Итак, мы с вами разобрались, что такое КИИ и кого мы можем называть субъектом критической информационной инфраструктурой.
Наши проекты
- Переход бизнеса на российский софт. Зачем он нужен и какие споры вызывает - ТАСС
- Что такое критическая информационная инфраструктура?
- К 2030 году субъекты КИИ в РФ полностью импортозаместят ПО и оборудование
- Постановление Правительства PФ от 14 ноября 2023 г. № 1912 | Новости RTM Group
- 24 ИЮНЯ 2024 БЕЗОПАСНОСТЬ ОБЪЕКТОВ КИИ: АКТУАЛЬНЫЕ ВОПРОСЫ СОБЛЮДЕНИЯ ПРАВИЛ 187-ФЗ — ВсеПрофи24
- Правила перехода субъектов КИИ к эксплуатации ПАК
Хотите получать наши новости?
- Публикации
- Субъекты КИИ перейдут на российский софт к 2030 году - RSpectr
- Категорирование объектов КИИ
- Комментарии из Telegram
- Обновлены проекты о переводе субъектов КИИ на отечественный софт
Обновлены проекты о переводе субъектов КИИ на отечественный софт
Кто же такие субъекты КИИ? Субъектами КИИ являются государственные органы, а также госучреждения, российские юридические лица или индивидуальные предприниматели. Субъекты критической информационной инфраструктуры (КИИ) должны предоставлять во ФСТЭК сведения в том числе о программных, программно-аппаратных средствах, а также.
Вопрос-ответ
Согласно тексту проекта, в частности, предлагается наделить правительство полномочиями устанавливать требования к используемым на значимых объектах КИИ программному обеспечению ПО и радиоэлектронной продукции, в том числе - к телеком-оборудованию и программно-аппаратным комплексам ПАК. Также правительство будет устанавливать случаи и порядок согласования использования на значимых объектах КИИ иностранного ПО, радиоэлектроники, телеком-оборудования и ПАК. Кроме того, согласно проекту, правительство будет определять порядок и сроки перехода значимых объектов КИИ на преимущественное использование российского ПО и оборудования. Правительство также установит порядок проведения мониторинга перехода на российские продукты.
При создании центра необходимо руководствоваться документами ФСБ России, которые определяют требования к организациям и методическую основу деятельности таких центров. Перечислим эти документы: Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы Российской Федерации; Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации; Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак; Регламент взаимодействия подразделений Федеральной службы безопасности Российской Федерации и организации при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак. Чтобы стать субъектом ГосСОПКА и построить центр ГосСОПКА необходимо: Иметь лицензию ФСБ России на право осуществления работ, связанных с использованием сведений, составляющих государственную тайну, в случае если им обрабатывается соответствующая информация, либо осуществляется деятельность по мониторингу информационных систем, обрабатывающих сведения, составляющие государственную тайну.
Порядок лицензирования определен постановлением Правительства Российской Федерации от 15 апреля 1995 г. Иметь лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации по услугам мониторинга информационной безопасности средств и систем информатизации. Порядок лицензирования определен постановлением Правительства Российской Федерации от 3 февраля 2012 г.
Иметь одну из следующих лицензий ФСБ России на право: осуществления работ, связанных с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну; деятельности по разработке, производству, распространению шифровальных криптографических средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных криптографических средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных криптографических средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных криптографических средств.
Требования к вышеупомянутым процессам определены в разделе 5 П-235. Внедрение организационных и технических мер защиты значимых объектов КИИ Внедрение организационных и технических мер по обеспечению безопасности значимого объекта организуется субъектом критической информационной инфраструктуры в соответствии с проектной и рабочей эксплуатационной документацией на значимый объект, стандартами организаций и включает: установку и настройку средств защиты информации, настройку программных и программно-аппаратных средств; разработку организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности значимого объекта; внедрение организационных мер по обеспечению безопасности значимого объекта; предварительные испытания значимого объекта и его подсистемы безопасности; опытную эксплуатацию значимого объекта и его подсистемы безопасности; анализ уязвимостей значимого объекта и принятие мер по их устранению; приемочные испытания значимого объекта и его подсистемы безопасности. При внедрении организационных мер по обеспечению безопасности значимого объекта осуществляются: организация контроля физического доступа к программно-аппаратным средствам значимого объекта и его линиям связи; реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации программных и программно-аппаратных средств; проверка полноты и детальности описания в организационно-распорядительных документах по безопасности значимых объектов действий пользователей и администраторов значимого объекта по реализации организационных мер; определение администратора безопасности значимого объекта; отработка действий пользователей и администраторов значимого объекта по реализации мер по обеспечению безопасности значимого объекта. При этом анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта. Анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта.
При проведении анализа уязвимостей применяются следующие способы их выявления: анализ проектной, рабочей эксплуатационной документации и организационно-распорядительных документов по безопасности значимого объекта; анализ настроек программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта; выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, посредством анализа состава установленного программного обеспечения и обновлений безопасности с применением средств контроля анализа защищенности и или иных средств защиты информации; выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, сетевых служб, доступных для сетевого взаимодействия, с применением средств контроля анализа защищенности; тестирование на проникновение в условиях, соответствующих возможностям нарушителей, определенных в модели угроз безопасности информации. Допускается проведение анализа уязвимостей на макете в тестовой зоне значимого объекта или макетах отдельных сегментов значимого объекта. В случае выявления уязвимостей значимого объекта, которые могут быть использованы для реализации способствовать возникновению угроз безопасности информации, принимаются меры, направленные на их устранение или исключающие возможность использования эксплуатации нарушителем выявленных уязвимостей. По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, отсутствуют уязвимости, как минимум содержащиеся в банке данных угроз безопасности информации ФСТЭК России или выявленные уязвимости не приводят к возникновению угроз безопасности информации в отношении значимого объекта. В ходе приемочных испытаний значимого объекта и его подсистемы безопасности должен быть проведен комплекс организационных и технических мероприятий испытаний , в результате которых подтверждается соответствие значимого объекта и его подсистемы безопасности требованиям П-239, а также требованиям ТЗ на создание значимого объекта и или ТЗ частного технического задания на создание подсистемы безопасности значимого объекта. Ввод в действие значимого объекта и его подсистемы безопасности осуществляется при положительном заключении выводе в акте приемки или в аттестате соответствия о соответствии значимого объекта установленным требованиям по обеспечению безопасности.
Силы обеспечения безопасности значимых объектов КИИ В соответствии с п. Руководитель субъекта КИИ определяет состав и структуру системы безопасности, а также функции ее участников при обеспечении безопасности значимых объектов КИИ в зависимости от количества значимых объектов КИИ , а также особенностей деятельности субъекта КИИ. Структурное подразделение по безопасности, специалисты по безопасности должны осуществлять следующие функции: разрабатывать предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представлять их руководителю субъекта КИИ уполномоченному лицу ; проводить анализ угроз безопасности информации в отношении значимых объектов КИИ и выявлять уязвимости в них; обеспечивать реализацию требований по обеспечению безопасности значимых объектов КИИ , установленных в соответствии со ст. Структурное подразделение по безопасности, специалисты по безопасности реализуют вышеуказанные функции во взаимодействии с подразделениями работниками , эксплуатирующими значимые объекты КИИ , и подразделениями работниками , обеспечивающими функционирование значимых объектов КИИ. Для выполнения вышеупомянутых функций, субъектами КИИ могут привлекаться организации, имеющие в зависимости от информации, обрабатываемой значимым объектом КИИ , лицензию на деятельность по технической защите информации, составляющей государственную тайну, и или на деятельность по технической защите конфиденциальной информации далее - лицензии в области защиты информации.
Важно выбрать такие отечественные решения, которые обеспечат более высокий уровень безопасности КИИ, чем импортные. Делать это надо, сохраняя устойчивость КИИ. Решения не просто должны заработать, но и обеспечить в компаниях непрерывность и безопасность их производственных процессов. Мы понимаем, что иногда запрашиваем большое количество информации по различным вопросам, связанным с объектами КИИ, однако, эта детализация необходима, чтобы в том числе понимать в каких областях есть сложности и где требуется скорректировать подходы», — рассказал заместитель министра цифрового развития, связи и массовых коммуникаций России Андрей Заренин.
Директор дирекции информационных технологий, автоматизации и телекоммуникаций «Газпром нефти» Антон Думин поднял вопрос неоднозначного толкования понятийного аппарата в нормативной базе: «Не всегда однозначно трактуются термины, которые применяются, например, такие как «программно-аппаратные комплексы» или что означает понятие «импортозаместить» внутри КИИ». Эти циклы всегда более длинные и мы должны понимать, как будем двигаться, в том числе по таким направлениям, как восполнение кадрового потенциала или производство и эксплуатация радиоэлектроники», — добавил Антон Думин. Генеральный директор холдинга Т1 Игорь Калганов также поддержал необходимость создания общего стратегического документа в сфере КИИ и единого глоссария: «Когда мы придем к единому пониманию и найдем методы, при которых заказчики будут хотеть признавать себя КИИ, нам всем станет гораздо проще взаимодействовать и договариваться». Начальник Департамента информатизации РЖД Кирилл Семион высказал предложение разделить понятие безопасности и требований, которые предъявляются к КИИ: «Отсутствие импортозависимых компонентов в КИИ не всегда является достаточным, чтобы обеспечить их безопасность». Также спикер обратил внимание на необходимость введения конкретных требований к понятию безопасная разработка. И ответственность подрядчиков за соблюдение данных требований по безопасности, чтобы крупнейшие потребители не несли дополнительных затрат для исправления ситуации.
Услуги и сервисы
- Что такое КИИ?
- Кабмин будет определять типы информсистем для их отнесения к важным объектам КИИ
- Субъекты КИИ перейдут на российский софт к 2030 году
- Пример категорирования объекта КИИ
- Hормативные акты по КИИ
Субъект КИИ: два подхода к определению статуса
Во второй половине марта 2022 года президент России Владимир Путин подписал закон о технологической независимости России. Закон подразумевает запрет на приобретение иностранного программного обеспечения ПО для объектов критической информационной структуры России. Также документ запрещает с 1 января 2025 года органам государственной власти использовать на таких объектах иностранное ПО без согласования с уполномоченным органом исполнительной власти.
Основным нормативным правовым документом, регулирующим взаимодействие различных субъектов в сфере критической информационной инфраструктуры, выступает Федеральный закон от 26. Кто должен защищать КИИ? Защиту объектов КИИ и сетей электросвязи, используемых для организации взаимодействия объектов КИИ, обеспечивают субъекты КИИ в соответствии с действующим законодательством в области информационной безопасности посредством принятия правовых, организационных и технических мер.
Субъектами КИИ выступают: 1 государственные органы, государственные учреждения, российские юридические лица и или индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат объекты КИИ, а также 2 российские юридические лица и или индивидуальные предприниматели, которые обеспечивают взаимодействие объектов КИИ ст. Помимо субъектов в процессе обеспечения безопасности объектов КИИ принимают участие: 1 ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, при этом: осуществляет государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры; ведет реестр значимых объектов критической информационной инфраструктуры; проверяет правильность соблюдения порядка осуществления категорирования и определения категории значимости объекта КИИ, и другое.
Если закон будет принят, то он вступит в силу с 1 марта следующего года. Субъекты критической информационной инфраструктуры КИИ — государственные органы и учреждения, а также компании и индивидуальные предприниматели ИП , которым принадлежат информационные системы, телекоммуникационные сети, а также автоматизированные системы управления, работающие в области здравоохранения, науки, транспорта, связи, энергетики и многих других сферах. Медведев оценил идею отключить Россию от глобального интернета Как сообщал Life.
Кабмину также предстоит согласовать перечень объектов с государственным органом или российским юрлицом, который выполняет функции по разработке государственной политики и нормативно-правовому регулированию в данной сфере в части подведомственных субъектов КИИ, сообщили «Ведомости». К субъектам КИИ относятся государственные органы и организации из областей здравоохранения, науки, транспорта, связи, энергетики, банковской сферы, а также топливно-энергетического комплекса, которые владеют объектами критической инфраструктуры. Субъекты могут сами определять значимость объектов и не относить их к КИИ. Инициатива должна ускорить переход субъектов КИИ на отечественное ПО и оборудование, упростить этот процесс и внести в него определённость, объяснил «СенатИнформ» зампред Совета по развитию цифровой экономики при СФ, член Комитета верхней палаты по госстроительству и законодательству Артём Шейкин.
Кабмин будет определять типы информсистем для их отнесения к важным объектам КИИ
Подробный план перехода субъектов КИИ будет утвержден до 1 сентября 2024 года. Все субъекты КИИ должны быть подключены к ведомственным или корпоративным центрам ГосСОПКА либо создать свой центр ГосСОПКА. Понять, что такое объекты критической инфраструктуры, предельно просто — это элементы ИТ-инфраструктуры компаний, попадающих под определение субъектов КИИ. Статья про идентификацию объектов КИИ и субъектов КИИ. Согласно данному закону, КИИ – это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. Статья про идентификацию объектов КИИ и субъектов КИИ.
Секретные адреса: сделки с недвижимостью защитили от хакеров
В 2022 году многие организации пересмотрели свои ИБ-бюджеты, в том числе субъекты критической информационной инфраструктуры (КИИ). После осознания руководством предприятия принадлежности к субъектам КИИ, необходимо создать внутреннюю комиссию по категорированию. Было проверено более 400 объектов КИИ, принадлежащие 73 субъектам. Министерство цифрового развития, связи и массовых коммуникаций России готовит документ, в соответствии с которым субъекты телевещания признают объектами критической. Что такое КИИ и кто попадает под ФЗ-187? Обязанности субъектов КИИ: категорирование объектов КИИ, обеспечение интеграции с ГосСОПКА, принятие мер по безопасности объектов. Планы перехода субъектов КИИ на доверенные программно-аппаратные комплексы к следующему сентябрю уже должны быть утверждены.
Новые требования для “железа” и иностранного ПО для субъектов КИИ
Ответ: Субъекты КИИ, владельцы значимых объектов КИИ, обязаны в срок не позднее 90 календарных дней с момента включения данного объекта в реестр значимых объектов КИИ. Построение системы безопасности КИИ по выгодной цене в Москве и на всей территории РФ: обеспечение защиты субъектов и объектов критической информационной инфраструктуры. Министерство цифрового развития, связи и массовых коммуникаций РФ предложило обязать субъекты КИИ «преимущественно использовать» отечественный софт с 1 января 2021 года и. Кабмин внес в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры РФ на использование российского программного обеспечения (ПО).
ВсеПрофи24
Марченко также напомнил о законодательстве в сфере КИИ – на слайдах более десятка различных нормативных документов, в том числе о проверках субъектов КИИ. На официальном веб-ресурсе правовой информации появился документ, предполагающий расширение перечня субъектов критической информационной инфраструктуры (КИИ). Согласно данному закону, КИИ – это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.