Patērētāju tiesību aizsardzība 03.01.2021
0 (0 balsis)

Komentāri fz 187 par informācijas drošību. CII drošība: kā notikt, ko darīt un ko darīt, ja ne. Ko darīt, ja jūs saņemat signālu

Starp diezgan lielu skaitu likumdošanas IT / informācijas drošības jauninājumu, kas stājās spēkā 2018. gadā, var izcelt 2017. gada 26. jūlija federālo likumu Nr. 187-FZ "Par Krievijas Federācijas kritiskās informācijas infrastruktūras drošību". . Tā aktualitāte ir redzama jau tāpēc, ka tas tika pieņemts kā patstāvīgs likums, nevis grozījumi iepriekš pastāvošajos dokumentos. Bet tas arī liecina, ka runa ir par jaunas (likumdošanai) IT sfēras regulējumu, un tāpēc varam sagaidīt, ka process praktiks pielietojums likums piedzīvos pilnīgi dabisku „slīpēšanu“.

Uzdodot jautājumus par to, kā 187-FZ var ietekmēt situācijas attīstību korporatīvajā IT/IB tirgū, par tā pielietošanas perspektīvām, iespējamās problēmas un to risinājuma iespējas, mēs vērsāmies pie vairākiem ekspertiem.

Ko regulē jaunais likums?

Viens no galvenajiem likuma jauninājumiem ir „Datoruzbrukumu informācijas resursiem atklāšanas, novēršanas un seku likvidēšanas valsts sistēmas” ieviešanas mehānisms. Krievijas Federacija”(GosSOPKA), kam acīmredzot būtu jāpārņem valsts pārziņā visas esošās informācijas drošības sistēmas un jākļūst par vienotu visas šīs ekonomikas vadīšanas centru.

Likums paplašina to informācijas sistēmu sarakstu (jēdziens „kritiskā informācijas infrastruktūra“, KII) tām tiek ieviests, pie kurām obligatās prasības par drošību no valsts puses un kuru īpašnieki tagad ir atbildīgi, tostarp noziedzīgi. Kā skaidroja Positive Technologies metodoloģijas un standartizācijas direktors Dmitrijs Kuzņecovs, CII attiecas uz valsts un valsts IT sistēmām. kommerzielle Organisation, neveiksmes, kurās (tostarp hakeru uzbrukumu rezultātā) var rasties nopietnas sociālas, politiskas, vides un citas sekas.

Nein RT-INFORM (valsts korporācijas Rostec IT un informācijas drošības kompetences centra) informācijas drošības direktora Aleksandra Jevtejeva viedokļa ir svarīgi, lai likumā būtu noteikta nozīmīgu CII objektu kategorizēšanas kārtāstība, kontroles. to drošības nodrošināšanas jomā CII subjektiem piederošo organizāciju tiesības un pienākumi.

Runājot par attiecību regulēšanu CII drošības nodrošināšanas jomā hakeru uzbrukumu kontekstā, likumā ir izdalītas divas jomas - drošības nodrošināšana un pretuzbrukumu apkarošana. Šajā sakarā Servionika (AiTeco grupa) Informācijas drošības departmentamenta direktors Vasilijs Stepaņenko atgādina, ka saskaņā ar Krievijas Federācijas prezidenta dekrētu Nr. izpildvara, kas ir pilnvarota KII drošības joma, ir Krievijas FSTEC, un saskaņā ar Krievijas Federācijas prezidenta 2013. gada 15. janvāra dekrētu Nr. 31c valsts SOPKI izveides pilnvaras ir piešķirtas Krievijas FSB.

„GosSOPKA vajadzētu kontrolēt Krievijas Federācijas kritiskās informācijas infrastruktūras aizsardzības pakāpi pret datoru uzbrukumiem“, sacīja Dmitrijs Ogorodņikovs, Angara Technologies Group attīstības direktors. – Tajā pašā laikā vēl nav bijusi skaidra izpratne par to, kam konkrēti būtu jāpieslēdzas šai sistēmai. Tagad, izlaižot 187-FZ, ir skaidrība also jautājumu. Proti, likumā bija norādīts, ka visiem KII subjektiem jābūt pieslēgtiem valsts SOPCA nettkarīgi no t., vai tiem ir nozīmīgas KII telpas vai nav.

Maskavas pilsētas kuppeln informācijas unanalītiskās nodaļas vadītājs antons tarans starp galvenajām likuma idejām izceļ nepieciešamību izveidot vienotu centru vicijas uzraudtzi itsiten uzraudi valsts. „Šodien centrālā valdība var nezināt, ka kādam Hantimansijskas termoelektrostacijas vadības centram uzbruka hakeri un uz divām stundām atspējoja ugunsdzēšanas sistēmu. Un tagad viņi zinās un kaut kā reaņšsk viœs.“

FSB. izpilddirektors R-Vision Aleksandrs Bondarenko uzskata, ka tas ļaus veikt informācijas apmaiņu starp informācijas drošības speciālistiem un kopumā paaugstinās CII objektu drošības līmeni.

Kas CII subjektiem un regulatoriem jādara, lai ieviestu likumu

„Saistībā ar FSTEC visiem CII subjektiem būs jāveic vairākas darbības, tostarp CII objektu atlase un kategorizēšana, kā arī drošības prasību iieviešana. Bet lielākā daļa organizāciju mūsdienās jau ir ieviesušas noteiktus drošības pasākumus (piemēram, saskaņā ar notikumi saskaņā ar GIS un/vai PD), tāpēc viņiem būs jāsaista esošā informācijas drošības sistēma ar FSTEC prasībām attiecībā uz CII un, ja nepieciešams, tā jāpilnveido“, uzskata Dmitrijs Ogorodņikovs. Runājot par FSB, viņš piebilda, ka būs jāveic darbi, lai izveidotu savienojumu ar valsts SOPKE, kas, iespējams, ir apgrūtinošākais pasākums.

"Tagad gaidām, kad valdība apstiprinās noteikumus par CII objektu kategorizēšanu, kā arī apstiprinās FSTEC prasības informācijas aizsardzības pasākumu īstenošanai CII objektos atkarībā no piešķirtās kategorijas," va sacībā no piešķirtās kategorijas," va sacīs. Systemsoftware informācijas drošības nodaļas darbinieks. - Pēc šo dokumentu apstiprināšanas paies zināms laiks, līdz FSTEC strādās pie CII objektu klasificēšanas. Pēc tam sāksies attiecīgo risinājumu masveida ieviešana.“

„Saskaņā ar FSTEC 2017.gada 6.decembra rīkojumu Nr.227 par CII reģistra uzturēšanas kārtības apstiprināšanu sis registriert tiks sligts. Informācija no tā tiek nosūtīta GosSOPKU, un to var sniegt arī tikai valsts iestādēm vai Krievijas juridiskām personām, kas veic izstrādes, vadīšanas vai ieviešanas funkcijas. valsts politika un (vai) tiesiskais regulējums noteiktajā jomā“, atzīmēja Dmitrijs Ogorodņikovs. Piebildīsim, ka saskaņā ar Valsts prezidenta 2018.gada 2.marta dekrētu Nr.98

Var droši teikt, ka 187-FZ ieviešana prasīs papildu pūles no tirgus dalībniekiem, tostarp finansiālās izmaksas.

„Ņemot vērā to, ka objektu un organizāciju, uz kurām attiecas šis likums, skaits ir iespaidīgs un to nodrošinātais informācijas drošības līmenis nav īpaši augsts, tas prasīs nopietnus ieguldījumus drošī. Tādējādi CII objektu aizsardzības nodrošināšana var kļūt par vēl vienu tirgus virzītāju, par kādu savulaik kļuva bēdīgi slavenais personas datu likums“, pārliecināts Aleksandrs Bondarenko.

„Informācijas drošības tirgū parādīsies jauns pakalpojuma veids, kas vērsts uz tā atbilstību FSTEC prasībām attiecībā uz CII, kā arī pakalpojumiem pieslēgšanai GosSOPKE. Šeit ir iespējami dažādi variationi: departureamentu centru izveide, pieslēgšana korporatīvajiem centriem u.c. Visiem variationiem būs jāiegādājas arī atbilstoši informācijas drošības rīki“, uzskata Dmitrijs Ogorodņikovs.

Pēc Jakova Grodzenska domām, organizācijām, kas atbilst CII subjektu definīcijai, savā infrastruktūrā neizbēgami būs jāizveido valsts SOPKI centri. Šajā sakarā būs jāievieš saskarne informācijas apmaiņai ar galveno centru. „Tajā skaitā, pamatojoties uz jau esošajiem pašmāju izstrādātāju risinājumiem, ir nepieciešams ieviest instanceu reģistrēšanas un reaģēšanas sistēmu (IRP), kuras pamatā ir SIEM risinājajumi, kas ir daļa S. Papildus nepieciešams analizēt infrastruktūras drošību un ieviest risinājumus, lai palielinātu darbinieku izpratni par informācijas drošības jautājumiem”, viņš skaidroja.

"Drošības pārdevējiem likums nes pozitīvas ziņas, taču grūti pateikt, kā tas ietekmēs IT tirgu, jo ļoti iespējams, ka tiks veikti papildu centieni drošības virzienā, samazinot aktivitāti citos, IT projektostas" viņa bažas.Läuft.

Taču Aleksandrs Jevtejevs pauž viedokli, ka likuma ieviešana pozitīvi ietekmēs to organizāciju darbību, kuras mūsdienās bieži cieš tiešus zaudējumus no neuzmanības pret drošības jautājumiem: “Pēdējos gados ir pietoruzziuks Uzbrucēji pastāvīgi atrod jaunas uzbrukuma metodes. Pēdējo gadu tendence pastiprināt informācijas drošības prasības, īpaši valsts sektoram un CII, ir nepieciešama atbilde.

Acīmredzot viena no svarīgākajām jomām, kas ietilpst 187-FZ piemērošanas jomā, ir vadības sistēmas technoloģiskie processi. Īpaši uz zu uzmanību vērš Dmitrijs Kuzņecovs: „Īpašnieki rūpniecības uzņēmumi un rūpnieciskās automatatizācijas rīku izstrādātāji ir sapratuši, cik Šī nozare ir neaizsargāta prett uzbrukumiem, un tagad notiek sadarba, uzi und uistiem, sistēmu –kasch.

Savukārt Vasilijs Stepaņenko atzīmē, ka likums neparedz vienreizēju rīcību IT sistēmu drošības stiprināšanai, bet gan pastāvīgu darbu šajā virzienā: “Klientiem šobrīd ir nepārtraukti jāizstrādā un jāievieš drošības pasākumi, jāplāno tam budžeti, informē FSB par incidentiem, izmeklē incidentus un sniedz palīdzību FSB un FSTEC parstavjiem. Pēc viņa teiktā, CII sertifikācija nenotiks ierastajā atbilstības sertifikāta izsniegšanas formātā, bet gan FSTEC noteikto minimālo prasību ievērošanas pārbaudes veidā un pastāvīgs aizsardzības pasākumu efekīstīst FSB.

Vai 187-FZ viss notiek gludi?

Pieredze iepriekšējos gados parada, ka īstenošana pieņemtie likumi IT jomā dažkārt ir diezgan grūti. Izrādās, ka dažas pieņemto aktu normas ir grūti realizējamas praksē, un likumdevēji nav pievērsuši pietiekamu uzmanību dažiem būtiskiem aspektiem vai arī tos ignorējuši pilnībā. Regulāri parādās arī likuma prasību izpildes finansēšanas problēma.

„187-FZ kvalitāte nav ne labāka, ne sliktāka par līdzīgiem likumiem, kas saistīti ar IT”, atzīmē Antons Tarans. - Nav līdz galam izstrādātas definīcijas, kas pieļauj neviennozīmīgas interpretācijas. Ir daži neskaidri formulējumi. Kā parasti, administrēšanas algoritmi un funkcionalitāte ir aprakstīta diezgan detalizēti. pilnvarotās institūcijas, jo no tā ir atkarīga turpmākā noteikumu izstrāde un atbildības jomas, un attiecīgi arī budžeta saņēmēji. Pagaidām gan nav skaidrs, kādas būs budžeta izmaksas sistēmas izveidei un darbībai. Ņemot vērā, ka likums paredz izveidot nacionālo koordinācijas centru datorincidentiem, priekšā vēl ir izmaksas. Ja vien tas nav virtuāls centrs."

Visi eksperti ir vienisprātis, ka ieviešana prasīs ievērojamas izmaksas gan no informācijas sistēmu īpašniekiem, gan no valsts puses. Bet Dmitrijs Kuzņecovs ir pārliecināts, ka šādi izdevumi ir vienkārši nepieciešami: „Daudzas organizācijas ignorēja informācijas drošības problēmu. Aizsardzības neobligātais raksturs ir novedis pie tā, ka daudzās vitāli svarīgās informācijas sistēmās nav elementāru aizsardzības mehānismu. Slimība ir atstāta novārtā, un tagad tās ārstēšanai ir jāpieliek nopietnas pūles.

Aleksandrs Bondarenko potenciālu likuma problēmu saskata tajā, ka tas tiek ieviests Ista dzive tas prasīs vairākus gadus, jo kritiskie objekti to īpašību dēļ prasīs nopietnu esošo aizsardzības mehānismu pielāgošanu.

Labi, ka valsts tik acīmredzamā veidā ir izrādījusi bažas par KII drošību. Bet Vasilijs Stepaņenko saskata 187-FZ problēmu tajā, ka, viņaprāt, tas ir slikti saskaņots ar citiem likumiem, kas jau sen ir spēkā vairākās nozarēs, kas noteiktas kā potenciālie CII subjekti. Pagaidām nav skaidrības par atbildību par likuma prasību izpildi, piemēram, kur atrodas subjekta vadītāja, bet kur - citu amatpersonu atbildības joma. Ne viss ir skaidrs ar finansējumu. „Var uzlikt par pienākumu katram atvēlēt budžetu un baidīties no pārbaudēm, taču bez atbilstoša finansējuma, tai skaitā no valsts, reālus rezultātus sasniegt ir grūti“, uzskata eksperts.

Runājot par likuma perspektīvām, pēc Antona Tarana teiktā, par to vēl ir grūti runāt. Keine Vienas -Pusses, Tīri Teorētiski, Sistematizēšana, Saskaņošana un Standartizācija vēl nevienam nav kaitējusi, un, ja topošā Sistēma Tiešām Darbiose un Izmaksas Cii Subjektu EKOMIONSAS, TADJEKTU EKEREL EKERE, TADJEKTU EKERE. drošības līmenis. Savukārt par likuma efektivitātes izvērtēšanu būs ļoti grūti runāt, kamēr netiks noteikti drošības nodrošināšanas kvantitatīvie rādītāji.

Likuma galveno problēmu viņš saskata izmaksās uzņēmējdarbībai. Galu galā viens subjekts ir diezgan spējīgs nodrošināt sev aizsardzību pret datoru uzbrukumiem un kopumā informācijas drošības tehnoloģijas ir jāapgūst ne sliktāk kā valstij. Papildu organizatorisko un, iespējams, materiālo izmaksu radīšana jebkuram biznesam būtu jākompensē ar papildu ienākumiem, savukārt pastāv risks, ka papildu izmaksas netiks kompensētas ar drošības līmeņa paaugstināšanu.

Kopumā visi eksperti ir vienisprātis, ka likuma praktiskā īstenošana izšķirošā mērā būs atkarīga no turpmāko normatīvo aktu sistēmas, kurā cita starpā būtu jānosaka atsevišķu personu atbildība par likuma ieviešanu.

1. Kritiskās informācijas infrastruktūras objekta kategorizēšana ir kritiskās informācijas infrastruktūras objekta atbilstības noteikšana nozīmīguma kritērijiem un to vērtību rādītājiem, piešķirot tam vienu no nozīmīguma kategorijām, pārbaudot informāciju par tā rezultātiem. uzdevums.

1) sociāla nozīme, kas izteikta cilvēku dzīvībai vai veselībai nodarītā iespējamā kaitējuma izvērtēšanā, iespēju izbeigt vai traucēt iedzīvotāju dzīvības nodrošinātuš, Verkehrsinfrastruktur, sakaru tīkliem, kā arī maksimālais piekļuves trūkuma laiks Valsts Dienestsšāda pakalpojuma saņēmējiem;

2) politiskā nozīme, kas izteikta, novērtējot iespējamo kaitējumu Krievijas Federācijas interesēm iekšpolitiskajos un ārpolitikas jautājumos;

3) ekonomiskā nozīme, kas izteikta, novērtējot iespējamo tiešu un netiešu kaitējumu kritiskās informācijas infrastruktūras subjektiem un (vai) Krievijas Federācijas budžetiem;

4) vides nozīme, kas izteikta ietekmes uz vidi līmeņa novērtējumā;

5) kritiskās informācijas infrastruktūras objekta nozīmi valsts aizsardzības, valsts drošības un likuma un kārtības nodrošināšanai.

3. Tiek noteiktas trīs kritiskās informācijas infrastruktūras objektu nozīmes kategorijas - pirmā, otrā un trešā.

4. Kritiskās informācijas infrastruktūras subjekti atbilstoši nozīmības kritērijiem un to vērtību rādītājiem, kā arī kategorizēšanas kārtībai tiem piederošajiem kritiskās informācijas infrastruktūras guem. īpašumtiesību, nomas vai cita tiesiska pamata. Ja kritiskās informācijas infrastruktūras objekts nettbilst nozīmīguma kritērijiem, šo kritēriju rādītājiem un to vērtībām, tam netiek piešķirta neviena no šīm kategorijām.

5. Informāciju par kritiskās informācijas infrastruktūras objektam vienas no nozīmīguma kategorijām piešķiršanas rezultātiem vai par to, ka nav nepieciešams tam piešķirt kādu no šādām kategorijām, kritiskās informācijas infrastruktūras subjektiem rakstiski desmit dienu laikā no datumu, kad viņi ir pieņēmuši attiecīgo lēmumu, nosūta reģionā pilnvarotajai federālajai izpildinstitūcijai.nodrošinot Krievijas Federācijas kritiskās informācijas infrastruktūras drošību, viņa apstiprinātajā formā.

6. Krievijas Federācijas informācijas kritiskās infrastruktūras drošības nodrošināšanas jomā pilnvarotā federālā izpildinstitūcija trīsdesmit dienu laikā no šā panta 5. daļā noteiktās informācijas saņemšanas dienas pārbauda, ​​​​​​vai tiek veikta kategorizēšanas kārtība un vienas no nozīmīguma kategorijām piešķiršanas pareizību kritiskās informācijas infrastruktūras objektam vai kādas no šīm kategorijām nepiešķiršanu.

7. Gadījumā, ja informācijas kritiskās infrastruktūras subjekts ir ievērojis kategorizēšanas kārtību un tam uz īpašumtiesību, nomas vai cita tiesiska pamata piederošajam kritiskās informācijas infrastruktūras objektam ir pareizi piešķirta kāda no nozīmes kategorijām, tad, ja informācijas kritiskās infrastruktūras objekts ir noteicis kategoriju. federālā izpildinstitūcija, kas pilnvarota Krievijas Federācijas kritiskās informācijas infrastruktūras drošības nodrošināšanas jomā, ievada informāciju par šādu kritiskās informācijas infrastruktūras objektu būtisko informācijas kritiskās infrastruktūras objektu reģistrā, no kuriem kritiskās informācijas infrastruktūras subjekts. tiek paziņots desmit dienu laika.

8. Gadījumā, ja Krievijas Federācijas kritiskās informācijas infrastruktūras drošības nodrošināšanas jomā pilnvarotā federālā izpildinstitūcija atklāj īpašumā, nomā vai citā veidā esošās kritiskās informācijas infrastruktūras klasificēšanas un (vai) objekta klasificēšanas procedūras pārkāpumus. kas juridiski pieder kritiskās informācijas infrastruktūras subjektam, viena no nozīmīguma kategorijām ir piešķirta nepareizi un (vai) neviena no šīm kategorijām nav piešķirta nepamatoti un (vai) kritiskās informācijas infrastruktūras subjekts sniedzis nepilnīgu un (vai) neuzticamu informāciju par federālās izpildinstitūcijas, kas pilnvarota kritiskās informācijas infrastruktūras drošības nodrošināšanas jomā, rezultātus, ja šādam informācijas kritiskās infrastruktūras objektam ir piešķirta viena no nozīmīguma kategorijām vai nav nepieciešamības piešķirt šgorijīmate no kadu. Krievijas Federācijā desmit dienu laikā laika posmā no iesniegtās informācijas saņemšanas dienas tos rakstiski atdod kritiskās informācijas infrastruktūras subjektam ar argumentētu atgriešanas iemeslu pamatojumu.

9. Kritiskās informācijas infrastruktūras subjekts pēc pamatota pamatojuma saņemšanas par šā panta piektajā daļā norādītās informācijas atgriešanas iemesliem ne vēlāk kā desmit dienu laikā novērš konstatēto uns trūkumus. federālā izpildinstitūcija, kas pilnvarota Krievijas Federācijas kritiskās informācijas infrastruktūras drošības nodrošināšanas jomā.

10. Informāciju par to, ka kritiskās informācijas infrastruktūras objektam nav nepieciešams piešķirt kādu no nozīmīguma kategorijām pēc to pārbaudes, nosūta Krievijas Federācijas kritiskās informācijas infrastruktūras drošības nodrošināšanas jomā pilnvarota federālā izpildinstitūcija. , uz Valsts-System datoruzbrukumu Krievijas Federācijas informācijas resursiem atklāšana, novēršana un seku likvidēšana, par ko kritiskās informācijas infrastruktūras subjekts tiek informēts desmit dienu laikā.

11. Ja informācijas kritiskās infrastruktūras subjekts nesniedz šā panta prasība par nepieciešamību ievērot šī panta noteikumus.

1) ar motivētu lēmumu federālā iestāde izpildinstitūcija, kas pilnvarota Krievijas Federācijas kritiskās informācijas infrastruktūras drošības nodrošināšanas jomā, pieņemta, pamatojoties uz īstenošanas ietvaros veiktās revīzijas rezultātiem. Valsts-Kontrolle kritiskās informācijas infrastruktūras nozīmīgu objektu drošības nodrošināšanas jomā;

2) nozīmīgā kritiskās informācijas infrastruktūras objekta izmaiņu gadījumā, kā rezultātā šāds objekts vairs nettbilst nozīmības kritērijiem un to vērtību rādītājiem, pamatojoties uz kuriem tas tikats pie. notikta kategorija nozīmīgums;

3) saistībā ar kritiskās informācijas infrastruktūras subjekta likvidāciju, reorganizāciju un (vai) tā organizatoriskās un juridiskās formas maiņu, kuras rezultātā tika mainītas vai zudušas kritiskās informācijas infrastruktūīras subjekta

maskavas kremlis

Tika parakstīts Krievijas informācijas kritiskās infrastruktūras drošības likums.

Tas regulē attiecības kritiskās informācijas infrastruktūras drošības nodrošināšanas jomā tās stabilai darbībai, veicot pret tās datoruzbrukumiem.

Tiek noteikti drošības nodrošināšanas pamatprincipi, valsts institūciju pilnvaras, kā arī to personu tiesības, pienākumi un atbildība, kam pieder infrastruktūras objekti, telekomunikāciju operatori un informācijas sistēmas, kas nodrošjektušina šo.

Infrastruktūras objekti ietver informācijas sistēmas, informācijas un telekomunikāciju tīklus, automatizētas sistēmas kritiskās informācijas infrastruktūras priekšmetu vadība.

Tiek fiksēti jēdzieni datoruzbrukums, datorincidents u.c.

2017. gada 26. jūlija federālais likums Nr.187-FZ "Par Krievijas Federācijas informācijas kritiskās infrastruktūras drošību"


Šis federālais likums stājas spēkā 2018. gada 1. janvārī.


Federālā likuma teksts ir publicēts "Oficiālajā interneta portālā juridisko informāciju"(www.pravo.gov.ru) 2017. gada 26. jūlijs, plkst. Krievu laikraksts"2017. gada 31. jūlija N 167, Krievijas Federācijas 2017. gada 31. jūlija tiesību aktu krājumā N 31 (I daļa) Art. 4736


Federālā likuma izskatīšanas un pieņemšanas vēsture

"Par informācijas kritiskās infrastruktūras drošību". Sakot ar 2013 praktiska istenosana viņu izvirzītajām prasībām. Tagad, kad šīs prasības ir stājušās spēkā un daudzi uzņēmumi saskaras ar nepieciešamību tās ievērot, ir jāatbild uz dedzīgākajiem jautājumiem.

Kam domāts šis likums?

Jaunais likums paredzēts, lai regulētu darbības, lai nodrošinātu to Krievijas Federācijas informācijas infrastruktūras objektu drošību, kuru darbībai ir izšķiroša nozīme valsts ekonomikai. Tadus objektus souc kritiskās informācijas infrastruktūras objekti(KII). Saskaņā ar dokumentu informācijas sistēmas un tīkli, kā arī automatizētās vadības sistēmas darbojas šādās jomās:

  • veselības aprūpe;
  • zinatne;
  • Transporte;
  • Sakari;
  • Energie;
  • banku darbiba un citas finanšu tirgus jomas;
  • degvielas un energijas komplekss;
  • atomenergija;
  • aizsardzības un raķešu un kosmosa rūpniecība;
  • kalnrūpniecībā, metalurģijā un ķīmiskajā rūpniecībā.

CII objekti, kā arī telekomunikāciju tīkli, ko izmanto, lai organizētu mijiedarbību starp tiem, veido jēdzienu kritiskās informācijas infrastruktūra.

Kāds ir likuma Nr. 187-FZ mērķis un kā tam vajadzētu darboties?

Galvenais CII drošības nodrošināšanas mērķis ir CII stabila darbība, tai skaitā, ja tai tiek veikti datoruzbrukumi. Galvenais drošības princips ir datoru uzbrukumu novēršana.

KII oder KSII?

Pirms jaunā likuma par CII parādīšanās informācijas drošības jomā pastāvēja līdzīgs jēdziens „galvenās informācijas infrastruktūras sistēmas“ (KIIS). Taču no 2018. gada 1. janvāra FIAC jēdziens oficiāli tika aizstāts ar jēdzienu „CI nozīmīgi objekti“.

Kuras organizācijas ietilpst šī likuma darbības jomā?

CII drošības likuma prasības skar tās organizācijas ( valdibas strukturas un estādes, juridiskas personas un individuelles uz.m.ji) kam pieder (pēc īpašumtiesībām, nomas vai cita tiesiska pamata) CII objekti vai kuri nodrošina to mijiedarbību. Šādas organizācijas likumā sauc par CII subjektiem.

Kādas darbības CII subjektiem jāveic, lai ievērotu likumu?

Saskana ist ein Dokument CII Thema ir:

  • klasificēt CII objektus;
  • nodrošināt integrāciju (iegulšanu) Krievijas Federācijas datoruzbrukumu informācijas resursiem atklāšanas, novēršanas un seku likvidēšanas valsts sistēmā (GosSOPKA);
  • veikt organizatoriskos un tehniskos pasākumus, lai nodrošinātu CII objektu drošību.

Kas ietver CII objektu klasifikāciju?

CII objekta kategorizēšana ietver tās nozīmīguma kategorijas noteikšanu, pamatojoties uz vairākiem kritērijiem un rādītājiem. Kopumā ir tris kategorijas: pirmā, otrā vai trešā. Ja CII objekts nettbilst nevienam no noteiktajiem kritērijiem, tam netiek piešķirta neviena no kategorijām. Tie CII objekti, kuriem ir piešķirta kāda no kategorijām, likumā tiek saukti par nozīmīgiem CII objektiem.

  • KII nozīmīgā objekta nosaukums;
  • CII subjekta nosaukums;
  • informācija par nozīmīga CII objekta un telekomunikāciju tīklu mijiedarbību;
  • informācija par personu, kas apkalpo nozīmīgo CII objektu;
  • piešķirta nozīmescateja;
  • informācija par programmatūru un programmaparatūru, kas tiek izmantota nozīmīgajā CII objektā;
  • pasākumi, kas piemēroti nozīmīga CII objekta drošības nodrošināšanai.

FSTEC. Regulatoren pārbauda iesniegtos materiālus un, ja nepieciešams, nosūta komentārus, kas jāņem vērā CII subjektam. Ja CII subjekts nesniedz kategorizēšanas datus, FSTEC ir tiesības pieprasīt šo informāciju.

Nozīmīgo CII objektu reģistra uzturēšanas kārtību noteiks attiecīgs rīkojums, kura projekts jau ir publicēts.

Kā klasificēt CII objektus?

Nozīmīguma kritēriju rādītājus, kategorizēšanas kārtību un termiņus noteiks attiecīgais valdības rīkojums, kura projekts arī jau ir sagatavots. Saskana ar pašreizējo dokumenta versiju kategorizēšanas procedūra ietver:

  • visu procesu noteikšana, ko CII subjekts veic savas darbības ietvaros;
  • kritisko procesu identificēšana, kuru pārkāpšana vai izbeigšana var radīt negatīvas sekas valsts mērogā;
  • kategorizējamo CII objektu saraksta noteikšana - šis posms jāpabeidz 6 mēnešu laikā no valdības rīkojuma spēkā stāšanās dienas;
  • nozīmīguma kritēriju rādītāju novērtējums atbilstoši noteiktajām vērtībām - viss valdības rīkojuma projekts paredz 14 rādītājus, kas nosaka KII objekta sociālo, politisko, ekonomisko nozīmi un nozīmi valsts aizsardzības, valsts drošības un tiesību nodrošināšanā. un kārtība;
  • notikt CII objektu atbilstību rādītāju vērtībām un katram no tiem piešķirt vienu no nozīmīguma kategorijām vai pieņemt lēmumu, ka nav nepieciešams tiem piešķirt kādu no nozīmīmguma kategorijām.

Kategorijas gan esošajām, gan izveidotajām vai modernizētajām CII objektiem jāveic īpašai CII subjekta darbinieku komisijai. Komisijas lēmums tiek noformēts ar attiecīgu aktu, un 10 dienu laikā pēc tā apstiprināšanas informācija par kategorizēšanas rezultātiem jānosūta FSTEC. Maksimālais termiņš CII objektu kategorizēšanai ir 1 gads no dienas, kad CII subjekts ir apstiprinājis CII objektu sarakstu.

Šis paūtījums ir provizoriski un jāprecizē pēc attiecīgā valdības dekrēta apstiprināšanas.

Kas ir GosSOPKA un kāpēc tā ir nepieciešama?

Un ja nav izpildītas šī likuma prasības?

Kopā ar federālā likuma 2017. gada 26. jūlija apstiprinājumu Nr.187-FZ „Par CII drošību“, Art.-Nr. 274.1, dibināšana kriminalatbildība CII subjekta amatpersonas par acceptēto darbības noteikumu neievērošanu tehniskajiem līdzekļiem CII priekšmets vai tiem pieejas kārtības pārkāpums līdz brīvības atņemšanai uz laiku no 6 gadiem.

Pagaidām šis pants neparedz atbildību par nepieciešamo pasākumu neveikšanu, lai nodrošinātu CII objekta drošību, tomēr seku (avārijas un ārkārtas gadījumiem kā rezultātā tiek radīti lieli zaudējumi) šādu pasākumu neveikšana attiecas uz Art.-Nr. 293 Krievijas Federācijas Kriminālkodeksa „Nolaidība“. Turklat izmainas Verwaltung tiesības sodu noteikšanas jomā juridiskajām personām par CII drošības likuma neievērošanu. Ar lielu pārliecību varam teikt, ka tieši ievērojamu naudas sodu ieviešana mudinās CII subjektus ievērot apspriežamā likuma prasības. [ics-cert.kaspersky.com]

Redaktori vēlas pateikties Kaspersky Lab par atļauju atkārtoti izdrukāt rakstu.

2018. gada 1. janvārī stājās spēkā Federālais likums Nr.187-FZ „Par Krievijas Federācijas informācijas kritiskās infrastruktūras drošību“, kas attiecas ne tikai uz valsts iestādēm un komerciālām organizācijām, bet arīla uz.jimēmēmēmēmēmēmēmēm uz in

Atklājas jaunās likumdošanas iniciatīvas būtība Vasilijs Stepanenko, nodaļas Direktoren informācijas drošība Uzņēmums Servionika, kas ietilpst AiTeco grupā.

Kadi ir priekšnoteikumi jauna federālā likuma pieņemšanai? Viens no iemesliem ir datu drošības risku pieaugums. Saskaņā ar Krievijas FSB Datum, 2016. gadā bija aptuveni 70 miljoni mēģinājumu uzbrukt Krievijas Federācijas kritiskajai informācijas infrastruktūrai, un 2/3 no tiem bija uzbrukumi no ārvalstīm.

Ceturtā daļa Kaspersky Lab reģistrēto mērķtiecīgo kiberuzbrukumu bija vērsti pret rūpniecības uzņēmumiem. Pēc informācijas drošības jomas ekspertu novērojumiem, 2017.

Kas ir jauzlabo? Pirmkārt, GosSOPKA ir valsts sistēma datoru uzbrukumu Krievijas Federācijas informācijas resursiem atklāšanai, novēršanai un seku likvidēšanai.

Otrkārt, valsts aģentūru informācijas sistēmu drošība, tai skaitā vadības personīgās atbildības par informācijas drošības nodrošināšanu stiprināšana. Tieši šie divi punkti lielā mērā ir ieviesti federālajā likumā par CII drošību, kas pieņemts 2017. gada vasarā.

Uz kādām nozarēm attiecas 187-FZ? Jauns likums aptver veselības aprūpi, zinātni, transportu, sakarus, enerģētiku, bankas, finanses, degvielas un enerģijas kompleksu, kodolenerģiju, aizsardzību, raķešu un kosmosa, kalnrūpniecības,

CII priekšmeti ietver jebkuru Entität, kurā ir informācijas sistēma, ko izmanto kādā no šīm nozarēm. Nozīmīgi CII objekti, kas iedalīti trīs kategorijās, ietver visas informācijas sistēmas, ar kurām instancei var traucēt to sabiedriski nozīmīgās funkcijas un radīt būtisku kaitējumu.

Uz tiem tiek izvirzītas visnopietnākās informācijas drošības nodrošināšanas prasības, kuru neievērošana var radīt smagas sekas līdz pat kriminālsodam.

Kā tiks regulēta un uzraudzīta likuma normu izpilde? Likumā ir notikti cetri regulatori: FSTEC ( Federalais Dienests technisko un eksporta-Steuerung) un FSB kā galvenās, Krievijas Banka un Telekomunikāciju un masu komunikāciju ministrija kā papildu, saskaņojot prasības CII iekārtu drošības nodrošināšanai savā regulējuma jomā.

FSTEC funkcijas ir klasificēt un uzturēt nozīmīgu CII objektu reģistru, izstrādāt prasības CII objektu informācijas drošības nodrošināšanai un uzraudzīt to izpildi. FSB ir atbildīga par drošības praktiskiem aspektiem, kas ir galvenais GosSOPKA centrs.

Kas ir jādara CII subjektam, lai tas atbilstu likuma prasībām? Neatkarīgi kategorizējiet visus savus CII objektus un ziņojiet par tiem rakstīšana FSTEC ievadīt informāciju nozīmīgu CII objektu reģistrā.

Reaģēt uz datora Incidentiem, nekavējoties informējot par tiem FSB un sniedzot palīdzību ieredņiem darbībās, kas saistītas ar instanceu nov.ršanu, atklāšanu un seku likvidēšanu. Nodrošinot šīs kārtības ievērošanu Spezifika GosSOPKA tehnisko līdzekļu uzstādīšana un ekspluatācija.

Kā tiks uzraudzīta tiesību aktu prasību ievērošana? FSTEC uzraudzīs pareizu CII objektu kategorizēšanu un atbilstību prasībām nozīmīgu objektu informācijas drošības nodrošināšanai.

Plānotās pārbaudes tiks veiktas ik pēc 3 gadiem, neplānotas - pēc incidentiem, prezidenta un valdības norādījumiem vai pēc prokuratūras pieprasījuma.

CII objektu drošības novērtējumu veiks FSB. FSB analizēs informāciju no Valsts SOPKA tehniskajiem līdzekļiem, nozīmīgu

Kas notiks, ja jūs pārkāpsiet šo likumu? Par pienākuma klasificēt un sniegt informāciju par atsevišķiem CII objektiem nepildīšana nav sodāma ar likumu, taču par CII drošības nodrošināšanas prasību neievērošanu, taiā skaitā, kas radīja smagas sekas vai to rašan. .

Cik grūti ir ieviest praksē jaunā likuma prasības? Lielākā daļa Krievijas rūpniecības uzņēmumu šodien informācijas drošībai tērē mazāk nekā 50 miljonus rubļu gadā.

Tajā pašā laikā 27% no pētījuma „Cik maksā drošība“ gaitā aptaujāto organizāciju vadītāji zaudējumus no vienas dienas infrastruktūras dīkstāves kiberuzbrukuma dēļ novērtēja tikpat lielus. Daudziem uzņēmumiem informācijas drošībai nav atsevišķa budžeta: tā ir daļa no IT budžeta, veidojot ne vairāk kā 20% no tā.

Lai īstenotu 187-FZ prasības un regulatoru statūtus, ir nepieciešami ievērojami līdzekļi, un CII vienību vadītājiem ir kaut kā jāizkļūst no situācijas. Šodien viena no visvairāk apspriestajām iespējām CII objektu pilnvērtīgas aizsardzības nodrošināšanas problēmas risināšanai ir to savienošana ar korporatīvajiem reaģēšanas centriem (Drošības operāciju).

Tie nodrošina pilnu pakalpojumu klāstu informācijas drošības sistēmu uzraudzībai un administrēšanai, Incidentu identificēšanai un reaģēšanai uz tiem. Šāda pieeja var kļūt par vienu no svarīgākajām tendencēm informācijas drošības jomā Krievijā.

SOC pakalpojumi ļaus CII subjektiem ekonomiskāk īstenot jaunā likuma prasības. Stājoties spēkā 187-FZ, informācijas drošības nodrošināšana kļūst par nepārtrauktu procesu, nevis sistēmas „iesaldēšanu“ atsauces stāvoklī.



Mēs iesakām izlasīt



Līdzīgas ziņas

Sejas Fitness
darba tiebas 2022-03-20 20:17:51

Sejas Fitness

Laba diena, dārgie lasītāji! Jau 40 gadu vecumā grumbas un maisiņi zem acīm kļūst izteiktāki. Kā ar viņiem...