Kept | Cyber
705 subscribers
636 photos
2 videos
11 files
173 links
Kept Cyber – это официальный канал группы по оказанию услуг в области кибербезопасности компании Kept – одной из крупнейших аудиторско-консалтинговых фирм на российском рынке.
Задать вопрос: [email protected]
Download Telegram
Чтобы определить, применимы ли требования законодательства по КИИ, следует проверить, ведет ли компания деятельность по крайней мере в одной из 14 сфер деятельности. Это можно сделать, используя ОКВЭДы, лицензии, устав компании.

Рассмотрим применимость к субъектам КИИ фармацевтической компании:
1. ОКВЭД:
20.30 Производство красок, лаков и аналогичных материалов…
21.20 Производство лекарственных препаратов…
72.19 Научные исследования и разработки
2. Лицензии:
Фармацевтическая деятельность
3. Устав компании:
производство, закупка и реализация лекарственных препаратов
услуги в области здравоохранения и в социальной области

▫️Компания функционирует в 3 сферах 187-ФЗ: здравоохранение, наука и химическая промышленность.
▫️Требуется проведение инвентаризации* процессов и систем компании для определения критических процессов и объектов КИИ

*Мероприятия по инвентаризации также рекомендуются и для компаний, чья принадлежность к субъектам КИИ является спорной

Подробнее в схеме⬇️

#КИИ
#ПолезноЗнать
Если организация относится к субъектам КИИ (см. Применимость законодательства КИИ), то ей необходимо начать процедуру категорирования объектов КИИ.

Организациям, функционирующим в сферах, указанных в ст. 2 187-ФЗ, следует создать постоянно действующую комиссию по категорированию объектов КИИ (Комиссия).

Согласно п. 11 Постановления Правительства № 127, в состав Комиссии должны входить:
·     Руководитель или уполномоченное им лицо
·     Специалисты в области основных видов деятельности
·     Специалисты в области ИТ, связи
·     Специалисты по ИБ

При наличии штатных должностей в состав Комиссии должны входить:
·     Специалисты по эксплуатации тех. оборудования
·     Специалисты по промбезопасности
·     Специалисты по контролю за опасными веществами
·     Специалисты по защите гостайны
·     Специалисты по ГО и ЧС

Руководитель организации может включать в состав Комиссии иных работников, а также создавать отдельные Комиссии на уровне филиалов.

#КИИ
ФСТЭК России на мероприятии «Инфофорум 2024» представил результаты государственного контроля исполнения законодательства в области обеспечения безопасности критической информационной инфраструктуры (КИИ) – выявлено более 800 нарушений. В частности, ФСТЭК России отметил следующие нарушения субъектов КИИ в сфере транспорта:

• не предоставляется перечень объектов КИИ или такой перечень не корректен
• не рассматриваются как возможные объекты КИИ:
▫️светосигнальное оборудование аэропорта
▫️высокоавтоматизированные (автономные) транспортные средства
▫️системы по продаже транспортных билетов
• направляются недостоверные сведения об объектах КИИ
• занижаются категории значимости объектов КИИ
• не настроены антивирусы и не реализовано обновление антивирусных баз
• администрирование значимых объектов КИИ ведется без применения мер защиты информации
• не устраняются уязвимости в ПО
• недостаточный уровень обучения персонала процессам ИБ
• не совершенствуются системы безопасности значимых объектов КИИ

#КИИ
Вопрос:
Какой порядок информирования об инцидентах ИБ определен для субъектов КИИ?

Ответ:
Согласно п. 1), ч. 2, ст. 9 187-ФЗ субъекты КИИ обязаны информировать ФСБ России (НКЦКИ) обо всех компьютерных инцидентах, произошедших на объектах КИИ. Порядок информирования определен приказом № 282 ФСБ России:
• Информирование должно проводиться с использованием инфраструктуры ГосСОПКА или, в случае отсутствия подключения субъекта КИИ к такой инфраструктуре, посредством почтовой, факсимильной или электронной связи
• Информация об инциденте, связанном с функционированием значимого объекта КИИ, должна направляться в срок не позднее 3 часов с момента обнаружения инцидента, а незначимых объектов КИИ – не позднее 24 часов
• В случае если субъект КИИ осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, информация об инциденте также должна направляться в ЦБ РФ в аналогичные сроки
 
#КИИ
Дополнение к первому выпуску (часть 2)
 
Вступило в силу 01 апреля 2024 г.:

Национальный стандарт РФ ГОСТ Р 71206-2024
· для кого: компании, внедряющие процесс разработки безопасного программного обеспечения (РБПО)
· что делать: реализовать требования к мерам по РБПО при выполнении конструирования и комплексирования ПО, вводя дополнительные требования к безопасному компилятору
Национальный стандарт РФ ГОСТ Р 71207-2024
· для кого: компании, внедряющие РБПО
· что делать: реализовать требования к проведению статического анализа ПО, а также требования к статическим анализаторам и специалистам, участвующим в анализе
Национальный стандарт РФ ГОСТ Р 71252-2024
· для кого: компании, определившие риски при передаче данных в индустриальных системах
· что делать: рассмотреть возможность применения протокола защищенного обмена CRISP для индустриальных систем
Предварительный национальный стандарт РФ ПНСТ 905-2023
· для кого: объекты критической информационной инфраструктуры (КИИ)
· что делать: придерживаться единой терминологии, относящейся к доверенным программно-аппаратным комплексам, применимых на объектах КИИ
п. 2.4 Положения Банка России от 30.08.2023 № 808-П
· для кого: бюро кредитных историй
· что делать: использовать прикладное ПО автоматизированных систем и приложений, прошедших сертификацию ФСТЭК России, или оценку соответствия по требованиям к оценочному уровню доверия не ниже 4-ого уровня

Вступило в силу 06 апреля 2024 г.:

ФЗ от 06.04.2024 № 78-ФЗ об ужесточении наказания за нарушение требований к рекламе через email-рассылки, звонки и SMS
· для кого: компании, рекламирующие свои услуги; кредитные или микрофинансовые компании
· что делать: проверить выполнение требования к рекламе, исключив спам-звонки и рассылки

#ДеЮре
#ИБ
#КИИ
Проверки соответствия требованиям по обеспечению безопасности значимых объектов КИИ проводит ФСТЭК России согласно Постановлению Правительства РФ № 162. Проверки бывают плановыми и внеплановыми.

Плановые проверки проводятся раз в 3 года со дня:

• внесения сведений об объектах КИИ в реестр значимых объектов КИИ;
• окончания последней плановой проверки в отношении значимых объектов КИИ.

Плановые проверки проводятся согласно ежегодному плану ФСТЭК России. О проверке субъекты КИИ уведомляется не менее чем за 3 рабочих дня.
Причинами внеплановой проверки могут быть:

• истечение срока выполнения выданного ФСТЭК России предписания об устранении нарушений требований ИБ;
• возникновение инцидента ИБ на значимом объекте КИИ, повлекшего негативные последствия, предусмотренные Постановлением Правительства РФ № 127;
• поручение Президента РФ или Правительства РФ или требование прокурора.
О проведении внеплановой проверки ФСТЭК России извещает субъекта КИИ не менее чем за 24 часа.

#КИИ
Вопрос:
 
Каким образом субъекту КИИ правильно провести инвентаризацию процессов и систем?
 
Ответ:
 
После определения состава постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры (КИИ) компании, в соответствии с ч. а) п. 5 Постановления Правительства № 127, необходимо определить управленческие, технологические, производственные, финансово-экономические процессы.
 
Данную задачу мы предлагаем провести в форме инвентаризации процессов и систем компании, включающей в себя три этапа:
1. Подготовка.
2. Сбор информации.
3. Анализ собранной информации.
 
Этап подготовки включает в себя:
• Определение работников, ответственных за проведение инвентаризации.
• Составление плана инвентаризации, включающего в себя состав мероприятий, ответственных за их реализацию и сроки выполнения мероприятий.
• Определение основных бизнес процессов и направлений деятельности компании.
• Анализ организационной структуры компании и формирование плана интервью.
• Изучение документов (инструкции, процедуры и др.), описывающих порядок реализации процессов подразделений компании.
 
Этап сбора информации включает в себя:
• Проведение интервью с руководителями подразделений компании в целях установления направления их деятельности и получения сведений об используемых системах.
• Выявление бизнес-процессов компании (рекомендуется составлять схемы бизнес-процессов).
• Определение систем, используемых в рамках бизнес-процессов.
• Выявление третьих лиц, участвующих в работе бизнес-процессов и систем.
 
Этап анализа собранной информации включает в себя:
• Систематизацию собранной информации.
• Подготовку реестра бизнес-процессов компании.
В состав реестра рекомендуется также включать:
• наименование систем, функционирующих в рамках бизнес-процессов;
• сведения о третьих лицах, участвующих в бизнес-процессах.
 
Проведение инвентаризации позволяет получить более подробную картину бизнес-процессов компании и упростить реализацию последующих этапов категорирования.
 
#КИИ
Вопрос:

Как правильно оценить критичность процессов в рамках категорирования объектов КИИ?

Ответ:

По результатам инвентаризации процессов Компании необходимо провести оценку их критичности в соответствии с критериями, приведенными в Постановлении Правительства № 127. Другими словами, из всех процессов Компании надо выделить процессы, нарушение и (или) прекращение которых может привести к негативным:
🔸социальным последствиям;
🔸политическим последствиям;
🔸экономическим последствиям;
🔸экологическим последствиям;
🔸последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

Процесс может быть отнесен к критичным, если существует вероятность наступления негативных последствий в соответствии с критериями значимости в следующих областях: социальная, политическая, экономическая, экологическая значимость для обеспечения обороны страны, безопасности государства и правопорядка.

При этом особое внимание стоит уделять процессам, которые реализуют основные виды деятельности Компании. Такие виды деятельности можно определить по результатам анализа ОКВЭД и Устава компании.

В целях фиксации результатов выявления критических процессов, постоянно действующей комиссии по категорированию объектов КИИ следует составить документ, включающий в себя перечень критических процессов Компании с указанием актуальности показателей критериев значимости.

#КИИ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:

Как изменения в Правилах категорирования объектов КИИ повлияют на субъектов КИИ?

Ответ:

27 сентября 2024 г. вступили в силу изменения в Постановление Правительства № 127.

Основные изменения:

1️⃣Исключена процедура формирования перечня объектов КИИ из процесса категорирования объектов КИИ.
2️⃣Уменьшен перечень обязанностей комиссии по категорированию объектов КИИ.

Последствия изменений ранее субъекты КИИ имели один год на категорирование объектов КИИ с даты утверждения перечня объектов КИИ. Теперь разрабатывать и направлять перечень объектов на во ФСТЭК России не требуется.
Однако субъекты, которые не провели категорирование, лишились года, отводимого на подготовку сведений о результатах категорирования объектов КИИ.

Возможные риски субъект КИИ, который не направил формы сведений о результатах категорирования в ФСТЭК России, при проверке надзорным органом может быть сразу привлечен к административной ответственности (ч. 1 ст. 19.7.15 КоАП РФ).

Ознакомиться с полным текстом изменений можно по ссылке.

#КИИ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:

Как определить объекты КИИ?

Ответ:

Информационные системы (ИС), автоматизированные системы управления (АСУ) и информационно-телекоммуникационные сети (ИТКС) могут являться объектами КИИ, если:
🔸используются для обработки информации, необходимой для обеспечения критического процесса;
🔸используются для управления, контроля или мониторинга критических процессов;
🔸упомянуты перечне типовых отраслевых объектов КИИ, которые издаются регуляторами соответствующих сфер деятельности.

Недавно из Постановления Правительства № 127 (ПП РФ № 127) была исключена процедура согласования со ФСТЭК России перечней объектов КИИ. При этом остался неизменным порядок, при котором субъекту КИИ по результатам определения критических процессов необходимо отнести ИС, АСУ и ИТКС к объектам КИИ.

Стоит отметить, что в настоящий момент опубликованы перечни типовых отраслевых объектов КИИ по следующим сферам:
🔸здравоохранения;
🔸транспорта;
🔸энергетики;
🔸оборонной промышленности;
🔸горнодобывающей промышленности;
🔸металлургической промышленности;
🔸химической промышленности.

Указанные типовые перечни отраслевых объектов КИИ могут использоваться как ориентир – то на что компаниям следует обратить внимание при отнесении ИС, АСУ и ИТКС к объектам КИИ.

#КИИ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM