Безопасность КИИ и 187-ФЗ

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Безопасность КИИ и 187-ФЗ». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

В соответствии со статьей 7 Федерального закона от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127, субъекты критической информационной инфраструктуры осуществляют категорирование объектов критической информационной инфраструктуры Российской Федерации, в ходе которого формируют и направляют в ФСТЭК России перечни объектов критической информационной инфраструктуры, подлежащих категорированию.

Постановление №1478 утверждает:

• требования к программному обеспечению (в т.ч. в составе программно-аппаратных комплексов), используемому на значимых объектах критической информационной инфраструктуры (КИИ) Российской Федерации;
• правила согласования закупок иностранного программного обеспечения (в т.ч. в составе программно-аппаратных комплексов) на значимых объектах критической информационной инфраструктуры (КИИ) Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах;
• правила перехода на преимущественное использование российского программного обеспечения на значимых объектах критической информационной инфраструктуры (КИИ) Российской Федерации.

В соответствии с положениями данного Постановления Минцифры России:

1. Будет осуществлять контроль за соблюдением Правил согласования закупок иностранного программного обеспечения, а также закупок услуг, необходимых для использования этого программного обеспечения на значимых объектах КИИ, утвержденных настоящим постановлением, и за соблюдением запрета на использование иностранного программного обеспечения, также для реализации своих полномочий имеет право привлекать экспертную организацию в порядке, предусмотренном законодательством РФ.
2. В 2-месячный срок со дня вступления в силу постановления (до 26.10.2022) по согласованию с ФСБ России и ФСТЭК России утвердит методические рекомендации по переходу на использование российского ПО, в том числе на значимых объектах критической информационной инфраструктуры РФ.

Какие сферы могут относиться к КИИ

Многие связывают понятие критической информационной инфраструктуры только с оборонной и другими стратегически важными отраслями. На самом деле определяемая законодательством сфера КИИ существенно шире. ФЗ №187 относит к субъектам критической информационной инфраструктуре следующие учреждения:

• больницы, поликлиники, диспансеры, учреждения скорой медицинской помощи;
• НИИ, институты ядерной физики, медицинские университеты, ведущие научную деятельность учреждения;
• вокзалы, аэропорты; метро, организации городского общественного транспорта;
• банки и кредитные организации, страховые компании;
• операторы связи и интернет-провайдеры;
• предприятия химической, горнодобывающей и металлургической промышленности;
• представители топливно-энергетического комплекса, работающие с нефтью, газом, углем, ураном;
• атомные электростанции, разработка и производство атомной энергии;
• космическое приборостроение, производство ракетных двигателей;
• производство оборонной продукции.

1. Мораторий на проверки малого и среднего бизнеса продлили на 2023 год. Но мера не распространяется на предприятия из групп высокого и чрезвычайно высокого риска.
2. Бизнес освободили от плановых контрольных мероприятий. Внеплановые проверки будут проводить по жалобам клиентов или сотрудников.
3. Мораторий не распространяется на меры постоянного государственного контроля.
4. Налоговая служба продолжит камеральный и выездной контроль. До 03.03.2025 г. от проверок освободили только ИТ-компании.
5. Ведомства продолжат проводить профилактические визиты, по результатам которых бизнес не штрафуют за нарушения. Однако, оставляют предписания и обязывают устранить недочёты.

ПРАКТИЧЕСКИЕ ПРИМЕРЫ ПО КОНКРЕТНЫМ ОТРАСЛЯМ И ОРГАНИЗАЦИЯМ

Изучив НПА и алгоритм категорирования объектов КИИ (см. выше) можно непосредственно приступить к практике. Здесь хотелось бы дать ряд советов и показать практические кейсы для организаций финансовой и банковской сферы.

• Системно значимые кредитные организации (см. перечень ЦБ РФ, это 11 организаций);
• Финансовые организации с участием государства;
• Системно значимые инфраструктурные организации финансового рынка (например, депозитарии);
• Операторы услуг платежной инфраструктуры системно и (или) социально значимых ПС.

Это говорит о том, что не каждый банк или финансовая структура вообще подпадает под законодательство о КИИ. Надо помнить, что категорируем мы не субъект, а объект КИИ, для каждого объекта КИИ будет присвоена своя категория, оценку последствий инцидента надо делать для каждого объекта.

Формирование комиссии:

На начальном этапе нужно сформировать комиссию. Подробнее об этом можно прочитать по ссылке: Этап 1. Создание комиссии по категорированию объектов КИИ (там же и образец «Приказа о создании комиссии по категорированию КИИ»).

Определение процессов:

Затем необходимо определиться с процессами, которые есть в организации, составить их полный перечень. На этом этапе нам не обойтись без помощи специалистов и руководителей различных подразделений. Рассмотрим, как действовать, на примере банка. Как правило, основные виды деятельности организации уже задокументированы, специалисту ИБ надо внимательно изучить учредительные и др. документы (лицензии, сертификаты), для банков опираемся на Федеральный закон от 02.12.1990 N 395-1 «О банках и банковской деятельности» и нормативные документы Центрального Банка РФ.

Виды деятельности банка по Код ОКВЭД 64: «Деятельность по предоставлению финансовых услуг, кроме услуг по страхованию и пенсионному обеспечению». Затем, исходя из видов деятельности, необходимо прописать бизнес-процессы в финансовой организации. Есть различные классификации бизнес-процессов в банковской сфере (в конкретном банке они, как правило, уже задокументированы).

Рассмотрим типовой пример (источник):

Основные бизнес-процессы банка:

• Создание продукта (услуги), представляющего ценность для внешнего клиента.
• Получение добавленной стоимости.
• Получение прибыли, как цель коммерческой деятельности.

Обеспечивающие бизнес-процессы банка:

• Процессы, клиентами которых являются основные процессы.
• Процессы, которые создают и поддерживают инфраструктуру банка.

Управляющие бизнес-процессы банка:

• Процессы, основной целью которых является управление деятельностью банка.
• Процессы, которые обеспечивают развитие банка и регулируют его текущую деятельность.

Проверки объектов КИИ

Законом установлен государственный контроль объектов КИИ. Контроль осуществляется уполномоченным федеральным органом исполнительной власти путем плановых и внеплановых проверок субъектов критической информационной инфраструктуры. При контроле проверяется соблюдение установленных законом требований и принятыми в соответствии с ним подзаконными нормативно-правовыми актами.

Плановые проверки проводятся по истечении трех лет с момента:

1. Внесения сведений об объекте критической информационной инфраструктуры в реестр значимых объектов критической информационной инфраструктуры;
2. Окончания осуществления последней плановой проверки в отношении значимого объекта критической информационной инфраструктуры.

Внеплановые проверки проводятся в случае:

1. Истечения срока выполнения субъектом критической информационной инфраструктуры выданного уполномоченным федеральным органом исполнительной власти предписания об устранении выявленного нарушения требований по обеспечению безопасности КИИ;
2. Возникновения компьютерного инцидента, повлекшего негативные последствия, на КИИ;
3. Выхода приказа (распоряжения) руководителя уполномоченного федерального органа исполнительной власти.

По результатам плановой или внеплановой проверки уполномоченный федеральный орган исполнительной власти утверждает акт о проверке и выдает предписание об устранении выявленных нарушений с указанием сроков их устранения.

Пример категорирования объекта КИИ

Рассмотрим пример категорирования в области здравоохранения эта сфера входит в перечень субъектов критической инфраструктуры.

Этапы выявления объекта:

1. Необходимо выявить информационные системы и ресурсы в сфере здравоохранения;
2. При выявлении инфраструктуры уточняем у Организации здравоохранения взаимодействия между сторонними ИСиР;
3. В случае наличия инфраструктуры Организации, которая используется в здравоохранении для информационного обмена сторонними ИСиР, делается запрос владельцам данных систем об их отнесении к критическим;
4. Организация далее рассматривает свою инфраструктуру (или ее часть, непосредственно задействованную в обеспечении взаимодействия систем) в качестве объекта критической информационной инфраструктуры;
5. Выносится заключение Рабочей группы о наличии оснований для отнесения ИСиР здравоохранения к критической информационной инфраструктуры и рекомендаций по включению их в Перечень объектов с последующим установлением одной из категорий значимости.

С середины 2021 года проверять бизнес будут по-новому

Основные типы компьютерных инцидентов, которые могут привести к внеплановой проверке:

• с вашей информационной инфраструктуры произошла компьютерная атака на орган власти или бюджетное учреждение;
• в результате компьютерного инцидента компания обратилась в МВД или ФСБ, и они в ходе расследования выявили, что компьютерная атака шла с вашей информационной инфраструктуры;
• от лица вашей компании произошла рассылка электронных писем, сообщений в мессенджерах, соцсетях с вредоносным ПО или ссылками на фишинговые сайты.

Во всех перечисленных случаях можно ожидать проверки со стороны ФСБ.

Последствия такой проверки будут следующие:

1. выдача предписания. На исполнение обычно дается 30 дней;
2. штраф по статье 13.12 КоАП;
3. уголовное дело по статье 274 УК РФ в случае, если есть подозрение, что ваша организация могла знать об атаке или своими действиями или бездействием способствовала ее совершению.

Под данный тип компьютерных инцидентов может попасть как любая организация любой формы собственности, так и обычный гражданин.

В любом случае, каким бы не было основание для проведения внеплановой проверки, она не несет спокойствия и нарушает режим работы организации, не говоря уже о возможных штрафах, приостановлении деятельности организации или привлечения руководителя и других сотрудников к уголовной ответственности.

Выполнение требований законодательства по защите информации и следование лучшим практикам обеспечения информационной безопасности позволит организациям значительно снизить вероятность возникновения компьютерных инцидентов, а значит и негативных последствий для бизнеса.

Во время работ по лицензированию организации сталкиваются с тремя основными сложностями:

1. Оборудование. Для выполнения работ и оказания услуг по аттестации защищаемых помещений и автоматизированных систем необходимо закупить (иметь в собственности или на любом ином законном основании) оборудование. Стоимость комплекта варьируется, но составляет около миллиона рублей. И если начать работы по лицензированию с покупки оборудования, то к моменту подачи заявления может оказаться так, что его придется заново поверять (сертификаты о поверке действительны один год). Можно попытаться сэкономить и взять оборудование в аренду, но она должна быть специальным образом оформлена. Требуется периодически подтверждать владение оборудованием, заключать дополнительные соглашения к договорам аренды о том, что оборудование находится именно у арендатора. Минус варианта с арендой в том, что он снижает шансы на получение лицензии — велика вероятность оформить отношения неверно и получить отказ.
2. Аренда помещений. Если соискатель лицензии арендует помещение у субарендатора, то необходимо представлять всю цепочку документов вплоть до владельца помещения. Также необходимо следить за тем, чтобы фактические номера помещений совпадали с кадастровыми, чтобы помещения однозначно идентифицировались исходя из одних лишь документов.
3. Кадровая документация. У сотрудников должны быть дипломы о высшем профессиональном образовании в области технической защиты информации и стаж более трех лет либо диплом о высшем образовании с курсов переподготовки / о высшем техническом образовании и стаж более пяти лет. Сотрудников должно быть не менее трех, и они должны быть трудоустроены у соискателя по основному месту работы.

Для того чтобы получить лицензию, а затем успешно проходить в случае необходимости плановые проверки ФСТЭК на соблюдение требований, предлагаем учесть ряд моментов:

1. Оборудование (если оно необходимо для выбранного вами вида деятельности) лучше покупать, а не брать в аренду.
2. Постоянно следить за изменениями в законодательной базе и поддерживать документацию в актуальном состоянии, в том числе периодически обновлять и докупать ГОСТы (информация об этом не является тайной, официальный сайт ФСТЭК России открыт для всех).
3. Своевременно обновлять антивирусное ПО и лицензии на контрольно-измерительное программное обеспечение и оборудование.
4. Вовремя проводить переаттестацию помещений и автоматизированных систем, поскольку аттестаты действительны максимум три года.

Все материалы сайта Министерства внутренних дел Российской Федерации могут быть воспроизведены в любых средствах массовой информации, на серверах сети Интернет или на любых иных носителях без каких-либо ограничений по объему и срокам публикации.

Это разрешение в равной степени распространяется на газеты, журналы, радиостанции, телеканалы, сайты и страницы сети Интернет. Единственным условием перепечатки и ретрансляции является ссылка на первоисточник.

Никакого предварительного согласия на перепечатку со стороны Министерства внутренних дел Российской Федерации не требуется.

ТО Киров план план проведения плановых проверок юридических лиц и индивидуальных предпринимателей на 2021 год

ТО Киров план проверок ОМС 2021 год

ТО РМЭ план план проведения плановых проверок юридических лиц и индивидуальных предпринимателей на 2021 год

В июле 2018 года Федеральная служба по техническому и экспортному контролю (далее — ФСТЭК России) представила приказ №131 об утверждении «Требований по безопасности информации, устанавливающих уровни доверия (далее — УД) к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий». В соответствии с новым перечнем требований для средств защиты информации (далее — СЗИ) устанавливаются УД, характеризующие безопасность их применения для обработки и защиты информации, содержащей государственную тайну, конфиденциальные сведения или данные ограниченного доступа. По новым правилам в отношении СЗИ всех уровней доверия должны проводиться исследования по выявлению уязвимостей и недекларированных возможностей (далее — НДВ) в соответствии с методикой, разработанной в дополнение к приказу №131 и утвержденной ФСТЭК России в феврале 2019 года.

Рекомендации по применению приказа №131 касаются только тех разработчиков, кто специализируется на программных решениях для защиты инфраструктур и систем, содержащих информацию, доступ к которой должен быть ограничен или защищен. Однако любое программное обеспечение (далее — ПО), разрабатываемое и используемое в системах, где хранятся и обрабатываются данные, имеет встроенные программные алгоритмы для защиты информации (например, проверки полномочий доступа к данным или к системе в целом), которые также могут нуждаться в проверке на безопасность.

Основной причиной инцидентов в области ИБ чаще всего становятся ошибки кодирования, приводящие к уязвимостям программ и систем. В связи с этим для предотвращения нарастающих угроз в информационной сфере всем разработчикам программных продуктов рекомендуется принимать меры по выпуску защищенного ПО и придерживаться требований ГОСТ и приказов ФСТЭК России, касающихся безопасной разработки кода.

Рассмотрим варианты реализации требований к проведению исследований, направленных на выявление уязвимостей и НДВ в программном обеспечении, и, в частности, требование об отсутствии в оцениваемом объекте уязвимостей кода.

В соответствии с ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного ПО. Общие требования» можно обеспечить реализацию и проведение мер по разработке безопасного программного обеспечения непосредственно в процессах его жизненного цикла. Целесообразно проводить исследования по выявлению уязвимостей и НДВ:

• при выполнении проектирования и разработки ПО (этап разработки);
• при выполнении квалификационного тестирования ПО (этап тестирования);
• при выполнении инсталляции программы и поддержки приемки ПО (этап реализации и эксплуатации).

Одним из способов упростить и автоматизировать проведение таких исследований является применение СЗИ для анализа кода. Необходимо отметить важность проверки программного кода, содержащегося в транспортных запросах, при переносе данных по ландшафту системы от этапа к этапу. В таком варианте исследований применение СЗИ позволит снизить процент небезопасных конструкций в коде к моменту эксплуатации программного обеспечения, провести работы по выявлению уязвимостей и НДВ без выгрузки и передачи исходного кода на исследования третьей стороне. При этом средства защиты информации могут быть интегрированы в систему разработки.

Схема использования СЗИ для анализа кода в процессах жизненного цикла ПО представлена на рисунке 1.

Ежегодный план инспекционного контроля аккредитованных ФСТЭК России

• Арбитражный процессуальный кодекс РФ

• Бюджетный кодекс РФ

• Водный кодекс Российской Федерации РФ

• Воздушный кодекс Российской Федерации РФ

• Градостроительный кодекс Российской Федерации РФ

• ГК РФ

• Гражданский кодекс часть 1

• Гражданский кодекс часть 2

• Гражданский кодекс часть 3

• Гражданский кодекс часть 4

• Гражданский процессуальный кодекс Российской Федерации РФ

• Жилищный кодекс Российской Федерации РФ

• Земельный кодекс РФ

• Кодекс административного судопроизводства РФ

• Кодекс внутреннего водного транспорта Российской Федерации РФ

• Кодекс об административных правонарушениях РФ

• Кодекс торгового мореплавания Российской Федерации РФ

• Лесной кодекс Российской Федерации РФ

• НК РФ

• Налоговый кодекс часть 1

• Налоговый кодекс часть 2

• Семейный кодекс Российской Федерации РФ

• Таможенный кодекс Таможенного союза РФ

• Трудовой кодекс РФ

• Уголовно-исполнительный кодекс Российской Федерации РФ

• Уголовно-процессуальный кодекс Российской Федерации РФ

• Уголовный кодекс РФ

Обеспечение безопасности КИИ. Что год текущий нам готовит…

Роскомнадзор осуществляет следующие формы проверок:

• Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
• Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
• Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
• Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
2. Проверка соответствия деятельности информации, прописанной в едином реестре.
3. Назначение лица, ответственного за работу с ПД.
4. Составление Политики фирмы в отношении обработки ПД.
5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
6. Проверка правильности хранения документов, ограниченности доступа к ним.
7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.

Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.

Во время проверки:

1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
3. Не паникуйте;
4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Что включает в себя план организации службы безопасности для значимых объектов?

Прошло уже более 2 лет с момента вступления в силу Федерально­го закона № 187­-ФЗ. Периодиче­ски я встречаюсь с представите­лями компаний — владельцев значимых объектов КИИ по всей стране. И по­прежнему вижу, что лишь немногие из них имеют четкое представление о том, для чего проводится категорирование и ка­кие шаги следует предпринять после него. Чаще всего меня спрашивают: сколько будет стоить «сделать КИИ» под ключ? Мы даем оценку, разъясняя при этом, что можно реа­лизовать «бумажную» безопасность, но луч­ше воспользоваться шансом и выполнить работу, которую стоило сделать уже давно. Например, ФСТЭК России своим Приказом № 31 от 14 марта 2014 г. уже предписал про­вести эти работы, но они воспринимались не как обязательные, а скорее как рекомен­дательные. Тем, кто в свое время реализо­вал требования Приказа, осталось сделать лишь «косметическое» редактирование, до­полнить организационно-­распорядитель­ную документацию (ОРД) и назначить лиц, ответственных за безопасность значимых объектов.

Часто меня спрашивают: сколько будет стоить «сделать КИИ» под ключ? Мы даем оценку, но разъясняем при этом, что можно, конечно, реализовать «бумажную» безопасность, но лучше воспользоваться шансом и выполнить работу, которую стоило сделать уже давно.

В статье мы даем свое видение — как выполнить рекомендации закона № 187-ФЗ.

Работы по категорированию можно разде­лить на 2 части: собственно присвоение катего­рии и создание системы безопасности значимых объектов КИИ. Отметим, что хотя эта система создается в первую очередь для защиты значи­мых объектов (то есть имеющих категорию), об остальных активах забывать не стоит. Напри­мер, если у субъекта есть АСУ ТП, не имеющая категории, но подпадающая под определение «критически важный объект» из Приказа № 31 ФСТЭК, она тоже подлежит защите.

Если с первой частью все более­-менее по­нятно, то создание системы безопасности вы­зывает недоумение у многих субъектов. Ниже мы разберемся, как ее построить: уточним важные моменты, связанные с реализацией мер защиты, и укажем, на что стоит обратить особое внимание.

Система безопасности должна включать 3 блока: силы (под этим термином регулятор имеет в виду людей, далее по статье для упрощения понимания мы будем обозначать их именно так), организационно-­распорядитель­ную документацию и средства защиты инфор­мации (СЗИ).

Система безопасности должна включать 3 блока: силы (регулятор имеет в виду людей), организационно-распорядительную документацию и средства защиты.

Где посмотреть планы проверок на 2022 год по ИНН

Традиционно прокуратуры регионов в конце календарного года утверждают сводные планы проверок региональных контролирующих органов на следующий год.

Информация о провеках регионального госнадзора и муниципального контроля появится здесь в конце декабря года. О проверках федерального государственного надзора информация (по отдельным регионам) размещена только на сайте генеральной прокуратуры РФ.

Также надо иметь в виду, что прокуратуры регионов, призванные в силу статьи 1 «О прокуратуре РФ» надзирать за точным и единообразным соблюдением законодательства, сами зачастую нарушают требования этого же законодательства размещая на своих сайтах вместо сводных планов проверок (т.е. — единого документа, как это требует статья 9 Закона № 294-ФЗ), лишь планы проверок каждого органа контроля и надзора, запланировавшего проведение проверок в следующем календарном году в регионе. Иначе никак не объяснить тот факт, что большинство региональных прокуратур размещают на своих сайтах именно сводные планы проверок (в виде единого документа).

Похожие записи:

• Как получить звание ветерана труда в ханты-мансийском автономном округе (ХМАО в 2024 году
• Единое пособие для семей с детьми 2023: что разъяснить работникам
• Можно ли ездить по тротуару для выгрузки?