Чтобы определить, применимы ли требования законодательства по КИИ, следует проверить, ведет ли компания деятельность по крайней мере в одной из 14 сфер деятельности. Это можно сделать, используя ОКВЭДы, лицензии, устав компании.
Рассмотрим применимость к субъектам КИИ фармацевтической компании:
1. ОКВЭД:
➖20.30 Производство красок, лаков и аналогичных материалов…
➖21.20 Производство лекарственных препаратов…
➖72.19 Научные исследования и разработки
2. Лицензии:
➖Фармацевтическая деятельность
3. Устав компании:
➖производство, закупка и реализация лекарственных препаратов
➖услуги в области здравоохранения и в социальной области
▫️Компания функционирует в 3 сферах 187-ФЗ: здравоохранение, наука и химическая промышленность.
▫️Требуется проведение инвентаризации* процессов и систем компании для определения критических процессов и объектов КИИ
*Мероприятия по инвентаризации также рекомендуются и для компаний, чья принадлежность к субъектам КИИ является спорной
Подробнее в схеме⬇️
#КИИ
#ПолезноЗнать
Рассмотрим применимость к субъектам КИИ фармацевтической компании:
1. ОКВЭД:
➖20.30 Производство красок, лаков и аналогичных материалов…
➖21.20 Производство лекарственных препаратов…
➖72.19 Научные исследования и разработки
2. Лицензии:
➖Фармацевтическая деятельность
3. Устав компании:
➖производство, закупка и реализация лекарственных препаратов
➖услуги в области здравоохранения и в социальной области
▫️Компания функционирует в 3 сферах 187-ФЗ: здравоохранение, наука и химическая промышленность.
▫️Требуется проведение инвентаризации* процессов и систем компании для определения критических процессов и объектов КИИ
*Мероприятия по инвентаризации также рекомендуются и для компаний, чья принадлежность к субъектам КИИ является спорной
Подробнее в схеме⬇️
#КИИ
#ПолезноЗнать
Если организация относится к субъектам КИИ (см. Применимость законодательства КИИ), то ей необходимо начать процедуру категорирования объектов КИИ.
Организациям, функционирующим в сферах, указанных в ст. 2 187-ФЗ, следует создать постоянно действующую комиссию по категорированию объектов КИИ (Комиссия).
Согласно п. 11 Постановления Правительства № 127, в состав Комиссии должны входить:
· Руководитель или уполномоченное им лицо
· Специалисты в области основных видов деятельности
· Специалисты в области ИТ, связи
· Специалисты по ИБ
При наличии штатных должностей в состав Комиссии должны входить:
· Специалисты по эксплуатации тех. оборудования
· Специалисты по промбезопасности
· Специалисты по контролю за опасными веществами
· Специалисты по защите гостайны
· Специалисты по ГО и ЧС
Руководитель организации может включать в состав Комиссии иных работников, а также создавать отдельные Комиссии на уровне филиалов.
#КИИ
Организациям, функционирующим в сферах, указанных в ст. 2 187-ФЗ, следует создать постоянно действующую комиссию по категорированию объектов КИИ (Комиссия).
Согласно п. 11 Постановления Правительства № 127, в состав Комиссии должны входить:
· Руководитель или уполномоченное им лицо
· Специалисты в области основных видов деятельности
· Специалисты в области ИТ, связи
· Специалисты по ИБ
При наличии штатных должностей в состав Комиссии должны входить:
· Специалисты по эксплуатации тех. оборудования
· Специалисты по промбезопасности
· Специалисты по контролю за опасными веществами
· Специалисты по защите гостайны
· Специалисты по ГО и ЧС
Руководитель организации может включать в состав Комиссии иных работников, а также создавать отдельные Комиссии на уровне филиалов.
#КИИ
ФСТЭК России на мероприятии «Инфофорум 2024» представил результаты государственного контроля исполнения законодательства в области обеспечения безопасности критической информационной инфраструктуры (КИИ) – выявлено более 800 нарушений. В частности, ФСТЭК России отметил следующие нарушения субъектов КИИ в сфере транспорта:
• не предоставляется перечень объектов КИИ или такой перечень не корректен
• не рассматриваются как возможные объекты КИИ:
▫️светосигнальное оборудование аэропорта
▫️высокоавтоматизированные (автономные) транспортные средства
▫️системы по продаже транспортных билетов
• направляются недостоверные сведения об объектах КИИ
• занижаются категории значимости объектов КИИ
• не настроены антивирусы и не реализовано обновление антивирусных баз
• администрирование значимых объектов КИИ ведется без применения мер защиты информации
• не устраняются уязвимости в ПО
• недостаточный уровень обучения персонала процессам ИБ
• не совершенствуются системы безопасности значимых объектов КИИ
#КИИ
• не предоставляется перечень объектов КИИ или такой перечень не корректен
• не рассматриваются как возможные объекты КИИ:
▫️светосигнальное оборудование аэропорта
▫️высокоавтоматизированные (автономные) транспортные средства
▫️системы по продаже транспортных билетов
• направляются недостоверные сведения об объектах КИИ
• занижаются категории значимости объектов КИИ
• не настроены антивирусы и не реализовано обновление антивирусных баз
• администрирование значимых объектов КИИ ведется без применения мер защиты информации
• не устраняются уязвимости в ПО
• недостаточный уровень обучения персонала процессам ИБ
• не совершенствуются системы безопасности значимых объектов КИИ
#КИИ
Вопрос:
Какой порядок информирования об инцидентах ИБ определен для субъектов КИИ?
Ответ:
Согласно п. 1), ч. 2, ст. 9 187-ФЗ субъекты КИИ обязаны информировать ФСБ России (НКЦКИ) обо всех компьютерных инцидентах, произошедших на объектах КИИ. Порядок информирования определен приказом № 282 ФСБ России:
• Информирование должно проводиться с использованием инфраструктуры ГосСОПКА или, в случае отсутствия подключения субъекта КИИ к такой инфраструктуре, посредством почтовой, факсимильной или электронной связи
• Информация об инциденте, связанном с функционированием значимого объекта КИИ, должна направляться в срок не позднее 3 часов с момента обнаружения инцидента, а незначимых объектов КИИ – не позднее 24 часов
• В случае если субъект КИИ осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, информация об инциденте также должна направляться в ЦБ РФ в аналогичные сроки
#КИИ
Какой порядок информирования об инцидентах ИБ определен для субъектов КИИ?
Ответ:
Согласно п. 1), ч. 2, ст. 9 187-ФЗ субъекты КИИ обязаны информировать ФСБ России (НКЦКИ) обо всех компьютерных инцидентах, произошедших на объектах КИИ. Порядок информирования определен приказом № 282 ФСБ России:
• Информирование должно проводиться с использованием инфраструктуры ГосСОПКА или, в случае отсутствия подключения субъекта КИИ к такой инфраструктуре, посредством почтовой, факсимильной или электронной связи
• Информация об инциденте, связанном с функционированием значимого объекта КИИ, должна направляться в срок не позднее 3 часов с момента обнаружения инцидента, а незначимых объектов КИИ – не позднее 24 часов
• В случае если субъект КИИ осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, информация об инциденте также должна направляться в ЦБ РФ в аналогичные сроки
#КИИ
Дополнение к первому выпуску (часть 2)
Вступило в силу 01 апреля 2024 г.:
Национальный стандарт РФ ГОСТ Р 71206-2024
· для кого: компании, внедряющие процесс разработки безопасного программного обеспечения (РБПО)
· что делать: реализовать требования к мерам по РБПО при выполнении конструирования и комплексирования ПО, вводя дополнительные требования к безопасному компилятору
Национальный стандарт РФ ГОСТ Р 71207-2024
· для кого: компании, внедряющие РБПО
· что делать: реализовать требования к проведению статического анализа ПО, а также требования к статическим анализаторам и специалистам, участвующим в анализе
Национальный стандарт РФ ГОСТ Р 71252-2024
· для кого: компании, определившие риски при передаче данных в индустриальных системах
· что делать: рассмотреть возможность применения протокола защищенного обмена CRISP для индустриальных систем
Предварительный национальный стандарт РФ ПНСТ 905-2023
· для кого: объекты критической информационной инфраструктуры (КИИ)
· что делать: придерживаться единой терминологии, относящейся к доверенным программно-аппаратным комплексам, применимых на объектах КИИ
п. 2.4 Положения Банка России от 30.08.2023 № 808-П
· для кого: бюро кредитных историй
· что делать: использовать прикладное ПО автоматизированных систем и приложений, прошедших сертификацию ФСТЭК России, или оценку соответствия по требованиям к оценочному уровню доверия не ниже 4-ого уровня
Вступило в силу 06 апреля 2024 г.:
ФЗ от 06.04.2024 № 78-ФЗ об ужесточении наказания за нарушение требований к рекламе через email-рассылки, звонки и SMS
· для кого: компании, рекламирующие свои услуги; кредитные или микрофинансовые компании
· что делать: проверить выполнение требования к рекламе, исключив спам-звонки и рассылки
#ДеЮре
#ИБ
#КИИ
Вступило в силу 01 апреля 2024 г.:
Национальный стандарт РФ ГОСТ Р 71206-2024
· для кого: компании, внедряющие процесс разработки безопасного программного обеспечения (РБПО)
· что делать: реализовать требования к мерам по РБПО при выполнении конструирования и комплексирования ПО, вводя дополнительные требования к безопасному компилятору
Национальный стандарт РФ ГОСТ Р 71207-2024
· для кого: компании, внедряющие РБПО
· что делать: реализовать требования к проведению статического анализа ПО, а также требования к статическим анализаторам и специалистам, участвующим в анализе
Национальный стандарт РФ ГОСТ Р 71252-2024
· для кого: компании, определившие риски при передаче данных в индустриальных системах
· что делать: рассмотреть возможность применения протокола защищенного обмена CRISP для индустриальных систем
Предварительный национальный стандарт РФ ПНСТ 905-2023
· для кого: объекты критической информационной инфраструктуры (КИИ)
· что делать: придерживаться единой терминологии, относящейся к доверенным программно-аппаратным комплексам, применимых на объектах КИИ
п. 2.4 Положения Банка России от 30.08.2023 № 808-П
· для кого: бюро кредитных историй
· что делать: использовать прикладное ПО автоматизированных систем и приложений, прошедших сертификацию ФСТЭК России, или оценку соответствия по требованиям к оценочному уровню доверия не ниже 4-ого уровня
Вступило в силу 06 апреля 2024 г.:
ФЗ от 06.04.2024 № 78-ФЗ об ужесточении наказания за нарушение требований к рекламе через email-рассылки, звонки и SMS
· для кого: компании, рекламирующие свои услуги; кредитные или микрофинансовые компании
· что делать: проверить выполнение требования к рекламе, исключив спам-звонки и рассылки
#ДеЮре
#ИБ
#КИИ
Проверки соответствия требованиям по обеспечению безопасности значимых объектов КИИ проводит ФСТЭК России согласно Постановлению Правительства РФ № 162. Проверки бывают плановыми и внеплановыми.
Плановые проверки проводятся раз в 3 года со дня:
• внесения сведений об объектах КИИ в реестр значимых объектов КИИ;
• окончания последней плановой проверки в отношении значимых объектов КИИ.
Плановые проверки проводятся согласно ежегодному плану ФСТЭК России. О проверке субъекты КИИ уведомляется не менее чем за 3 рабочих дня.
Причинами внеплановой проверки могут быть:
• истечение срока выполнения выданного ФСТЭК России предписания об устранении нарушений требований ИБ;
• возникновение инцидента ИБ на значимом объекте КИИ, повлекшего негативные последствия, предусмотренные Постановлением Правительства РФ № 127;
• поручение Президента РФ или Правительства РФ или требование прокурора.
О проведении внеплановой проверки ФСТЭК России извещает субъекта КИИ не менее чем за 24 часа.
#КИИ
Плановые проверки проводятся раз в 3 года со дня:
• внесения сведений об объектах КИИ в реестр значимых объектов КИИ;
• окончания последней плановой проверки в отношении значимых объектов КИИ.
Плановые проверки проводятся согласно ежегодному плану ФСТЭК России. О проверке субъекты КИИ уведомляется не менее чем за 3 рабочих дня.
Причинами внеплановой проверки могут быть:
• истечение срока выполнения выданного ФСТЭК России предписания об устранении нарушений требований ИБ;
• возникновение инцидента ИБ на значимом объекте КИИ, повлекшего негативные последствия, предусмотренные Постановлением Правительства РФ № 127;
• поручение Президента РФ или Правительства РФ или требование прокурора.
О проведении внеплановой проверки ФСТЭК России извещает субъекта КИИ не менее чем за 24 часа.
#КИИ
Вопрос:
Каким образом субъекту КИИ правильно провести инвентаризацию процессов и систем?
Ответ:
После определения состава постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры (КИИ) компании, в соответствии с ч. а) п. 5 Постановления Правительства № 127, необходимо определить управленческие, технологические, производственные, финансово-экономические процессы.
Данную задачу мы предлагаем провести в форме инвентаризации процессов и систем компании, включающей в себя три этапа:
1. Подготовка.
2. Сбор информации.
3. Анализ собранной информации.
Этап подготовки включает в себя:
• Определение работников, ответственных за проведение инвентаризации.
• Составление плана инвентаризации, включающего в себя состав мероприятий, ответственных за их реализацию и сроки выполнения мероприятий.
• Определение основных бизнес процессов и направлений деятельности компании.
• Анализ организационной структуры компании и формирование плана интервью.
• Изучение документов (инструкции, процедуры и др.), описывающих порядок реализации процессов подразделений компании.
Этап сбора информации включает в себя:
• Проведение интервью с руководителями подразделений компании в целях установления направления их деятельности и получения сведений об используемых системах.
• Выявление бизнес-процессов компании (рекомендуется составлять схемы бизнес-процессов).
• Определение систем, используемых в рамках бизнес-процессов.
• Выявление третьих лиц, участвующих в работе бизнес-процессов и систем.
Этап анализа собранной информации включает в себя:
• Систематизацию собранной информации.
• Подготовку реестра бизнес-процессов компании.
В состав реестра рекомендуется также включать:
• наименование систем, функционирующих в рамках бизнес-процессов;
• сведения о третьих лицах, участвующих в бизнес-процессах.
Проведение инвентаризации позволяет получить более подробную картину бизнес-процессов компании и упростить реализацию последующих этапов категорирования.
#КИИ
Каким образом субъекту КИИ правильно провести инвентаризацию процессов и систем?
Ответ:
После определения состава постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры (КИИ) компании, в соответствии с ч. а) п. 5 Постановления Правительства № 127, необходимо определить управленческие, технологические, производственные, финансово-экономические процессы.
Данную задачу мы предлагаем провести в форме инвентаризации процессов и систем компании, включающей в себя три этапа:
1. Подготовка.
2. Сбор информации.
3. Анализ собранной информации.
Этап подготовки включает в себя:
• Определение работников, ответственных за проведение инвентаризации.
• Составление плана инвентаризации, включающего в себя состав мероприятий, ответственных за их реализацию и сроки выполнения мероприятий.
• Определение основных бизнес процессов и направлений деятельности компании.
• Анализ организационной структуры компании и формирование плана интервью.
• Изучение документов (инструкции, процедуры и др.), описывающих порядок реализации процессов подразделений компании.
Этап сбора информации включает в себя:
• Проведение интервью с руководителями подразделений компании в целях установления направления их деятельности и получения сведений об используемых системах.
• Выявление бизнес-процессов компании (рекомендуется составлять схемы бизнес-процессов).
• Определение систем, используемых в рамках бизнес-процессов.
• Выявление третьих лиц, участвующих в работе бизнес-процессов и систем.
Этап анализа собранной информации включает в себя:
• Систематизацию собранной информации.
• Подготовку реестра бизнес-процессов компании.
В состав реестра рекомендуется также включать:
• наименование систем, функционирующих в рамках бизнес-процессов;
• сведения о третьих лицах, участвующих в бизнес-процессах.
Проведение инвентаризации позволяет получить более подробную картину бизнес-процессов компании и упростить реализацию последующих этапов категорирования.
#КИИ
Вопрос:
Как правильно оценить критичность процессов в рамках категорирования объектов КИИ?
Ответ:
По результатам инвентаризации процессов Компании необходимо провести оценку их критичности в соответствии с критериями, приведенными в Постановлении Правительства № 127. Другими словами, из всех процессов Компании надо выделить процессы, нарушение и (или) прекращение которых может привести к негативным:
🔸 социальным последствиям;
🔸 политическим последствиям;
🔸 экономическим последствиям;
🔸 экологическим последствиям;
🔸 последствиям для обеспечения обороны страны, безопасности государства и правопорядка.
Процесс может быть отнесен к критичным, если существует вероятность наступления негативных последствий в соответствии с критериями значимости в следующих областях: социальная, политическая, экономическая, экологическая значимость для обеспечения обороны страны, безопасности государства и правопорядка.
При этом особое внимание стоит уделять процессам, которые реализуют основные виды деятельности Компании. Такие виды деятельности можно определить по результатам анализа ОКВЭД и Устава компании.
В целях фиксации результатов выявления критических процессов, постоянно действующей комиссии по категорированию объектов КИИ следует составить документ, включающий в себя перечень критических процессов Компании с указанием актуальности показателей критериев значимости.
#КИИ
#ОтвечаетKept
Как правильно оценить критичность процессов в рамках категорирования объектов КИИ?
Ответ:
По результатам инвентаризации процессов Компании необходимо провести оценку их критичности в соответствии с критериями, приведенными в Постановлении Правительства № 127. Другими словами, из всех процессов Компании надо выделить процессы, нарушение и (или) прекращение которых может привести к негативным:
Процесс может быть отнесен к критичным, если существует вероятность наступления негативных последствий в соответствии с критериями значимости в следующих областях: социальная, политическая, экономическая, экологическая значимость для обеспечения обороны страны, безопасности государства и правопорядка.
При этом особое внимание стоит уделять процессам, которые реализуют основные виды деятельности Компании. Такие виды деятельности можно определить по результатам анализа ОКВЭД и Устава компании.
В целях фиксации результатов выявления критических процессов, постоянно действующей комиссии по категорированию объектов КИИ следует составить документ, включающий в себя перечень критических процессов Компании с указанием актуальности показателей критериев значимости.
#КИИ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:
Как изменения в Правилах категорирования объектов КИИ повлияют на субъектов КИИ?
Ответ:
27 сентября 2024 г. вступили в силу изменения в Постановление Правительства № 127.
Основные изменения:
1️⃣ Исключена процедура формирования перечня объектов КИИ из процесса категорирования объектов КИИ.
2️⃣ Уменьшен перечень обязанностей комиссии по категорированию объектов КИИ.
Последствия изменений – ранее субъекты КИИ имели один год на категорирование объектов КИИ с даты утверждения перечня объектов КИИ. Теперь разрабатывать и направлять перечень объектов на во ФСТЭК России не требуется.
Однако субъекты, которые не провели категорирование, лишились года, отводимого на подготовку сведений о результатах категорирования объектов КИИ.
Возможные риски – субъект КИИ, который не направил формы сведений о результатах категорирования в ФСТЭК России, при проверке надзорным органом может быть сразу привлечен к административной ответственности (ч. 1 ст. 19.7.15 КоАП РФ).
Ознакомиться с полным текстом изменений можно по ссылке.
#КИИ
#ОтвечаетKept
Как изменения в Правилах категорирования объектов КИИ повлияют на субъектов КИИ?
Ответ:
27 сентября 2024 г. вступили в силу изменения в Постановление Правительства № 127.
Основные изменения:
Последствия изменений – ранее субъекты КИИ имели один год на категорирование объектов КИИ с даты утверждения перечня объектов КИИ. Теперь разрабатывать и направлять перечень объектов на во ФСТЭК России не требуется.
Однако субъекты, которые не провели категорирование, лишились года, отводимого на подготовку сведений о результатах категорирования объектов КИИ.
Возможные риски – субъект КИИ, который не направил формы сведений о результатах категорирования в ФСТЭК России, при проверке надзорным органом может быть сразу привлечен к административной ответственности (ч. 1 ст. 19.7.15 КоАП РФ).
Ознакомиться с полным текстом изменений можно по ссылке.
#КИИ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:
Как определить объекты КИИ?
Ответ:
Информационные системы (ИС), автоматизированные системы управления (АСУ) и информационно-телекоммуникационные сети (ИТКС) могут являться объектами КИИ, если:
🔸 используются для обработки информации, необходимой для обеспечения критического процесса;
🔸 используются для управления, контроля или мониторинга критических процессов;
🔸 упомянуты перечне типовых отраслевых объектов КИИ, которые издаются регуляторами соответствующих сфер деятельности.
Недавно из Постановления Правительства № 127 (ПП РФ № 127) была исключена процедура согласования со ФСТЭК России перечней объектов КИИ. При этом остался неизменным порядок, при котором субъекту КИИ по результатам определения критических процессов необходимо отнести ИС, АСУ и ИТКС к объектам КИИ.
Стоит отметить, что в настоящий момент опубликованы перечни типовых отраслевых объектов КИИ по следующим сферам:
🔸 здравоохранения;
🔸 транспорта;
🔸 энергетики;
🔸 оборонной промышленности;
🔸 горнодобывающей промышленности;
🔸 металлургической промышленности;
🔸 химической промышленности.
Указанные типовые перечни отраслевых объектов КИИ могут использоваться как ориентир – то на что компаниям следует обратить внимание при отнесении ИС, АСУ и ИТКС к объектам КИИ.
#КИИ
#ОтвечаетKept
Как определить объекты КИИ?
Ответ:
Информационные системы (ИС), автоматизированные системы управления (АСУ) и информационно-телекоммуникационные сети (ИТКС) могут являться объектами КИИ, если:
Недавно из Постановления Правительства № 127 (ПП РФ № 127) была исключена процедура согласования со ФСТЭК России перечней объектов КИИ. При этом остался неизменным порядок, при котором субъекту КИИ по результатам определения критических процессов необходимо отнести ИС, АСУ и ИТКС к объектам КИИ.
Стоит отметить, что в настоящий момент опубликованы перечни типовых отраслевых объектов КИИ по следующим сферам:
Указанные типовые перечни отраслевых объектов КИИ могут использоваться как ориентир – то на что компаниям следует обратить внимание при отнесении ИС, АСУ и ИТКС к объектам КИИ.
#КИИ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM