Субъектами КИИ являются государственные органы, а также госучреждения, российские юридические лица или индивидуальные предприниматели.
Список субъектов КИИ расширен сферой госрегистрации недвижимости
Субъекты КИИ и запятая Ещё раз посмотрим на формулировку в статье 2 187-ФЗ: «8 субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и или индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и или индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей». Вот если бы перед запятой был союз «и», тогда слово «функционирующие» относилось бы к юрлицам и т. Для этого не надо быть филологом. Учёт и контроль - кого или чего? А как в НПА?
Если мы откроем зарегистрированные в Минюсте приказы ФСТЭК России, регулирующие вопросы учёта направления сведений , ведения реестра , то увидим, что там учитывается сфера деятельности именно объекта КИИ, а не субъекта, в нумерации объектов предусмотрена ситуация: «В случае если значимый объект критической информационной инфраструктуры функционирует в нескольких сферах областях деятельности или расположен на территории нескольких федеральных округов, второй и третьей группам цифр присваивается обозначение сферы области деятельности или территории, указанные субъектом критической информационной инфраструктуры первыми. Обозначение других сфер областей деятельности, в которых функционирует значимый объект критической информационной инфраструктуры, или территорий федеральных округов, на которых он располагается, вносится в графу Реестра, содержащую дополнительные сведения о значимом объекте критической информационной инфраструктуры ». Водоканал - субъект КИИ? Когда-то наблюдал дискуссию по отнесению или неотнесению предприятий системы «Водоканал» к субъектам КИИ.
Пройти процедуру категорирования непросто. Также не учитывается, что инцидент на одном объекте может привести к цепной реакции инцидентов по всем объектам, что может существенно увеличить значение показателей значимости. Проблемы могут возникнуть и у тех, кто прошел процедуру категорирования и работает над модернизацией системы обеспечения безопасности или даже завершает этот процесс. ФСТЭК в ходе проверок оценивает реализацию организационных мер.
Б Лицензии, сертификаты и иные разрешительные документы на виды деятельности В Учредительные документы, уставы, положения организации, где прописаны основные и вспомогательные виды деятельности.
Кто контролирует выполнение требований закона о безопасности КИИ? Постановление Правительства Российской Федерации от 17. При этом, основанием для проведения плановой проверки будет являться истечение 3 лет со дня: а внесения сведений об объекте КИИ в реестр значимых объектов критической информационной инфраструктуры; б окончания осуществления последней плановой проверки в отношении значимого объекта критической информационной инфраструктуры.
Постановление Правительства РФ от 08. Нарушение требований действующего законодательства в области КИИ влечет за собой административную или уголовную ответственность ст.
НКЦКИ — это организация, созданная для обеспечения координации деятельности субъектов критической информационной инфраструктуры по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Одной из мер обеспечения безопасности информации объекта КИИ является обмен информацией о компьютерных инцидентах с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации далее — ГосСОПКА , в том числе посредством организации взаимодействия с Национальным координационным центром по компьютерным инцидентам далее — НКЦКИ. Приказы ФСБ России от 24.
ФСТЭК сообщила об увеличении категории значимости для более чем 40 объектов КИИ в 2023 году
Постановление Правительства Российской Федерации от 17. При этом, основанием для проведения плановой проверки будет являться истечение 3 лет со дня: а внесения сведений об объекте КИИ в реестр значимых объектов критической информационной инфраструктуры; б окончания осуществления последней плановой проверки в отношении значимого объекта критической информационной инфраструктуры. Основаниями для внеплановых проверок являются: а истечение срока выполнения субъектом КИИ выданного предписания об устранении выявленного нарушения требований по обеспечению безопасности; б возникновение компьютерного инцидента на значимом объекте КИИ, повлекшего негативные последствия; в приказ органа государственного контроля, изданный в соответствии с поручением Президента РФ или Правительства РФ либо на основании требования прокурора об осуществлении внеплановой проверки. При этом ежегодный план проведения плановых проверок будет утверждаться до 20 декабря года, предшествующего году проведения плановых проверок, и выписка из плана проверок будет направляться субъектам КИИ в срок до 1 января года проведения данных проверок.
Их целью является похищение ценных сведений и новейших разработок, а иногда вывод из строя атакуемых систем сетей и даже диверсии. Именно по этой причине принятие мер по защите информации ключевых отраслей находится под строгим контролем уполномоченных органов государственной власти. Основным нормативным правовым документом, регулирующим взаимодействие различных субъектов в сфере критической информационной инфраструктуры, выступает Федеральный закон от 26.
Кто должен защищать КИИ? Защиту объектов КИИ и сетей электросвязи, используемых для организации взаимодействия объектов КИИ, обеспечивают субъекты КИИ в соответствии с действующим законодательством в области информационной безопасности посредством принятия правовых, организационных и технических мер.
Всплеск компьютерных атак объясняется тем, что растет число высококвалифицированных кибергруппировок, появляются новые технологии взлома, в том числе, основанные на применении искусственного интеллекта.
В основном атакам подвергаются системы промышленных предприятий и государственных учреждений. Ее основное назначение — обеспечить защиту информационных ресурсов страны от атак и штатное функционирование таких ресурсов в условиях возникновения компьютерных инцидентов. В рамках исполнения Указа, ФСБ России разрабатывает методики обнаружения атак, рекомендации по организации защиты, определяет порядок обмена информацией об инцидентах.
Для того, чтобы обеспечить это взаимодействие, создаются центры, где будут сосредоточены силы и средства для обнаружения, предупреждения атак, ликвидации их последствий и реагирования на инциденты. Упомянутые выше центры создаются для развития ГосСОПКА и реализации задач по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в том числе на объекты КИИ. Для их выполнения центры применяют технические, программные, программно-аппаратные и иные средства ГосСОПКА, которые должны соответствовать требованиям нормативно-правовых актов ФСБ России.
Артём Шейкин. Зачастую компании, органы и организации этим правом пренебрегали и минимизировали количество систем, которые определяются как КИИ, чтобы не нести существенные затраты на обеспечение информационной безопасности Артём Шейкин, член Комитета СФ по госстроительству и законодательству Сегодня в верхней палате пошёл круглый стол, где обсуждались вопросы обеспечения технологической независимости и безопасности критической информационной инфраструктуры РФ. Как сообщил глава департамента цифровых технологий Минпромторга РФ Владимир Дождев, уже готов перечень типовых объектов критической инфраструктуры , которые в обязательном порядке должны пройти категорирование и быть защищены. Сенатор Шейкин в ходе мероприятия преждожил распространить господдержку не только на разработку российского программного обеспечения, но его внедрение и сопровожение проектов в данной сфере.
Перечень объектов критической информационной инфраструктуры будет расширен
Также правительство будет устанавливать случаи и порядок согласования использования на значимых объектах КИИ иностранного ПО, радиоэлектроники, телеком-оборудования и ПАК. Кроме того, согласно проекту, правительство будет определять порядок и сроки перехода значимых объектов КИИ на преимущественное использование российского ПО и оборудования. Правительство также установит порядок проведения мониторинга перехода на российские продукты. В банковской и финансовой сферах это будет согласовываться с ЦБ РФ.
По результатам обсуждения правового комитета ассоциации "Ростелесеть" мы рекомендуем для рассмотрения следующий список потенциальных участников комиссии: Руководитель компании или уполномоченное лицо генеральный директор, его заместитель ; Руководители, понимающие все технологические процессы в компании и их взаимосвязь технический директор, главный инженер ; Специалист, отвечающий за информационную безопасность главный администратор сети ; Сотрудник, отвечающий за гражданскую оборону и чрезвычайные ситуации если есть ; Специалист по защите государственной тайны если есть ; Специалист финансово-экономического подразделения: для расчета показателей экономической значимости экономист ; Специалист юридических подразделений: для проверки корректности соблюдения процедуры и оформления документов юрист. Рекомендованный состав больше относится к крупным операторам связи и лишь подсказывает кандидатов и затрагиваемые аспекты оценки процессов. Для небольших компаний этот перечень лучше сократить. Комиссия формирует положение о комиссии по категорированию объектов критической информационной инфраструктуры, где прописывает все принципы работы комиссии. После чего утверждается план работы и формируется перечень объектов критической информационной инфраструктуры на своем предприятии.
Важно, что в перечень включаются все объекты КИИ, как значимые, так и не значимые. Нужно сформировать перечень всех объектов КИИ, после чего у организации будет еще год для проведения категорирования и установления степени значимости. Общаясь с сотрудниками ФСТЭК, мы осознаем, что в службе только формируются подходы, регламентирующих документов много, они содержат обобщенный характер требований, а в ближайшие годы предстоит большая работа по трактовке и совместному их пониманию с регулятором. С целью выработки единых подходов ассоциация "Ростелесеть" формирует для своих участников рекомендованные документы. По мере корректировки видения этот пакет документов будет меняться и расширяться. Сроки исполнения Большинство государственных органов и учреждений уже прошли этап создания комиссии, утверждения перечня объектов КИИ и их категорирования. Процесс активно проходит с 2017 года. Для коммерческих компаний эти даты можно рассматривать как рекомендованные, ФСТЭК уже начал рассылать запросы участникам ассоциации, а привлечение прокуратуры в качестве дополнительного контроля подсказывает, что операторам уже сейчас необходимо запускать процедуры и быть готовыми к проверкам.
Мы рассказывали об этом здесь. Категорирование объектов КИИ В январском письме Центральный Банк призвал поднадзорные организации провести повторное категорирование субъектов КИИ и до 31 марта 2023 отчитаться о статусе работ. Сама по себе эта необходимость для них, разумеется, новостью не является — речь о ней шла весь прошлый год. В первую очередь нужно определить критические процессы — в случае банков это основная финансовая деятельность, на которую ЦБ выдаёт лицензию. Также важно не забыть про вспомогательные процессы, нарушение которых может привести к проблемам в КИИ. Например, мониторинг и управление критическими процессами или управление телеком сетями в этот список также попадают». По требованиям Постановления, заниматься этой работой должна постоянно действующая комиссия, куда обязаны входить все ответственные лица: от руководителя субъекта КИИ до работников структурных подразделений по защите от ЧС.
Часть 4. Руководство по управлению рисками информационной безопасности. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения». Система управления информационной безопасностью. Техника защиты информации. Номенклатура показателей качества». Системы автоматизированного управления учетными записями и правами доступа. Классификация средств защиты информации от несанкционированного доступа и номенклатура показателей качества». Разосланы на рассмотрение в организации-члены ТК 362 проект Рекомендаций по стандартизации «Информационная технология. Криптографическая защита информации. Защищенный протокол взаимодействия квантово-криптографической аппаратуры выработки и распределения ключей и средства криптографической защиты информации». Плановый срок рассмотрения - апрель 2023 года. Представлены председателю ТК 362 для принятия решения об организации их публичного обсуждения проекты национальных стандартов: ГОСТ Р «Защита информации. Система менеджмента информационной безопасности. Представлен председателю ТК 362 для принятия решения об организации голосования по вопросу его представления в Федеральное агентство по техническому регулированию и метрологии Росстандарт на утверждение проект национального стандарта ГОСТ Р «Защита информации. Система организации и управления защитой информации. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
Вопрос-ответ
Правительство РФ внесло в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры (КИИ) в России на отечественное программное обеспечение. Марченко также напомнил о законодательстве в сфере КИИ – на слайдах более десятка различных нормативных документов, в том числе о проверках субъектов КИИ. После осознания руководством предприятия принадлежности к субъектам КИИ, необходимо создать внутреннюю комиссию по категорированию. Самих себя субъекты КИИ как владельцы информации, информационных систем или киберфизических систем как-то защищают, причем, скорее всего, вполне адекватно. Именно с такого подхода рекомендует начинать ФСТЭК при определении принадлежности Организации к субъектам КИИ.
Кабмин определит перечень объектов критической информационной инфраструктуры
Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области ИБ. Кабмин внес в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры РФ на использование российского программного обеспечения (ПО). В их числе – субъекты критической информационной инфраструктуры (КИИ). Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле. Было проверено более 400 объектов КИИ, принадлежащие 73 субъектам.
Неделя HR в Казани
- Что такое критическая информационная инфраструктура?
- Наши проекты
- Переход бизнеса на российский софт. Зачем он нужен и какие споры вызывает - ТАСС
- Категорирование объектов КИИ
- Категорирование объектов КИИ
Hормативные акты по КИИ
Кроме того, согласно проекту, правительство будет определять порядок и сроки перехода значимых объектов КИИ на преимущественное использование российского ПО и оборудования. Правительство также установит порядок проведения мониторинга перехода на российские продукты. В банковской и финансовой сферах это будет согласовываться с ЦБ РФ. Предполагаемая дата вступления закона в силу - 1 марта 2025 года.
Например, в одной из предыдущих статей мы подробно разобрали специфику обеспечения информационной безопасности в финансовых организациях.
Соблюдение цифрового суверенитета на объектах КИИ Выполнение требований к безопасности КИИ осложняется тем, что организации обязаны соблюдать не менее строгие требования по импортозамещению программного обеспечения. С тех пор нормативно-правовая база в области обеспечения независимости от иностранных технологий заметно расширилась, а в 2022 году был выпущен Указ Президента РФ N 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», который запрещает Закупать иностранное ПО для использования на объектах КИИ с 31 марта 2022 года, Использовать иностранное ПО в КИИ с 1 января 2025 года. Даже если организация успела приобрести ПО от иностранного вендора до 2022 года, ей все равно придется осуществить миграцию на отечественные технологии. Чем дольше она откладывает переход, тем сложнее будет уложиться в срок.
Но даже если абстрагироваться от требований законодательства, такие организации сейчас подвергаются гораздо большему риску, чем им кажется, рассчитывая на собственную внутреннюю ИТ-экспертизу. Одно из следствий ухода зарубежных вендоров с российского рынка и отсутствия техподдержки и обновлений — это накопление багов и уязвимостей в программном обеспечении, создающее удобное поле для кибератак. Трудности импортозамещения ПО По данным экспертов в России насчитывается порядка 300 тысяч объектов КИИ, поэтому жесткие требования импортозамещения программного обеспечения в нашей стране действительно являются критически важными. При этом, несмотря на то, что ответственные лица почти в каждой организации имеют KPI по импортозамещению, вопрос о невозможности уложиться в срок до 2025 года остается актуальным.
Чтобы соотнести деятельность своей организации с одной из данных сфер деятельности можно использовать: А общероссийский классификатор видов экономической деятельности ОКВЭД и каталог организаций России www. Б Лицензии, сертификаты и иные разрешительные документы на виды деятельности В Учредительные документы, уставы, положения организации, где прописаны основные и вспомогательные виды деятельности. Кто контролирует выполнение требований закона о безопасности КИИ? Постановление Правительства Российской Федерации от 17.
Согласно документу, речь идёт о переходе на преимущественное использование отечественных программ для электронных вычислительных машин ЭВМ , а также баз данных и радиоэлектронной продукции. Если закон будет принят, то он вступит в силу с 1 марта следующего года. Субъекты критической информационной инфраструктуры КИИ — государственные органы и учреждения, а также компании и индивидуальные предприниматели ИП , которым принадлежат информационные системы, телекоммуникационные сети, а также автоматизированные системы управления, работающие в области здравоохранения, науки, транспорта, связи, энергетики и многих других сферах.
Владимир Путин подписал закон об изменении перечня субъектов КИИ
По завершению категорирования сведения о его результатах должны направляться субъектом КИИ во ФСТЭК России для ведения реестра значимых объектов КИИ. Ответственность возлагается на должностных лиц субъекта КИИ. Субъект КИИ сам определяет свои объекты и проводит границы. То есть сегментировать объекты субъект КИИ может по-разному. Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле. Так как сегодня в достаточно сжатые сроки требуется. Все субъекты КИИ должны быть подключены к ведомственным или корпоративным центрам ГосСОПКА либо создать свой центр ГосСОПКА.