Определяем текущее состояние ИБ и даем рекомендации по улучшению уровня защиты
Помогаем обеспечить выполнение требований 152-ФЗ по защите персональных данных
Отчет с рекомендациями и дорожная карта для выполнения требований Указа №250
Проведем категорирование объектов, подготовим ОРД и поможем обеспечить безопасность КИИ
Курсы информационной безопасности для вас и ваших сотрудников
Услуги:
Статьи:
Аттестация объектов информатизации и подключение к ГИС
Поиск путей проникновения внешнего нарушителя во внутреннюю сеть
Непрерывный мониторинг периметра и своевременное выявление уязвимостей
Анализ защищенности от атак с доступом к локальной сети организации
Услуги:
Статьи:
Анализ защищенности от атак с эксплуатацией уязвимостей веб-ресурсов
Выявление уязвимостей и тестирование безопасности в контролируемой среде
Анализ защищенности от атак с эксплуатацией уязвимостей мобильных приложений
Реализация требований ГОСТ Р 57580.1 , начиная с аудита и заканчивая построением системы защиты
Проводим оценку рисков ИБ для организации, вероятность их реализации и степень допустимости
Проводим аудит по требованиям Положения 716-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положений 787-П и 779-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положения SWIFT CSCF, готовим отчёт и комплект ОРД
Статьи:
Услуги:
Полный комплекс работ по обеспечению информационной безопасности КИИ
Защита автоматизированных систем управления технологическими процессами
Готовим документы для выполнения требований по защите ПДн (152-ФЗ)
Обеспечение соответствия Приказам ФСТЭК № 235 и № 239
Поможем выполнить требования Указа № 250 Президента Российской Федерации
Оценка и подтверждение соответствия объектов информатизации требованиям безопасности
Услуги:
Статьи:
Внедрение и сопровождение IDM, аудит прав доступа, построение ролевой модели
Внедрение и поддержка средств мультифакторной аутентификации
Внедрение и поддержка систем контроля привилегированных пользователей
Услуги:
Услуги:
Статьи:
Проектирование, внедрение, поддержка систем защиты конечных точек
Проектирование, внедрение, поддержка систем защиты конечных точек от комплексных угроз
Проектирование, внедрение, поддержка систем Extended Detection and Response
Услуги:
Статьи:
Сервис обучения сотрудников навыкам кибербезопасности на базе Phishman
15 базовых курсов по информационной безопасности для ваших сотрудников
Автоматизированная система обучения сотрудников основам ИБ
Услуги:
Разработка системы управления информационной безопасностью в соответствии с ISO/IEC 27001
Экспертный аудит и разработка стратегии непрерывности бизнеса в соответствии с ISO 22301
Услуги:
Услуги по внедрению процессов безопасной разработки: SSDLC, DevSecOps, AppSec
Обучение сотрудников основам безопасной разработки приложений
Новости

Какие законы, направленные на укрепление защиты КИИ, вышли в 2023 году?

В современном мире, где технологические инновации развиваются бурными темпами, критическая информационная инфраструктура (КИИ) оказывается в центре внимания не только как двигатель прогресса, но и как потенциальная мишень для кибератак. Эти угрозы, усиленные нынешней внешнеполитической обстановкой, делают защиту КИИ и её устойчивое функционирование важнейшими приоритетами для национальной безопасности. В этом контексте особое значение приобретает стремление страны к технологической независимости, осуществляемое через интеграцию отечественных технологий и решений в ключевые аспекты КИИ.

В 2023 году был принят ряд законодательных актов, направленных на укрепление защиты КИИ. Эти акты не только формируют правовую базу для защиты инфраструктуры, но и способствуют переходу на российское программное обеспечение, что помогает снизить зависимость от иностранных технологий. В этом тексте мы подсветили все основные законодательные изменения.

Указ Президента РФ №82 от 11.02.2023 «О внесении изменения в состав Межведомственной комиссии Совбеза РФ по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ РФ по должностям, утвержденный Указом Президента РФ от 14 апреля 2022 г. № 203».

Комментарий эксперта: в состав Межведомственной комиссии Совета Безопасности по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ дополнительно включен президент Национального исследовательского центра «Курчатовский институт».

Приказ Минцифры России №21 от 18.01.2023 «Об утверждении Методических рекомендаций по переходу на использование российского программного обеспечения, в том числе на значимых объектах КИИ РФ, и о реализации мер, направленных на ускоренный переход органов госвласти и организаций на использование российского программного обеспечения (далее — ПО) в РФ».

Комментарий эксперта: документ определяет набор методических рекомендаций, нацеленных на ускорение перехода государственных органов и организаций к использованию российского ПО. Приказ поддерживает стратегию технологической независимости страны и содержит конкретные шаги и рекомендации, как эффективно осуществить этот переход, обеспечивая при этом необходимый уровень информационной безопасности и стабильность работы ключевых информационных систем.

Приказ Минпромторга России №722 от 06.03.2023 «Об утверждении отраслевого плана мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юрлиц» (за исключением организаций с муниципальным участием), к преимущественному использованию российского ПО, в том числе в составе программно-аппаратных комплексов (далее – ПАК), на принадлежащих им значимых объектах КИИ РФ, которые функционируют в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии».

Комментарий эксперта: составлен отраслевой план мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с требованиями 223-ФЗ (за исключением организаций с муниципальным участием) к преимущественному использованию российского ПО, в том числе в составе ПАК, на принадлежащих им значимых объектах КИИ.

Приказ ФСТЭК России №44 от 07.03.2023 «Об утверждении требований по безопасности информации к многофункциональным межсетевым экранам уровня сети».

Комментарий эксперта: документ определяет новые требования к безопасности межсетевых экранов (далее — МЭ), которые используются для защиты сетей важных объектов инфраструктуры. В зависимости от важности объекта, МЭ должны соответствовать разным уровням защиты: менее защищенные (6 класс) применяются для наименее критических объектов (3 категории значимости). Более строгие требования 5 и 4 классы — для объектов средней (2 категории) и высокой значимости (1 категории) соответственно. Это помогает обеспечить нужный уровень безопасности, пропорциональный значимости и потенциальному риску для каждого объекта.

Приказ ФСТЭК России №64 от 14.04.2023 «Об утверждении требований по безопасности информации к системам управления базами данных».

Комментарий эксперта: системы управления базами данных (далее — СУБД) разделены на три уровня защиты в зависимости от важности объекта, которым они управляют. Самый высокий уровень защиты (6 класс) требуется для систем, управляющих данными наиболее критически важных объектов (1 категория). Системы со средним уровнем защиты (5 класс) используются для объектов средней значимости (2 категория), а базовый уровень защиты (4 класс) — для объектов с наименьшей критичностью (3 категория значимости). Это обеспечивает адекватную защиту информации согласно степени её важности и потенциального риска.

Приказ ФСТЭК России №69 от 20.04.2023 «О внесении изменений в требования к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21 декабря 2017 г. № 235».

Комментарий эксперта: скорректированы формулировки при упоминании лиц, ответственных за обеспечение информационной безопасности, а также скорректированы требования к специалистам структурного подразделения по безопасности. Кроме того, Приказом вводится возможность привлекать для обеспечения безопасности объектов КИИ специалистов со средним профессиональным образованием в области информационной безопасности, что расширяет пул доступных кадров. Приказ также вводит дополнительные меры, которые должны быть реализованы, если техническая поддержка со стороны производителя средств защиты информации окажется недоступной.

Приказ ФСБ России №213 от 11.05.2023 «Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов РФ, госфондам, госкорпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществами системообразующим организациям российской экономики, юрлицам, являющимся субъектами КИИ РФ либо используемых ими».

Комментарий эксперта: ФСБ России установила порядок проведения мониторинга защищенности информационных ресурсов (в том числе субъектов КИИ).

Методика ФСТЭК России от 17.05.2023 «Руководство по организации процесса управления уязвимостями в органе (организации)».

Комментарий эксперта: определены состав и содержание работ по анализу и устранению уязвимостей, выявленных в программных, программно-аппаратных средствах, информационных системах органов и организаций. Обозначены этапы управления уязвимостями.

Приказ Минпромторга России №1981 от 31.05.2023 «Об утверждении Порядка проведения в отношении субъектов КИИ РФ, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ утвержденных постановлением Правительства РФ от 8 февраля 2018 г. № 127, и установлении критериев определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 8 февраля 2018 г. № 127».

Комментарий эксперта: в отношении субъектов КИИ в области оборонной, металлургической и химической промышленности проводится оценка актуальности и достоверности определенных сведений. Минпромторг установил порядок проведения оценки и критерии определения организаций, привлекаемых к оценке. Создается рабочая группа, включающая представителей Минпромторга и (или) представителей отраслевого центра компетенций по информационной безопасности в промышленности, образованного на базе подведомственной Министерству организации, включенной в перечень юрлиц, привлекаемых к оценке.

Федеральный закон №214 от 13.06.2023 «О внесении изменения в статью 104-1 Уголовного кодекса Российской Федерации».

Комментарий эксперта: закон вносит изменение в статью 104-1 УК РФ, расширяя меры ответственности за киберпреступления. Теперь за преступления, связанные с неправомерным доступом к компьютерной информации (ч. 2-4 ст.272), созданием и распространением вредоносных программ (ст. 273), нарушением правил эксплуатации информационных сетей (ч.2 ст.274), а также за неправомерное воздействие на критическую информационную инфраструктуру (ст. 274.1), предусмотрена конфискация имущества. Это означает, что виновные в таких деяниях могут лишиться не только денег, но и других ценностей, что усиливает сдерживающий эффект закона.

Федеральный закон №243 от 13.06.2023 «О внесении изменений в Федеральный закон «О Банке России».

Комментарий эксперта: документ вносит изменения в закон о Банке России, требуя от кредитных и некредитных финансовых организаций переходить на российское программное обеспечение, радиоэлектронную продукцию и телекоммуникационное оборудование на ключевых объектах критической информационной инфраструктуры. Эти меры направлены на усиление информационной безопасности и сокращение зависимости от иностранных технологий, повышая тем самым устойчивость финансового сектора страны.

Федеральный закон №243 от 13.06.2023 «О внесении изменений в Федеральный закон «О Банке России».

Комментарий эксперта: документ вносит изменения в закон о Банке России, требуя от кредитных и некредитных финансовых организаций переходить на российское программное обеспечение, радиоэлектронную продукцию и телекоммуникационное оборудование на ключевых объектах критической информационной инфраструктуры. Эти меры направлены на усиление информационной безопасности и сокращение зависимости от иностранных технологий, повышая тем самым устойчивость финансового сектора страны.

Федеральный закон №312 от 10.07.2023 «О внесении изменения в статью 2 Федерального закона «О безопасности КИИ РФ».

Комментарий эксперта: к критической информационной инфраструктуре РФ отнесены информационные системы в сфере госрегистрации прав на недвижимое имущество и сделок с ним. Это позволит повысить защищенность таких систем от компьютерных атак.

Указ Президента РФ №846 от 08.11.2023 «О внесении изменений в Указ Президента РФ от 16.08.2004 г. № 1085 «Вопросы ФСТЭК России» и в Положение, утвержденное этим Указом.

Комментарий эксперта: согласно новому указу, ФСТЭК получил расширенные полномочия, включая ответственность за создание и управление автоматизированной информационной системой, которая занимается технической защитой информации и безопасностью ключевых объектов критической информационной инфраструктуры. Эти изменения предназначены для усиления контроля и повышения эффективности защиты важнейших информационных активов страны. Указ вступил в силу немедленно с даты его подписания, что подчеркнуло его значимое влияние на систему информационной безопасности России.

Постановление Правительства Российской Федерации от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации» (официально опубликовано 16 ноября 2023 года).

Комментарий эксперта: документ устанавливает новый порядок для организаций, относящихся к критической информационной инфраструктуре России (КИИ), по переходу на использование доверенных программно-аппаратных комплексов (ПАК) на их значимых объектах. Согласно постановлению, организации должны завершить переход на доверенные ПАК до 1 января 2030 года. Начиная с 1 сентября 2024 года, запрещается использование на значимых объектах КИИ любых ПАК, приобретенных после этой даты, если они не относятся к доверенным. Исключение сделано только для случаев, когда в России не производятся доверенные аналоги приобретенных ПАК.

Перечни типовых отраслевых объектов КИИ.

В 2023 году отраслевыми регуляторами были разработаны перечни типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сферах/областях энергетики, транспорта, здравоохранения, химической, горнодобывающей, металлургической и оборонной промышленности (данные перечни можно найти на официальных ресурсах отраслевых регуляторов, например, здесь https://minenergo.gov.ru/opendata/7715847529-perechen-obektov-kii-2023/, здесь https://minpromtorg.gov.ru/activities/vgpp/vgpp4/perechni-tipovyh-obektov-kii и т.д.).

В состав таких перечней входят типовые автоматизированные системы управления технологическим процессом, программно-аппаратные платформы промышленного интернета вещей (IoT), системы управления предприятием (ERP), системы хранения данных и др. Такие перечни будут являться основой для определения конкретных
Коротко о главном

Таким образом, в 2023 году государство значительно усилило законодательные и нормативные меры в сфере защиты критической информационной инфраструктуры. Был утвержден ряд ключевых документов для упорядочения деятельности регуляторов и субъектов КИИ.

Кроме того, была сформирована нормативно-правовая база для импортозамещения компонентов объектов критической информационной инфраструктуры. Действия направлены на усиление защищенности и устойчивости такой инфраструктуры, а также на расширение возможностей для отечественных IT-решений и открытие новых рынков. Изменения являются частью более широкой стратегии государства по повышению устойчивости и независимости в условиях мировых информационных вызовов.

Важным аспектом стало также ужесточение наказаний за преступления, направленных на КИИ. Теперь за неправомерные действия в отношении КИИ предусмотрена не только уголовная ответственность, но и конфискация имущества.
Авторы:

Юрий Шишебаров, ведущий специалист отдела аудита

Анастасия Мещерякова, ведущий специалист отдела аудита
Новости