организация вправе при определенных обстоятельствах изменить план. Для этого нужно отправить копию утвержденного документа, приложив сопроводительное письмо с правками. Далее уполномоченный орган повторит те же действия, что и при утверждении: в течение месяца рассмотрит, а в последующие 5 дней сообщит о решении.
Присвоение каждому из объектов КИИ одной из категорий значимости в соответствии с наивысшим значением показателей, либо принятие решения об отсутствии необходимости присвоения категории. Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией под председательством руководителя субъекта КИИ или уполномоченного им лица , его работников и, при необходимости, приглашённых специалистов ведомств-регуляторов в соответствующей сфере.
Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения направляется во ФСТЭК России. Предоставленные материалы в тридцатидневный срок со дня получения проверяются регулятором на соответствие порядку осуществления категорирования и оценивается правильность присвоения категории. Категория значимого объекта КИИ может быть изменена по мотивированному решению ФСТЭК России в рамках государственного контроля безопасности значимых объектов КИИ, в случае изменения самого объекта КИИ, а также в связи с реорганизацией субъекта КИИ в том числе ликвидацией, изменением его организационно-правовой формы и т. ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак далее — силы и средства ОПЛ КА. К силам ОПЛ КА относятся: уполномоченные подразделения ФСБ России; национальный координационный центр по компьютерным инцидентам, который создается ФСБ России для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов; подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты. В данной системе должна собираться и агрегироваться вся информация о компьютерных атаках и инцидентах, получаемая от субъектов КИИ. Перечень информации и порядок ее предоставления в ГосСОПКА будет определен соответствующим приказом, проект которого был представлен на общественное обсуждение.
Согласно текущей версии документа, срок предоставления информации о кибератаке составляет 24 часа с момента обнаружения. Кроме того, в рамках ГосСОПКА организуется обмен информацией о компьютерных атаках между всеми субъектами КИИ, а также международными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты. При этом центры ГосСОПКА могут быть ведомственными, то есть организованными государственными органами, а также корпоративными — построенными государственными и частными корпорациями, операторами связи и другими организациями-лицензиатами в области защиты информации. Государство же будет выступать только в качестве регулятора и координатора.
Работа для нас понятная, ведем ее вместе со всеми отраслями», — рассказал директор Департамента цифровых технологий Министерства промышленности и торговли России Владимир Дождев. Вице-президент Транснефти Андрей Бадалов высказал обеспокоенность большим количеством отчетных показателей по импортозамещению. При этом ключевыми показателями должны стать безопасность и непрерывность работы и это в прямом смысле не эквивалентно просто импортозамещению. Важно выбрать такие отечественные решения, которые обеспечат более высокий уровень безопасности КИИ, чем импортные. Делать это надо, сохраняя устойчивость КИИ.
Решения не просто должны заработать, но и обеспечить в компаниях непрерывность и безопасность их производственных процессов. Мы понимаем, что иногда запрашиваем большое количество информации по различным вопросам, связанным с объектами КИИ, однако, эта детализация необходима, чтобы в том числе понимать в каких областях есть сложности и где требуется скорректировать подходы», — рассказал заместитель министра цифрового развития, связи и массовых коммуникаций России Андрей Заренин. Директор дирекции информационных технологий, автоматизации и телекоммуникаций «Газпром нефти» Антон Думин поднял вопрос неоднозначного толкования понятийного аппарата в нормативной базе: «Не всегда однозначно трактуются термины, которые применяются, например, такие как «программно-аппаратные комплексы» или что означает понятие «импортозаместить» внутри КИИ». Эти циклы всегда более длинные и мы должны понимать, как будем двигаться, в том числе по таким направлениям, как восполнение кадрового потенциала или производство и эксплуатация радиоэлектроники», — добавил Антон Думин. Генеральный директор холдинга Т1 Игорь Калганов также поддержал необходимость создания общего стратегического документа в сфере КИИ и единого глоссария: «Когда мы придем к единому пониманию и найдем методы, при которых заказчики будут хотеть признавать себя КИИ, нам всем станет гораздо проще взаимодействовать и договариваться».
Владимир Путин подписал закон об изменении перечня субъектов КИИ
К субъектам КИИ относятся. Кто же такие субъекты КИИ? К субъектам КИИ относятся. Субъектам КИИ, осуществляющим деятельность в сфере связи, рекомендуется направлять перечни и сведения в центральный аппарат ФСТЭК России или управление ФСТЭК России по. Субъектам КИИ, осуществляющим деятельность в сфере связи, рекомендуется направлять перечни и сведения в центральный аппарат ФСТЭК России или управление ФСТЭК России по.
Теперь все серьезно: как меняется безопасность субъектов КИИ
По нему госзаказчикам с 31 марта 2022 г. Из софта к средствам защиты информации относятся программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной рабочей информации типа временных файлов, тестового контроля системы защиты и др. Так, в конце апреля глава Минцифры Максут Шадаев, выступая на годовом собрании АРПП «Отечественный софт», сообщил, что министерство очень рассчитывает на принятие в весеннюю сессию законопроекта о преимущественном использовании всеми субъектами КИИ отечественного ПО. Такой документ еще в сентябре 2022 г. В поручении говорилось, что проект должен устанавливать «требования по преимущественному использованию всеми субъектами КИИ отечественных ПО, программно-аппаратных комплексов, телекоммуникационного оборудования и радиоэлектронной продукции с учетом их готовности к массовому внедрению на принадлежащих им значимых инфраструктурных объектах». Законопроект наделяет правительство и отраслевые ведомства правом устанавливать перечень критических информационных систем, которые будут относиться к объектам КИИ, в каждой отрасли», — указал тогда в ходе своего выступления Максут Шадаев. Кроме того, по каждой отрасли, по каждому виду таких объектов будут определяться предельные сроки перехода на российские решения, сказал министр.
До этого мысль о том, что запрет для каждой отрасли на использование иностранного ПО будет определять правительство, озвучивал вице-премьер Дмитрий Чернышенко. Причем эти сроки должны быть синхронизированы со сроками готовности к массовому внедрению соответствующих отечественных решений. На сегодняшний день документ уже готов, согласован с заинтересованными сторонами и в ближайшее время будет внесен в Госдуму, сообщали «Ведомости» со ссылкой на свои источники, знакомые с ходом обсуждения законопроекта.
С 21 марта 2023 года вступают в силу требования постановления Правительства N 2360 новая редакция постановления Правительства N 127 по использованию перечней типовых отраслевых объектов КИИ, мониторингу подведомственных субъектов КИИ, информированию ФСТЭК о нарушениях подведомственных субъектов КИИ, а также по изменению состава показателей критериев значимости. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в ФСТЭК.
Предполагаемая дата вступления закона в силу - 1 марта 2025 года. Как поясняет Минцифры, сейчас собственник той или иной информсистемы определяет, относить или нет объект КИИ к значимому. При этом зачастую компании этим пренебрегают и минимизируют количество систем, которые определяются как значимые объекты КИИ. В нем отмечается, что целями законопроекта являются переход на российские решения и обеспечение безопасности значимых объектов КИИ.
Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения направляется во ФСТЭК России. Предоставленные материалы в тридцатидневный срок со дня получения проверяются регулятором на соответствие порядку осуществления категорирования и оценивается правильность присвоения категории.
Категория значимого объекта КИИ может быть изменена по мотивированному решению ФСТЭК России в рамках государственного контроля безопасности значимых объектов КИИ, в случае изменения самого объекта КИИ, а также в связи с реорганизацией субъекта КИИ в том числе ликвидацией, изменением его организационно-правовой формы и т. ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак далее — силы и средства ОПЛ КА. К силам ОПЛ КА относятся: уполномоченные подразделения ФСБ России; национальный координационный центр по компьютерным инцидентам, который создается ФСБ России для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов; подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты. В данной системе должна собираться и агрегироваться вся информация о компьютерных атаках и инцидентах, получаемая от субъектов КИИ. Перечень информации и порядок ее предоставления в ГосСОПКА будет определен соответствующим приказом, проект которого был представлен на общественное обсуждение. Согласно текущей версии документа, срок предоставления информации о кибератаке составляет 24 часа с момента обнаружения. Кроме того, в рамках ГосСОПКА организуется обмен информацией о компьютерных атаках между всеми субъектами КИИ, а также международными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.
При этом центры ГосСОПКА могут быть ведомственными, то есть организованными государственными органами, а также корпоративными — построенными государственными и частными корпорациями, операторами связи и другими организациями-лицензиатами в области защиты информации. Государство же будет выступать только в качестве регулятора и координатора. Интеграция в ГосСОПКА требует от субъекта КИИ: информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка; оказывать содействие ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу.
Новые требования для “железа” и иностранного ПО для субъектов КИИ
Правительство РФ утвердило для субъектов КИИ порядок перехода на использование доверенных ПАК, соответствующих специальным требованиям. Ответственность возлагается на должностных лиц субъекта КИИ. По таким объектам КИИ установят сроки перехода на российские продукты. К субъектам КИИ относятся. К субъектам КИИ относятся.
Критическая информационная инфраструктура (КИИ)
При анализе нормативно-правовой базы необходимо, прежде всего, сориентироваться в терминологии. Понять, что такое объекты критической инфраструктуры, предельно просто — это элементы ИТ-инфраструктуры компаний, попадающих под определение субъектов КИИ. При этом не имеет значения степень важности этих ИС, автоматизированных систем управления и телекоммуникаций и связи для самого предприятия. Главное — это то, что они классифицируются как часть КИИ страны, соответственно, требуют повышенной защиты от внутренних и внешних угроз. Основная часть условий по обеспечению безопасности в рамках ФЗ-187 касается только тех объектов, которые в результате категорирования признаются значимыми. В качестве субъекта может выступать: орган муниципальной власти; государственные учреждения; юридические лица, зарегистрированные на территории российского государства. Общее условие для всех — владение информационно-телекоммуникационными системами, автоматизированными элементами управления либо ИС, которые относятся к отраслям КИИ.
Основание для распоряжения сетями может быть любым — оформленное по всем правилам право собственности, договор аренды и т.
Практические вопросы самоопределения. Анализ бизнес-процессов выделение и оценка. Выбор наихудшего сценария атак.
Оформление результатов. Алгоритм категорирования объектов КИИ.
Нажатие кнопки открывает страницу с формой для персональных данных ФИО, телефон, номер банковской карты. После ввода визитера направляют на другую страницу, где предлагается установить на телефон некий «сертификат безопасности», а на самом деле — SMS-трояна. Заметим, уловка не нова, такое же прикрытие в начале года использовал MetaStealer. Для верности жертву в заключение еще раз проводят по тому же кругу, но уже в другом домене — n0wpay[.
Выбор хостинга для Android-трояна, по словам аналитиков, необычен: это украинский сервис Ucoz, а не российский или европейский дата-центр, которым отдают предпочтение фишеры рунета. Работа осуществляется в фоновом режиме, через 10 секунд после старта иконка исчезает из списка приложений. Основные функции ограничены несколькими командами: доступа к СМС, в которых могут содержаться одноразовые коды, вполне достаточно для взлома банковского аккаунта жертвы персональные данные она уже вручила злоумышленникам. Установлено, что данная киберкампания была запущена 28 марта; мобильного трояна вначале выдавали за софт для защиты от спама.