Наша работа - Ваша уверенность

Законодательные изменения в отношении объектов КИИ

Законодательные изменения в отношении объектов КИИ

Давно в нашем блоге не было статей на тему изменений в законодательстве, регулирующем защиту объектов критической информационной инфраструктуры. При этом сфера постоянно нуждается в пристальном внимании со стороны регуляторов, и, к сожалению, находится под постоянным прицелом со стороны злоумышленников.

Напомним, что нормы и требования к безопасности КИИ прописаны в Федеральном Законе № 187-ФЗ. В этой статье мы собрали краткий обзор на уже действующие и планируемые к внесению изменения в закон.

Стремление к независимости от заграничных разработок

Один из самых ожидаемых законопроектов, вносящих изменение в 187-ФЗ – № 581689-8.

Документ направлен на обеспечение технологической независимости и безопасности КИИ РФ в условиях санкций и возможных рисков нарушения работоспособности объектов из-за санкций.

Основные изменения касаются расширения полномочий Правительства РФ в части установления требований к:

    • программному обеспечению;
    • программно-аппаратным комплексам;
    • радиоэлектронному и телекоммуникационному оборудованию в ЗОКИИ;
    • сроков и порядка перехода на использование российского ПО и отечественной аппаратуры.

 
После вступления в силу изменений будет утверждён порядок мониторинга перехода субъектов КИИ на отечественные продукты, а также могут появиться новые требования к ПО, применяемому на значимых объектах КИИ. Требования, сроки и порядок перехода на российское ПО и отечественную аппаратуру для субъектов, работающих в банковской сфере и других секторах финансового рынка, должны быть согласованы с Центральным банком РФ.

Дополнительные изменения вносятся в статью 7 187-ФЗ, где предлагается дополнить порядок категорирования объектов КИИ методическими указаниями, регламентирующими отраслевые особенности.

Также законопроект предусматривает разработку и утверждение перечней типовых отраслевых объектов КИИ государственными органами и юридическими лицами, законодательное закрепление процесса мониторинга представления субъектами КИИ актуальных и достоверных сведений об имеющихся у них объектах КИИ. Напомним, что уже разработано несколько перечней типовых объектов КИИ.

Документ до сих пор не прошел этап «Принятие ответственным комитетом решения о представлении законопроекта в Совет Государственной Думы», дата не определена.

Теперь состояние технической защиты ЗОКИИ можно оценить

В мае этого года ФСТЭК России утвердила документ «Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры РФ». Методикой определяется показатель, характеризующий текущее состояние технической защиты информации, не составляющей государственную тайну и обеспечения безопасности ЗОКИИ, его нормированное значение и порядок расчета. Также методику можно применять для оценки защиты информации в органах власти всех уровней и организаций (в т.ч. субъектах КИИ) и соответствие минимальному необходимому уровню защищенности от типовых актуальных угроз. Применять данную методику будет сама ФСТЭК России для мониторинга, а также органы власти и организации для самостоятельной оценки текущего состояния. В документе представлен полный расчет для оценки показателя защищенности. Проводить эту оценку необходимо каждые 6 месяцев.

Внедрение отечественных продуктов в КИИ

В 2023 году регламентирован переход субъектов КИИ на доверенные ПАК Постановлением Правительства РФ от 14.11.2023 № 1912. Документ, помимо общих правил перехода, определяет, что федеральными органами исполнительной власти и российскими юридическими лицами, ответственными за организацию перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов в соответствующих сферах (областях) деятельности, являются:

    • Министерство здравоохранения Российской Федерации — в сфере здравоохранения;
    • Министерство науки и высшего образования Российской Федерации — в сфере науки;
    • Министерство транспорта Российской Федерации — в сфере транспорта;
    • Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации — в сфере связи;
    • Министерство энергетики Российской Федерации — в сферах энергетики и топливно-энергетического комплекса;
    • Министерство промышленности и торговли Российской Федерации — в области оборонной, горнодобывающей, металлургической и химической промышленности;
    • Министерство финансов Российской Федерации — в банковской сфере и иных сферах финансового рынка;
    • Федеральная служба государственной регистрации, кадастра и картографии — в сфере государственной регистрации прав на недвижимое имущество и сделок с ним.

 
До 1 сентября 2024 года уполномоченные органы должны определить должностное лицо в должности не ниже заместителя руководителя и утвердить планы организации перехода субъектов критической информационной инфраструктуры.
Переход субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов осуществляется до 1 января 2030 года. 

Не остается в стороне от импортозамещения банковская сфера. В мае этого года Центробанк выпустил указания, регламентирующие порядок осуществления контроля перехода на отечественные ПАК, ПО и оборудование объектов КИИ кредитных и некредитных организаций. Указанные организации должны направлять сведения о реализации мероприятий по запросу ЦБ РФ в течении 10 рабочих дней.

Установка и использование технических средств противодействия угрозам

Роскомнадзор выпустил приказ от 19 февраля 2024 г. № 25, утверждающий технические условия установки технических средств противодействия угрозам, а также требования к сетям связи при использовании технических средств противодействия угрозам. 

Технические условия включают в себя:

    • Соблюдение значений климатических воздействий в соответствии с эксплуатационной документацией к техническим средствам противодействия угрозам.
    • Обеспечение бесперебойного электропитания технических средств противодействия угрозам, в том числе при аварийном отключении сетевого источника электропитания или другого основного источника электропитания в течение не менее 4 часов.
    • Обеспечение доступа сотрудников специально уполномоченной службы к техническим средствам противодействия угрозам в целях технического обслуживания.
    • Обеспечение защиты от несанкционированного доступа к техническим средствам противодействия угрозам, а также размещение технических средств противодействия угрозам в телекоммуникационных шкафах, снабжённых запирающими устройствами.

 
Требования к сетям связи при использовании технических средств противодействия угрозам включают:

    • Обеспечение доступа Центру мониторинга и управления сетью связи общего пользования для дистанционного управления и технического обслуживания технических средств противодействия угрозам.
    • Возможность прохождения всего трафика сети оператора связи через технические средства противодействия угрозам, за исключением случаев, предусмотренных законом.
    • Предусмотрение в инфраструктуре сети связи возможности установки технических средств противодействия угрозам в соответствии с эксплуатационной документацией.

 

В заключение

Почему происходят частые изменений законодательства в отношении КИИ? Во-первых, объекты КИИ всё больше подвергаются атакам злоумышленников, а, соответственно, нуждаются в усилении мер защиты информации. Во-вторых, переход на отечественные разработки стал востребован из-за ухода западных производителей или прекращениия поддержки их продуктов на территории. Без своевременных обновлений программ риск утечки данных, взлома, хакерских атак существенно возрастает. Собственно, переход на отечественное ПО сейчас одноа из основных тенденций в сфере КИИ. Это можно отследить в том числе по рассмотренным НПА.

Общий срок перехода для всех субъектов КИИ – 2030 год. Надеемся, что за время изменений в ИТ-инфраструктуре организаций российский рынок разработок станет еще обширнее, чтобы обеспечить еще более легкий переход.

Если вам нужна консультация по переходу на отечественное ПО и технические средства, вы являетесь субъектом КИИ и не понимаете, с чего начать и что переводить, а может быть нуждаетесь в модернизации системы защиты ваших объектов КИИ – обращайтесь к нам.

Поиск
Мы в соцсетях
Рассказываем об информационной безопасности и актуальных ИТ-решениях, делимся своими кейсами и новостями ИТ: Telegram-канал компании «Рубикон»
Дзен-канал компании «Рубикон»
Популярные разделы
Новости ИБ | Законодательство | Практика | Кейсы | КИИ | ПДн | Пентест | OWASP | Вебинары | Мероприятия | Межрегиональный круглый стол
Популярные новости
Вредоносный штат: почему сотрудники могут быть опаснее хакеров
Вредоносный штат: почему сотрудники могут быть опаснее хакеров
Защита объектов КИИ
Защита объектов КИИ
Запрет на закупки иностранного ПО
Запрет на закупки иностранного ПО
Услуги

Подпишитесь на получение новостей

Чтобы первыми узнавать о наших новых решениях, событиях в мире информационных технологий и информационной безопасности, а так же получать персональные предложения именно для вас.

Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

Принять