Определяем текущее состояние ИБ и даем рекомендации по улучшению уровня защиты
Помогаем обеспечить выполнение требований 152-ФЗ по защите персональных данных
Отчет с рекомендациями и дорожная карта для выполнения требований Указа №250
Проведем категорирование объектов, подготовим ОРД и поможем обеспечить безопасность КИИ
Курсы информационной безопасности для вас и ваших сотрудников
Услуги:
Статьи:
Аттестация объектов информатизации и подключение к ГИС
Поиск путей проникновения внешнего нарушителя во внутреннюю сеть
Экспертный анализ и оценка уровня защищенности инфраструктуры
Анализ защищенности от атак с доступом к локальной сети организации
Услуги:
Статьи:
Анализ защищенности от атак с эксплуатацией уязвимостей веб-ресурсов
Симуляция атак с использованием методов социальной инженерии
Анализ защищенности от атак с эксплуатацией уязвимостей мобильных приложений
Реализация требований ГОСТ Р 57580.1 , начиная с аудита и заканчивая построением системы защиты
Проводим оценку рисков ИБ для организации, вероятность их реализации и степень допустимости
Проводим аудит по требованиям Положения 716-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положений 787-П и 779-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положения SWIFT CSCF, готовим отчёт и комплект ОРД
Статьи:
Услуги:
Полный комплекс работ по обеспечению информационной безопасности КИИ
Защита автоматизированных систем управления технологическими процессами
Готовим документы для выполнения требований по защите ПДн (152-ФЗ)
Обеспечение соответствия Приказам ФСТЭК № 235 и № 239
Поможем выполнить требования Указа № 250 Президента Российской Федерации
Оценка и подтверждение соответствия объектов информатизации требованиям безопасности
Услуги:
Статьи:
Внедрение и сопровождение IDM, аудит прав доступа, построение ролевой модели
Внедрение и поддержка средств мультифакторной аутентификации
Внедрение и поддержка систем контроля привилегированных пользователей
Услуги:
Услуги:
Статьи:
Проектирование, внедрение, поддержка систем защиты конечных точек
Проектирование, внедрение, поддержка систем защиты конечных точек от комплексных угроз
Проектирование, внедрение, поддержка систем Extended Detection and Response
Услуги:
Статьи:
Сервис обучения сотрудников навыкам кибербезопасности на базе Phishman
15 базовых курсов по информационной безопасности для ваших сотрудников
Автоматизированная система обучения сотрудников основам ИБ
Услуги:
Разработка системы управления информационной безопасностью в соответствии с ISO/IEC 27001
Экспертный аудит и разработка стратегии непрерывности бизнеса в соответствии с ISO 22301
Новости

Правила категорирования объектов КИИ: анализ декабрьских изменений

Постановление Правительства РФ от 20 декабря 2022 года № 2360 «О внесении изменений в постановление Правительства Российской Федерации от 08.02.2019 № 127» утвердило изменения в Правила категорирования объектов КИИ. Ключевые изменения вступили в силу со дня их официального опубликования. Отметим дополнительную ответственность, возложенную на государственные органы и российские юридические лица по мониторингу предоставления актуальных и достоверных сведений объектов критической информационной инфраструктуры (далее – КИИ) подведомственных организаций.
Постановление Правительства РФ № 127 значительные перемены не затронули. Основные изменения были внесены в перечень показателей критериев значимости объектов КИИ РФ и их значений:

Показатель категорирования № 3 теперь применим к транспортным средствам, в том числе высокоавтоматизированным (беспилотный транспорт).
«Прекращение или нарушение функционирования объектов транспортной инфраструктуры, транспортных средств, в том числе высокоавтоматизированных транспортных средств».

Добавилось новое значение показателя категорирования № 5, который применим к учреждениям, оказывающим государственные услуги.
«Отсутствие доступа к государственной услуге, оцениваемое во времени с момента приема запроса о предоставлении государственной услуги органом, предоставляющим государственную услугу, или подведомственной государственному органу организацией, участвующей в предоставлении государственной услуги в течение которого государственная услуга не может быть оказана (в процентах от времени предоставления услуги, предусмотренного административным регламентом)».

Организации оборонно-промышленного комплекса включены в перечень субъектов КИИ, для которых применим показатель категорирования № 8.
«Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период)».

Ужесточились значения показателя категорирования № 9, который касается снижения выплат в бюджет РФ.
Нижним пороговым значением для присвоения третьей категории значимости теперь является ущерб бюджету РФ в размере 81,6 млн. рублей, что значительно расширяет количество потенциальных субъектов КИИ по данному показателю.

Была изменена формулировка показателя категорирования № 10, касающаяся финансовых организаций.
Теперь «прекращение или нарушение проведения клиентами операций по осуществлению перевода денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, кредитной организацией, выполняющей функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитной организацией, значимой на рынке платежных услуг, оператором услуг платежной инфраструктуры, оказывающим услуги платежной инфраструктуры в рамках системно значимых платежных систем, оценивается среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (млн. единиц)».

Расширилась применимость показателя категорирования № 10, касающаяся финансовых организаций – были добавлены 5 новых видов организаций, являющихся:
· центральными контрагентами;
· центральными депозитариями и регистраторами финансовых транзакций;
· негосударственными пенсионными фондами;
· страховыми организациями;
· операторами услуг информационного обмена (некредитными организациями).

Внесено уточнение в значение Показателя категорирования 13.б). Субъектам КИИ, выполняющим гособоронзаказ, теперь следует рассчитывать увеличение времени изготовления для единицы продукции.
Обращаем внимание, что в соответствии с пунктом № 21 постановления Правительства РФ № 127, субъект КИИ в случае изменения показателей и/или значений критериев значимости объектов КИИ осуществляет пересмотр установленных категорий значимости или решения об отсутствии необходимости присвоения категории значимости. Это означает, что субъекты КИИ, осуществившие категорирование ранее, теперь должны провести перекатегорирование в соответствии с новыми показателями.

Владислав Вахлаков, ведущий специалист отдела аудита Infosecurity
Блог