В обзоре изменений за апрель 2023 года рассмотрим: дополнительные требования для значимых объектов КИИ с удаленным управлением, госконтроль и аккредитация. В Госдуму внесен законопроект Минцифры о переходе субъектов критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение и радиоэлектронную. Докладчик: Алексей КомаровВторой вебинар из серии: "Безопасность КИИ и требования 187-ФЗ"Темы: Главные определения, их смысловое наполнение, практические нюа.
Категорирование КИИ
Дата публикации на сайте: 17.
Кабмину также предстоит согласовать перечень объектов с государственным органом или российским юрлицом, который выполняет функции по разработке государственной политики и нормативно-правовому регулированию в данной сфере в части подведомственных субъектов КИИ, сообщили «Ведомости». К субъектам КИИ относятся государственные органы и организации из областей здравоохранения, науки, транспорта, связи, энергетики, банковской сферы, а также топливно-энергетического комплекса, которые владеют объектами критической инфраструктуры. Субъекты могут сами определять значимость объектов и не относить их к КИИ. Инициатива должна ускорить переход субъектов КИИ на отечественное ПО и оборудование, упростить этот процесс и внести в него определённость, объяснил «СенатИнформ» зампред Совета по развитию цифровой экономики при СФ, член Комитета верхней палаты по госстроительству и законодательству Артём Шейкин.
Напоминаем также, что согласно требованиям пункта 19. С 21 марта 2023 года вступают в силу требования постановления Правительства N 2360 новая редакция постановления Правительства N 127 по использованию перечней типовых отраслевых объектов КИИ, мониторингу подведомственных субъектов КИИ, информированию ФСТЭК о нарушениях подведомственных субъектов КИИ, а также по изменению состава показателей критериев значимости. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в ФСТЭК.
Объект КИИ — это то, что может быть подвержено атаке, как правило, это информационные системы и сети, а также системы управления. Совокупность информации в базах данных и средства, которые ее обрабатывают. Информационно-телекоммуникационные сети ИТКС. Системы, осуществляющие передачу информации по линиям связи. Автоматизированные системы управления АСУ. Комплекс средств автоматизации и информационных технологий для реализации производственных функций. Как правило, у различных сегментов экономики преобладает конкретный тип объекта КИИ, в случае с операторами связи — информационно-телекоммуникационные сети ИТКС. Оператор связи это субъект КИИ? Законодатель пошел простым путем, он ввел критерии, по которым можно быстро определить является организация субъектом КИИ или нет. То есть субъектами КИИ операторов связи обозначили сразу, а далее каждый утверждает отсутствие, наличие и количество объектов КИИ, описывает их и обеспечивает выполнение мер для обнаружения, предупреждения и ликвидации последствий компьютерных атак. Надзорный орган производит оценку действий и решений субъектов КИИ, контролирует и корректирует их работу. Необходимо провести инвентаризацию следующих систем: Информационных базы данных, файлы данных ; Программных системное и прикладное ПО ; Технических компьютеры, сервера, коммутационное оборудование, носители данных. В случае с операторами связи необходимо выделить критические процессы, прекращение и некорректная работа которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, в том числе у других субъектов КИИ, которые обеспечивают оборону, безопасность и правопорядок государства и критической информационной инфраструктуры.
Что такое критическая информационная инфраструктура?
- Заказать звонок
- В Госдуму внесён законопроект о переходе субъектов КИИ на ПО РФ для безопасности
- Комментарии из Telegram
- Что такое КИИ?
- Субъект КИИ — кто он?
ВсеПрофи24
О порядке перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ (ПП РФ 1912). Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов КИИ. Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области ИБ.
О критической информационной инфраструктуре (КИИ)
Помимо операторов связи под регулирование в области обеспечения безопасности КИИ попали и другие сферы и сегменты экономики: здравоохранение, наука, транспорт, энергетика, банковская сфера, сфера финансовых рынков, топливно-энергетический комплекс, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность, химическая промышленность. Субъект КИИ — это организация, то есть государственный орган, государственное учреждение, юридическое лицо или индивидуальный предприниматель, у кого присутствует объект КИИ. Объект КИИ — это то, что может быть подвержено атаке, как правило, это информационные системы и сети, а также системы управления. Совокупность информации в базах данных и средства, которые ее обрабатывают. Информационно-телекоммуникационные сети ИТКС. Системы, осуществляющие передачу информации по линиям связи. Автоматизированные системы управления АСУ.
Комплекс средств автоматизации и информационных технологий для реализации производственных функций. Как правило, у различных сегментов экономики преобладает конкретный тип объекта КИИ, в случае с операторами связи — информационно-телекоммуникационные сети ИТКС. Оператор связи это субъект КИИ? Законодатель пошел простым путем, он ввел критерии, по которым можно быстро определить является организация субъектом КИИ или нет. То есть субъектами КИИ операторов связи обозначили сразу, а далее каждый утверждает отсутствие, наличие и количество объектов КИИ, описывает их и обеспечивает выполнение мер для обнаружения, предупреждения и ликвидации последствий компьютерных атак. Надзорный орган производит оценку действий и решений субъектов КИИ, контролирует и корректирует их работу.
Исходя из Указа Президента РФ от 25. ФСТЭК от 18. ФСТЭК от 19. Таким образом, требования Закона о КИИ применяются ко всем объектам критической информационной инфраструктуры, даже если они соответствуют ранее действовавшим требованиям к КСИИ. Переаттестация законодательством не предусмотрена. И какие категории существуют на сегодняшний день? Наиболее важно определить, какие из них являются так называемыми значимыми объектами КИИ.
Для этого Постановлением Правительства РФ от 08. Руководствуясь этими Правилами, субъект КИИ оценивает свои объекты по пяти группам критериев значимости: социальной, политической, экономической, экологической и значимости для обороны страны и безопасности государства. Каждому объекту присваивается одна из трех категорий, высшая из которых — первая. Если объект КИИ вообще не соответствует критериям значимости, ему не присваивается ни одна из категорий ч.
При переходе на преимущественное использование российского ПО и или оборудования должны учитываться в том числе текущие сроки амортизации используемого субъектом КИИ оборудования и сроки действия прав на использование ПО в отношении используемого ПО и или оборудования, сведения о которых не включены в реестры". Что такое объекты КИИ? При этом объекты КИИ подразделяются на категории — первую, вторую, третью — по важности для информационной безопасности, также есть объекты КИИ, которым не присвоена категория. Этот момент вызывает отдельные споры: одна из главных просьб бизнеса — не налагать обязательства по импортозамещению на КИИ третьей категории. Какие аргументы против у российского бизнеса? В письме РСПП, выдержки из которого опубликованы в РБК , приводятся следующие аргументы против готовящейся директивы: Переход предприятий, управляющих КИИ, на российское ПО и оборудование потребует существенные затраты, что приведет к росту цен и снижению конкуренции на рынке, а в конечном счете к ухудшению качества услуг и отставанию в развитии разных сегментов рынка.
В перечень предприятий, которые собираются обязать выполнять требования, включены наименее важные объекты третьей категории и объекты без присвоенной категории. Не только те, от которых зависит информационная безопасность и обороноспособность страны.
Комиссия по категорированию объектов критической инфраструктуры КИИ занимается определением и классификацией объектов, которые имеют важное значение для функционирования общества и государства. Эти объекты могут включать в себя системы энергетики, транспорта, информационные технологии, связь, водоснабжение, здравоохранение и другие. Категоризация помогает установить приоритеты в области обеспечения безопасности и защиты таких объектов.
Основные разделы
- Подписан закон об изменении перечня субъектов критической информационной инфраструктуры
- Читайте также
- Как и кому необходимо подключаться к ГосСОПКА
- Что такое критическая информационная инфраструктура? | Аргументы и Факты
Обзор законодательства РФ о критической информационной инфраструктуре
Значимость для обороны страны Порядок категорирования объектов КИИ. Категорирование объектов критической информационной инфраструктуру осуществляется субъектами КИИ. Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и или иные процессы в рамках выполнения функций или осуществления видов деятельности субъектов КИИ. В соответствии с ч.
Есть особенности для «ГК Росатом», кредитных и некредитных финансовых организаций. Субъект КИИ в течение 10 рабочих дней со дня утверждения плана перехода направляет копию утвержденного плана с соблюдением требований законодательства РФ о государственной тайне не совсем понятно, почему сделан акцент именно на законодательстве о государственной тайне, так как выше указано, что отраслевые планы могут быть и несекретными в Уполномоченный орган, который определяется субъектом КИИ в соответствии со сферой областью деятельности субъекта КИИ и или основным видом экономической деятельности КИИ указано как определять сферу — по основному ОКВЭД : а до 1 января 2025 г. Уполномоченный орган в течение 30 рабочих дней со дня поступления от субъекта КИИ копии утвержденного плана перехода принимает решение о включении сведений о плане в отраслевой реестр планов перехода либо об отказе во включении в документе указаны основания, почему план могут не принять. В случае принятия решения о включении сведений о плане в отраслевой реестр планов перехода уполномоченный орган в течение 5 рабочих дней со дня принятия такого решения включает соответствующие сведения в отраслевой реестр планов перехода и направляет субъекту КИИ уведомление о включении. В случае принятия решения об отказе в те же 5 рабочих дней направляется уведомление об отказе с указанием оснований. Внесение изменений в план осуществляется путем утверждения плана перехода в новой редакции.
Уведомления Пользователя по электронной почте. Предоставления Пользователю эффективной технической поддержки при возникновении проблем, связанных с использованием сайта. Предоставления Пользователю с его согласия специальных предложений, информации о ценах, новостной рассылки и иных сведений от имени сайта.
Осуществления рекламной деятельности с согласия Пользователя. Способы и сроки обработки персональной информации 5. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
Пользователь соглашается с тем, что Администрация вправе передавать персональные данные третьим лицам, в частности, курьерским службам, организациями почтовой связи в том числе электронной , операторам электросвязи, исключительно в целях выполнения заказа Пользователя, оформленного на сайте , включая доставку Товара, документации или e-mail сообщений. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации. При утрате или разглашении персональных данных Администрация вправе не информировать Пользователя об утрате или разглашении персональных данных.
Администрация принимает необходимые организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц. Администрация совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя. Права и обязанности сторон 6.
Пользователь вправе: 6. Принимать свободное решение о предоставлении своих персональных данных, необходимых для использования сайта , и давать согласие на их обработку. Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.
В качестве компенсирующих мер могут быть рассмотрены меры по обеспечению промышленной, функциональной и или физической безопасности значимого объекта, поддерживающие необходимый уровень его защищенности. Часть 3. Анализ угроз безопасности информации должен включать: выявление источников угроз безопасности информации и оценку возможностей потенциала внешних и внутренних нарушителей; анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств; определение возможных способов сценариев реализации возникновения угроз безопасности информации; оценку возможных последствий от реализации возникновения угроз безопасности информации. В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России.
Модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации, в том числе модель нарушителя, и описание всех угроз безопасности информации, актуальных для значимого объекта. Описание каждой угрозы безопасности информации должно включать: источник угрозы безопасности информации; уязвимости ошибки , которые могут быть использованы для реализации способствовать возникновению угрозы безопасности информации; возможные способы сценарии реализации угрозы безопасности информации; возможные последствия от угрозы безопасности информации. Для определения угроз безопасности информации и разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России. В случае если базовый набор мер не позволяет обеспечить блокирование нейтрализацию всех угроз безопасности информации, в него дополнительно включаются меры, приведенные в приложении к П-239.
При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должна быть обоснована достаточность применения мер по обеспечению промышленной безопасности или физической безопасности для блокирования нейтрализации соответствующих угроз безопасности информации. Исходя из вышеописанного, можно сделать вывод, что Модель угроз является ключевым документом для определения состава мер защиты значимых объектов КИИ в соответствии с требованиями П-239. Организационные меры защиты значимых объектов КИИ В соответствии с п. Организационно-распорядительные документы по безопасности значимых объектов являются частью документов по вопросам обеспечения информационной безопасности защиты информации субъекта КИИ.
При этом положения, определяющие порядок и правила обеспечения безопасности значимых объектов КИИ , могут быть включены в общие документы по вопросам обеспечения информационной безопасности защиты информации , а также могут являться частью документов по вопросам функционирования значимого объекта КИИ. Организационно-распорядительные документы по безопасности значимых объектов должны быть доведены до руководства субъекта КИИ , подразделения по безопасности, специалистов по безопасности, а также до иных подразделений работников , участвующих в обеспечении безопасности значимых объектов КИИ , в части, их касающейся. Технические меры защиты значимых объектов КИИ В соответствии с п. Порядок применения СЗИ определяется субъектом КИИ в организационно-распорядительных документах по безопасности значимых объектов с учетом особенностей деятельности субъекта КИИ.
Субъекты КИИ перейдут на российский софт к 2030 году
Категорирование субъектов КИИ осуществляется на основе критериев значимости и показателей их значений, а также соблюдением установленного порядка. Значимые субъекты КИИ должны перейти к использованию доверенных программно-аппаратных комплексов на своих объектах до 1 января 2030 года. Было проверено более 400 объектов КИИ, принадлежащие 73 субъектам.
ЦБ РФ напомнил о категорировании субъектов КИИ
Правительство РФ внесло в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры (КИИ) в России на отечественное программное обеспечение. 2. Создание и бесплатное распространение для субъектов КИИ автоматизированной системы федерального уровня по передаче информации об объектах КИИ (на связанных с ГТ) 3. Построение системы безопасности КИИ по выгодной цене в Москве и на всей территории РФ: обеспечение защиты субъектов и объектов критической информационной инфраструктуры. До 1 января 2030 г. субъекты критической информационной инфраструктуры (КИИ) обязаны перевести принадлежащие им значимые объекты на доверенные программно-аппаратные. Субъекты КИИИ: кто это, подходы к определению статуса субъекта критической информационной инфраструктуры, определение сферы деятельности субъекта КИИ и как не.
Импортозамещение ПО для критической информационной инфраструктуры
В Госдуму внесен законопроект Минцифры о переходе субъектов критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение и радиоэлектронную. Построение системы безопасности КИИ по выгодной цене в Москве и на всей территории РФ: обеспечение защиты субъектов и объектов критической информационной инфраструктуры. Самый важный этап для успешного завершения проекта — это качественное проведение категорирования и аудита объектов КИИ. О порядке перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ (ПП РФ 1912). К субъектам КИИ относятся.
Закон о безопасности КИИ в вопросах и ответах
Категорирование субъектов КИИ осуществляется на основе критериев значимости и показателей их значений, а также соблюдением установленного порядка. Для подключения субъекта КИИ к ГосСОПКА необходимо направить письменный запрос в ФСБ России по адресу: 107031, г. Москва, ул. Большая Лубянка д. 1/3. Было проверено более 400 объектов КИИ, принадлежащие 73 субъектам. Переход субъектов КИИ на российское ПО и оборудование имеет под собой основания, по мнению представителя АРПП. Статья про идентификацию объектов КИИ и субъектов КИИ.