Vihjeid käsitlev föderaalne seadus. Läbivaatamine seaduseelnõu „Elutähtsa infoinfrastruktuuri turvalisuse kohta

Praeguseks peaksid KII subjektid olema juba koostanud ja Venemaa FSTEC-ile üle kandnud kriitiliste objektide nimekirjad. Mõned ettevõtted saavad seda ise teha, teised saavad kasutada konsultatsioonifirmade ja süsteemiintegraatorite teenuseid. Kaitsesüsteemide kooskõlla viimiseks 26. juuli 2017 föderaalseadusega nr 187 "RF CII turvalisuse kohta" on vaja läbi viia IT-infrastruktuuri uuring ning kavandada organisatsioonilised ja tehnilised meetmed. Kuid nagu tavaliselt, on nüansse.

Sissejuhatus

Aasta tagasi, kui jutt oli kriitiliste rajatiste ohutusest, meenus kaitse. tööstusrajatised näiteks hüdroelektrijaamad ja Venemaa FSTECi 31. orden. Olukord on muutunud - riigi kõrgeimal tasemel otsustati, et kui näiteks küberrünnak mõne suure panga töö nädalaks ajaks seisma paneb, on kahju inimestele pehmelt öeldes märkimisväärne. Alates 1. jaanuarist 2018 jõustus 26. juuli 2017 föderaalseadus nr 187 "KII RF ohutuse kohta" kriitilise teabe infrastruktuuri mõiste tutvustamine. Kes täna selle tegevuse alla kuulub ja milliseid meetmeid tuleb võtta, et tagada turvalisus vastavalt uutele nõuetele - räägime sellest artiklis.

187-FZ: mis on CII subjektid ja objektid

Vastavalt seadusele "RF CII ohutuse kohta" on CII subjektid valitsusorganid ning asutused, äriettevõtted või üksikettevõtjad, kes omavad seaduslikult (näiteks omandi või rendi alusel) teatud tegevusaladel kasutatavaid infosüsteeme (IS), info- ja telekommunikatsioonivõrke (ITKS) ning automatiseeritud juhtimissüsteeme (ACS). Seadus nimetab neid IS-i, ITKS-i ja ACS-i CII objektideks ning nende kogum moodustab kriitilise teabe infrastruktuuri. Venemaa Föderatsioon... Selle turvalisus tähendab turvaseisundit, mis tagab arvutirünnete ajal stabiilse töö, ning seaduse rakendamise jälgimise ülesanded on Vene Föderatsiooni presidendi 25. novembri 2017. aasta määrusega nr 569 usaldatud Venemaa FSTEC-le. Vene Föderatsiooni presidendi 16. augusti 2004. aasta dekreediga nr 1085 kinnitatud föderaalse tehnilise ja ekspordikontrolli teenistuse eeskirjade muutmise kohta » .

Keda puudutavad 187-FZ nõuded KII ohutuse kohta?

Tuuma-, raketi- ja kosmose-, kaevandus-, metallurgia-, keemia- ja kaitsetööstuses, tervishoius, teaduses, energeetikas, transpordis ja sides töötavatele isikutele kehtivad elutähtsate sideinfrastruktuuride ohutust käsitlevate õigusaktide nõuded. CII subjektid on ka kütuse- ja energiakompleksi ettevõtted ning pangandus- ja finantssektori organisatsioonid.

Et mõista, kas peate hoolitsema CII-rajatiste kaitse eest, peate kontrollima OKVED-koode, kohustuslikke dokumente ja vastavaks tegevuseks välja antud litsentse. Kui formaalsete kriteeriumide kohaselt ei kuulu organisatsioon FZ-187 määratletud tööstusharudesse, ei tohiks te lõõgastuda - on vaja analüüsida reguleeritud tööstusharudes töötavaid äriprotsesse ja infosüsteeme (IS, ITCS ja ACS).

Kuidas koostada CII objektide loendit

Esiteks peavad subjektid koostama CII objektide loendi ja viima läbi nende kategoriseerimise. Selleks luuakse korraldusega kinnitatud spetsiaalne komisjon - selles tuleb ära näidata komisjoni koosseis, tegevuskava koos tähtaegadega, samuti Venemaa FSTEC-iga suhtlemise eest vastutav isik (sinna saadetakse objektide nimekiri). ). On vaja kindlaks määrata juhtimine, tootmine, finantsprotsessid ning tuvastada nende hulgast kriitilised, mille rikkumine või lõpetamine võib viia ulatuslikuni negatiivsed tagajärjed... Seejärel tuleb tuvastada kriitiliste protsessidega seotud CII objektid, koostada kategoriseeritav nimekiri ja esitada see FSTEC-ile 5 päeva jooksul alates kinnitamise kuupäevast. Vastavalt Venemaa FSTECi juhatuse otsus nr 59 04.24.2018, tuli seda teha enne 1. augustit 2018.

Kuidas määrata CII objekti tähtsuse kategooriaid

Olulisuse kriteeriume käsitletakse Vene Föderatsiooni valitsuse 02.08.2018 määruses nr 127 "RF CII objektide kategoriseerimise eeskirjade ja olulisuse kriteeriumide näitajate loetelu kinnitamise kohta RF CII objektide ja nende väärtuste kohta." Kriteeriume on vaid viis: sotsiaalne, poliitiline, majanduslik, keskkonnaalane, aga ka kaitse, riigi julgeoleku ning õiguskorra tagamine. Igas kriteeriumis eristatakse nelja kategooriat: esimene (kõrgeim), teine, kolmas ja madalaim - ilma tähtsuseta. Viimast rakendatakse juhul, kui olulisuse näitajad on madalamad kui kolmandas kategoorias.

Esimese asjana tuleb analüüsida turvaauke ja simuleerida sissetungijate tegevusi, mis võivad viia arvutiintsidentideni CII rajatistes. Selle tulemusena moodustub ohumudel ja sissetungija mudel. Pärast seda on vaja hinnata olulisuse kriteeriumide näitajaid, tuvastada CII objektide vastavus nende näitajate väärtustele ja määrata igale objektile üks olulisuse kategooriatest (või otsustada, et seda pole vaja). kategooria määramine).

Olulisuse näitajad on üksikasjalikult kirjeldatud samas 127. valitsuse määruses. Kui võtame näiteks sotsiaalse kriteeriumi, siis saame rääkida kahjust inimese elule ja tervisele. Kolmas kategooria määratakse juhul, kui intsidendi tagajärjel saab vigastada üks või mitu inimest, ja esimene kategooria - kui oht on üle 500 inimese. Sotsiaalse kriteeriumi järgmine näitaja on elanikkonna elutegevuse tagamise objektide toimimise katkemine või lõpetamine. Need on veevarustus-, kanalisatsiooni-, kütte-, reoveepuhastus- ja elektrivarustussüsteemid. Siin määratakse kategooriad vastavalt valdkonnale, kus rikkumisi esineb. Kolmas kategooria on omavalitsused, ja esimene määratakse juhul, kui on väljapääs väljaspool föderatsiooni subjekti piire.

Sotsiaalset kriteeriumi hindavad veel mitmed näitajad: transport, sidevõrgud ja juurdepääs avalikke teenuseid... Teiste kriteeriumide puhul on olukord sarnane - näitajaid on palju ja igaühe puhul hindame kategooriaid vastavalt võimaliku kahju astmele: ohvrite arv, juhtumist mõjutatud territooriumid, teenuste kättesaamatuse aeg. , sissetulekute vähenemine, kahjuliku mõju tase keskkond Tulemuste põhjal koostatakse CII objektide kategoriseerimise aktid, mis tuleb saata FSTEC-ile 10 päeva jooksul pärast allakirjutamist (Venemaa FSTECi korraldus nr 236, 22. detsember 2017 "Konstruktsiooni kinnitamise kohta). vorm teabe saatmiseks CII-objekti ühte olulisuse kategooriasse määramise tulemuste kohta, kas siis, kui puudub vajadus määrata talle üks neist kategooriatest "). KII objektide kategoriseerimine peab olema lõpetatud 1. jaanuariks 2019.

CII objektide hindamisel on kasulik need lahti murda: kui sul on üks suur objekt, millel on palju kriitilisi süsteeme ja erinevad olulisuse kriteeriumid, määratakse sellele maksimaalne võimalik olulisuse kategooria. Kui sellist objekti on võimalik jagada mitmeks väiksemaks, siis võib neil vastavalt valitsuse määrusega määratud kriteeriumidele ja näitajatele olla erinevad (sh madalamad) tähtsuskategooriad. Selline lähenemine on kasulik, sest vähemtähtsate objektide puhul on kaitsemeetmed lihtsamad ja odavamad.

Kuidas kaitsta CII objekte

KII oluliste rajatiste ohutuse tagamiseks vajalike organisatsiooniliste ja tehniliste meetmete loetelu on esitatud Venemaa FSTECi 25.12.2017 korralduses nr 239 "KII RF oluliste rajatiste ohutuse tagamise nõuete kinnitamise kohta" . Nõuded on väga tõsised ja KUI oluliste objektide kaitse peab neile vastama, kuid väheoluliste objektide puhul selliseid meetmeid vaja ei ole.

Organisatoorsete ja tehniliste meetmete loetelu CII oluliste rajatiste kaitsmiseks:

• Identifitseerimine ja autentimine (IAF);
• Juurdepääsu kontroll (UPD);
• Keskkonna piiramine programmi poolt (OPS);
• Masinate andmekandjate kaitse (ZNI);
• Turvaaudit (AUD);
• Viirusetõrje (AVZ);
• Sissetungi (arvutirünnaku) ennetamine (IDS);
• terviklikkuse tagamine (OCL);
• Juurdepääsetavuse tagamine (CCT);
• Kaitse tehnilisi vahendeid ja süsteemid (ZTS);
• Info (automatiseeritud) süsteemi ja selle komponentide (VMS) kaitse;
• Arvutiintsidentidele reageerimine (ITC);
• Konfiguratsioonihaldus (CMM);
• Tarkvaravärskenduste haldus (SWM);
• Turvameetmete planeerimine (PLN);
• Tegevuse pakkumine hädaolukordades (CSN);
• Personali teavitamine ja väljaõpe (IPO).

Samuti on kasulik tutvuda Venemaa FSTECi 21. detsembri 2017 korraldusega nr 235 "RF CII oluliste objektide turvasüsteemide loomise ja nende toimimise tagamise nõuete kinnitamise kohta". Siin on eelkõige loetletud turvameetmed:

• SRZI volitamata juurdepääsu eest (sealhulgas need, mis on sisse ehitatud kogu süsteemi hõlmavasse rakendustarkvarasse);
• tulemüürid;
• sissetungimise (arvutirünnakute) avastamise (ennetamise) vahendid;
• viirusetõrjevahendid;
• turvakontrolli (analüüsi) vahendid (süsteemid);
• turvasündmuste haldamise tööriistad;
• vahendid andmeedastuskanalite kaitsmiseks.

Kõik need peavad olema sertifitseeritud ohutusnõuetele vastavuse osas või läbima vastavushindamise katsete või aktsepteerimise vormis vastavalt 27. detsembri 2002. aasta föderaalseadus nr 184-FZ "Tehniliste eeskirjade kohta".

Kuidas ühendada NKTSKIga (GosSOPKA)

Kõik CII subjektid peavad ühenduma arvutirünnete tuvastamise, ennetamise ja tagajärgede likvideerimise riigisüsteemiga (GosSOPKA), isegi kui neil ei ole olulisi CII objekte. GosSOPKA peakeskusesse kohustuslik edastatakse andmed infoturbega seotud intsidentide kohta CII rajatistes – rõhutame, et siin räägime kõigist rajatistest, mitte ainult olulistest. Protsessi reguleeriv seadusandlik ja regulatiivne raamistik ei ole veel täielikult välja töötatud, kuid mitte nii kaua aega tagasi Vene Föderatsiooni FSB 24. juuli 2018 korraldusega nr 366 "Arvutiintsidentide riikliku koordineerimiskeskuse kohta" asutati uus struktuur. NKTsKI koordineerib intsidentidele reageerimise tegevusi, vahetab teavet rünnakute kohta CII üksuste ja teiste organisatsioonide vahel ning metoodiline tugi... Keskus saab KII subjektidelt ja teistelt organisatsioonidelt andmeid GosSOPKA-le edastamiseks ning tema ülesannete hulka kuulub ka GosSOPKA-le edastatava arvutiintsidendi infovahetuse vormingute ja tehniliste parameetrite määratlemine.

Milline on vastutus rikkumiste eest?

Kui teil ei õnnestunud FSTEC-ile KII objektide loendit saata, ei vastutata selle eest. Kuid FZ-187 on kehtinud 2018. aasta algusest ja kui intsident juhtub ja vajalikke kaitsemeetmeid pole võetud, on tagajärjed CII subjektile tõsised - vastavad muudatused on kurjategijas juba tehtud. kood. Vastavalt Art. Vene Föderatsiooni kriminaalkoodeksi artikkel 274.1 tarkvara või muu tarkvara loomise, levitamise ja (või) kasutamise eest. arvutiteave CII-le ebaseadusliku mõjutamise eest, sunnitöö kuni 5 aastat või kuni 5 aastat vangistust, samuti rahatrahvi kuni 1 miljon rubla. Ebaseadusliku juurdepääsu eest KII teabele, kui see tekitas kahju, karistatakse kuni 5-aastase sunnitööga, kuni 6-aastase vangistusega ja rahatrahviga kuni 1 miljon rubla.

CII subjektide eest lasub vastutus. KTK seadusega kaitstud teabe säilitamise, töötlemise või edastamise vahendite toimimise reeglite või juurdepääsureeglite rikkumise eest, kui sellega kaasnes kahju CII-le, – karistatakse sunnitööga kuni 5 aastani, vangistusega kuni 6 aastat. , teatud tegevuste keeld kuni 3 aastat juriidilised isikud ja üksikettevõtjad või keeld töötada üksikisikutel sama perioodi jooksul teatud ametikohtadel.

Sellel artiklil on tõuge. Kui kuriteo pandi toime isikute grupi poolt või ametiseisundit kasutades, siis karistatakse selle eest kuni 8-aastase vangistusega, samuti teatud liiki tegevuse keeluga (juriidiline isik ja üksikettevõtja) või teatud tegevuskeeluga. positsioonid ( üksikisikud) kuni 3 aastat. Raskete tagajärgede korral pikendatakse vangistuse maksimumtähtaega 10 aastani ning tegevus- ja ametikohakeeldu pikendatakse 5 aastani.

järeldused

Mängureeglid on muutunud. Tahame või mitte, aga inimeste eluks ja riigi julgeolekuks olulise infotaristu kaitsmine ei ole enam selle omanike isiklik asi. KII subjektidel peaksid olema juba valmis (ja Venemaa FSTEC-ile üle kantud) objektide nimekirjad. Praktika näitab, et kõik ei saanud sellega hakkama – tasub kiirustada ja hakata kategoriseerima. Suurtel organisatsioonidel võib olla vastav kompetents kõigi ürituste iseseisvaks läbiviimiseks, kuid väikeste jaoks muutub see tõsiseks probleemiks - appi tulevad konsultatsioonifirmad ja süsteemiintegraatorid. Kaitsesüsteemide kooskõlla viimiseks FZ-187-ga on vaja läbi viia IT-infrastruktuuri uuring ja koostada töökava, mis sisaldab organisatsiooniliste ja tehniline tegevus... Aega selleks veel on, aga sellest pole enam nii palju jäänud, tasub kiirustada.

Majandusarengu ministeerium kavatseb keelata välismaise tarkvara ja seadmete kasutamise Venemaa KII rajatistes

1. novembril 2019 sai teatavaks, et majandusarengu ministeerium valmistab ette turvaseaduse (CII) muudatusi, mis hõlmavad CII rajatiste välismaise tarkvara ja seadmete asendamist Venemaa omadega. Muudatusettepanekute ettevalmistamise korralduse andis juba mitu kuud tagasi kaitsetööstuse eest vastutav asepeaminister Juri Borisov. Sellest teatas RBC viitega asemajandusministri Azer Talibovi kirjale.

Talibov kirjutab, et praegusel kujul Venemaa seadused ei luba valitsusel nõuda CII rajatistes ainult kodumaise tarkvara ja seadmete kasutamist. Selle võimaldamiseks peab see norm olema sõnastatud seaduses "CII ohutuse kohta". Eraldi moodustatakse KII olemasolevate rajatiste välismaiste toodete asendamise ajakava kodumaistega.

Lisaks peaks seadus keelama välismaised ettevõtted suhelda KII võrkude ja infosüsteemidega. See tähendab, et sellega tegelevate juriidiliste isikute lõplikud kasusaajad peaksid olema Venemaa kodanikud ei oma topeltkodakondsus... Sama reegel mõjutab üksikettevõtjaid, kes töötavad KII-ga. Selle tulemusel minimeeritakse välisriikide ja nende kodanike juurdepääs KII teenusele ja arendamisele, usub Talibov.

Talybovi kirja saajad on Borisovi juhitud Venemaa sõjalis-tööstuskomisjoni kolleegium, föderaalne tehnilise ja ekspordikontrolli teenistus (FSTEC) ning telekommunikatsiooni- jam. Telekomi- ja mvastas, et FSTEC ning Tööstus- ja Kaubandusministeerium tegelevad valitsuse nimel välismaiste seadmete impordi asendamise küsimustega ning KII töötab Venemaa tarkvara abil turvalisemalt ja stabiilsemalt ning kodumaiste arendajate osakaal riigihangete turul kasvab.

Venemaal registreeriti CII-le umbes 17 tuhat küberrünnakut

2019. aasta augustis teatas Julgeolekunõukogu esindaja, et 2018. aastal toimus Venemaal KII-le umbes 17 tuhat küberrünnakut. Ründajad proovisid installida pahavara veel 7 tuhandele objektile. Umbes 38% rünnakutest olid suunatud finantsasutuste vastu.

ADE avaldas juhised CII objektide kategoriseerimiseks vastavalt nr 187-FZ

9. juulil 2019 sai teatavaks, et dokumentaaltelekommunikatsiooni liit (ADE) avaldas juhised kriitilise teabe infrastruktuuri (CII) objektide kategoriseerimiseks. Dokument töötati välja ja teiste organisatsioonide - ADE liikmete - materjalide põhjal. Metoodiliste soovituste eesmärk on täpsustada ja standardida CII objektide kategoriseerimise korda, mis on sätestatud föderaalseadusega "Vene Föderatsiooni kriitilise tähtsusega teabe infrastruktuuri turvalisuse kohta" 26. juulil 2017 nr 187-FZ.

Soovitused sisaldavad reegleid, mille alusel operaatorid peaksid CII-objekte eri tüüpidesse klassifitseerima. Dokumendi avaldatud versiooni on heaks kiitnud Venemaa FSTEC ja Venemaa FSB 8. keskus ning seda saavad kasutada sideoperaatorid. Kui see muutub reguleeriv raamistik, saades kommentaare ja ettepanekuid taotluse tulemuste kohta juhisedühingul on kavas metoodika teksti muuta.

Anonüümseks jääda palunud föderaalametnik ütles, et ühendus oli sisuliselt avalik organisatsioon, tema soovitustel ei ole õiguslikku mõju.

MegaFon "ütles, et põhiregulaatorid on kooskõlas FZ-187-ga heaks kiitnud dokumendi avaldatud versiooni ja seda saavad kasutada sideoperaatorid. Tööstusdokument on vabatahtlik, kuid FSTEC ja FSB soovitavad seda suhtluses kasutada tööstusele.

MTS PJSC pressiteenistuse pressiesindaja ütles, et telekommunikatsioonioperaatorid kasutavad soovitusi kriitilise teabe infrastruktuuri (CII) objektide kategoriseerimisel ja nende rajatiste turvasüsteemide ehitamisel.

Akado Telecomi pressiesindaja ütles, et algatus soovituste väljatöötamiseks on õige ja õigeaegne.

Andmed küberrünnakute kohta Venemaa Föderatsiooni kriitilistele objektidele lekivad välismaale. Ettevõtted rikuvad seadust

Venemaa ettevõtted, kelle kohustuste hulka kuulub hoonete haldamine kriitiline infrastruktuur, FSB teadmata jagatakse välismaa kolleegid küberrünnakute andmed. Neljapäeval, 27. juunil teatab RBC viitega föderaalse tehnilise ja ekspordikontrolli teenistuse (FSTEC) materjalidele, mis omakorda viitab FSB-le.

Eelmisest aastast kehtinud seaduse "kriitilise teabe infrastruktuuri turvalisuse kohta" kohaselt peavad kriitilise infrastruktuuri rajatisi haldavad ettevõtted esitama nende kohta andmed föderaalsele tehnilise ja ekspordikontrolli teenistusele (FSTEC), et määrata neile sobiv kategooria ( iga kategooria turvanõuded on erinevad) ... Lisaks peavad nad ühenduma FSB loodud arvutirünnakute tuvastamise, ennetamise ja tagajärgede likvideerimise riikliku süsteemiga (GosSOPKA) ning teavitama oma rajatisi tabanud küberrünnetest riiklikule arvutiintsidentide koordinatsioonikeskusele (NKTsKI).

Kuid mitte kõik ettevõtted ei täida seaduse nõudeid ja teavitavad NKTsKI-d oma süsteemide küberrünnakutest. Sel põhjusel ei ole keskusel täielikku teavet kriitilise infrastruktuuri objektide intsidentide kohta, ta ei suuda neile adekvaatselt reageerida ja prognoosida.

Olgu kuidas on, aga ettevõtted vahetavad küberrünnakute kohta infot välismaiste organisatsioonidega. Sellega rikuvad nad FSB nr 367 ja nr 368 korraldusi, mille kohaselt tuleb andmevahetus välismaiste organisatsioonidega kooskõlastada FSTEC-ga. Siiski mitte ühtegi üleskutset see küsimus teenust ei saanud.

FSTEC usub, et Venemaa Föderatsiooni kriitilise tähtsusega infrastruktuuri küberrünnakute kohta välisettevõtetele edastatud teave jõuab lõpuks välismaiste eriteenistuste kätte, kes saavad selle põhjal hinnata Venemaa kriitilise infrastruktuuri turvaseisundit.

RBC hinnangul on võimalik, et nii püüavad ettevõtted vältida maine- ja rahalist kahju. Kuid andmete välismaale saatmise tava seab ettevõtted ennekõike ohtu. Kuna FSB kontrolli all oleval riiklikul arvutiintsidentide koordinatsioonikeskusel NKTsKI ei ole juhtumite kohta täielikku teavet, ei saa ta neile adekvaatselt reageerida ja olukorra arengu kohta täpseid prognoose teha, märgib FSTEC.

Kriitilise teabe infrastruktuuri turvalisuse seadus on Venemaal kehtinud alates 2018. aastast. Selle peamine eesmärk on kaitsta riigi tähtsamaid ettevõtteid küberrünnakute eest.

FSTECi hinnangul ei tööta seadus täies jõus mitmel põhjusel. Esiteks märkis osakond juba eelmisel aastal, et pangad ja sideoperaatorid ei saanud teavet oma rajatiste "kriitilisuse" kohta. Teiseks on veel vastu võtmata osa põhimäärusi, mis peaksid selle seaduse raames kinnitama organisatsioonide omavahelise suhtlemise üksikasjad.

FSB sõnastas nõuded GosSOPKA vahenditele KII RF kaitsmiseks

FSTEC ja FSB kehtestavad vastutuse Venemaa kriitilise IT infrastruktuuri nõuete rikkumise eest

Föderaalses normatiivsete õigusaktide eelnõude portaalis haldusõiguserikkumisi(vastutuse kehtestamise osas CII rajatiste ohutuse tagamise nõuete rikkumise eest)”.

Seni on see vaid teatis vastava dokumendiga töötamise algusest. Seadus nr 187-FZ "Vene Föderatsiooni kriitilise teabe infrastruktuuri turvalisuse kohta" näeb ette Vene Föderatsiooni kriitilise teabe infrastruktuuri olulisi objekte haldavate struktuuride järgimise. seadusega määratletud ja määrused nõuded selliste rajatiste ohutuse tagamiseks.

Eelkõige on kriminaalkoodeksi artikkel 274.1, mis näeb ette kriminaalvastutus ebaseadusliku mõjutamise eest Vene Föderatsiooni kriitilisele teabetaristule.

Siiski ei ole ühtegi seadust, mis määratleks juhtumeid, kus nõuete rikkumine on toimunud täpsustatud nõuded, kuid see ei avaldanud CII-le lubamatut mõju.

Projekti põhiarendaja peaks olema FSTEC, kuid kaastäitjatena on märgitud Vene Föderatsiooni Föderaalne Julgeolekuteenistus.

Eelnõu vastuvõtmise kavandatav kuupäev on 2020. aasta jaanuar. Saate dokumenti lugeda.

FSTEC teeb ettepaneku keelata Venemaa CII-ga seotud teabe töötlemine välismaal

Projekt sisaldab mitmeid erinevaid täpsustusi, mille hulgas on välja toodud seadmetele seotud nõuded, tarkvara ja kriitilise infrastruktuuri rajatiste teabetöötlusprotseduurid.

Eelkõige tehakse ettepanek täiendada korralduse punkti 31 järgmise lõikega:

Eelmine korralduse versioon selliseid piiranguid ei kehtestanud.

Lisaks tahetakse dokumendiga kohustada olulisemaid kriitilise infrastruktuuri ettevõtteid kasutama ainult infoturbenõuetele vastavaid ruutereid. Siiski räägime ainult KII vastloodud või kaasajastatud rajatistest ja ainult esimesest (maksimaalsest) tähtsuskategooriast.

Nähakse ette, et kui puudub tehniline teostatavus piirimarsruuteritena kasutada ainult sertifitseeritud seadmeid (ehk neid, mille kaudu tagatakse kohtvõrgust juurdepääs internetti), tuleb tegelikult kasutatavate seadmete turvalisust hinnata osa oluliste objektide vastuvõtmisest või testimisest.

Määruse eelnõu täistekstiga saab tutvuda sellelt lingilt.

2018

2018. aastal pandi Vene Föderatsioonis toime umbes 4,3 miljardit küberrünnakut

"Annan korralduse kinnitada lisatud kord Venemaa FSB arvutiintsidentidest teavitamiseks, neile reageerimiseks, meetmete võtmiseks Vene Föderatsiooni kriitilise teabe infrastruktuuri oluliste objektide vastu sooritatud arvutirünnakute tagajärgede likvideerimiseks," järeldub Tellimus.

Nagu seletuskirjas märgitud, on projekti eesmärk parandada õiguslik regulatsioon Vene Föderatsiooni kriitilise teabe infrastruktuuri subjektide tegevuse koordineerimise valdkonnas arvutirünnete tuvastamise, ennetamise ja tagajärgede likvideerimise ning arvutiintsidentidele reageerimise valdkonnas.

Vastavalt korraldusele on Venemaa Föderatsiooni kriitilise info infrastruktuuri subjektidel arvutiavarii korral kohustus sellest viivitamatult teavitada Riiklikku Arvutiintsidentide Koordinatsioonikeskust (NKCCI). Kui selle tehnilise infrastruktuuriga ühendus puudub, tuleks teave saata faksi, elektroonilise ja telefoni teel osakonna veebisaidil märgitud NKTsKI aadressidele või telefoninumbritele.

Lisaks, kui intsident leidis aset panganduses ja muudes finantsturu valdkondades tegutsevas KII rajatises, tuleb sellest teavitada ka Vene Föderatsiooni Keskpanka.

Samuti peavad CII subjektid välja töötama arvutiintsidentidele reageerimise ja arvutirünnete tagajärgede likvideerimise meetmete võtmise plaani ning vähemalt kord aastas läbi viima koolitusi plaani tegevuste väljatöötamiseks.

Teave KII turvalisuse kohta küberrünnakute eest oli salastatud riigisaladuseks

Määrusega täiendatakse Vene Föderatsiooni presidendi 30. novembri 1995. aasta seadlusega nr 1203 "Kõrvale salastatud teabe loetelu kinnitamise kohta" kinnitatud riigisaladuseks tunnistatud teabe loetelu. riigisaladused", Uus lõik. Dokumendi kohaselt hõlmavad sellised andmed nüüd teavet, mis avaldab meetmeid Venemaa Föderatsiooni kriitilise teabe infrastruktuuri turvalisuse tagamiseks, ja teavet, mis paljastab CII kaitseseisundi arvutirünnete eest.

FSB ja föderaalne tehnilise ja ekspordikontrolli teenistus on volitatud selliseid andmeid käsutama.

2017: Mis ähvardab ebaseaduslikku mõju Venemaa kriitilisele IT-taristule

Vastavalt regulatiivsetele õigusaktidele 187-FZ kuuluvad uute nõuete alla finants-, transpordi-, energeetika-, telekommunikatsiooniettevõtted, samuti valdkonna organisatsioonid. Pärast seda esitatakse objektide loend teatise vormis Venemaa FSTEC-ile ja iga loendis oleva objekti jaoks määrab CII subjekt olulisuse kategooria, misjärel saadetakse kategoriseerimise tulemused FSTEC-ile kinnitamiseks. . Teatud kategooriatest lähtuvalt peab CII rajatiste omanik tulevikus rajama kaitse.

Ebaseaduslik mõjutamine hõlmab arvutiprogrammide või muu arvutiteabe loomist, levitamist ja/või kasutamist, mida kasutatakse tahtlikult kriitilises infrastruktuuris teabe blokeerimise, muutmise, kopeerimise hävitamiseks või selle teabe kaitsmise vahendite neutraliseerimiseks.

Lisaks toovad sanktsioonid kaasa ebaseadusliku juurdepääsu Vene Föderatsiooni kriitilises infoinfrastruktuuris sisalduvale kaitstud arvutiteabele, kui see on kahjustanud seda infrastruktuuri.

Karistused on ette nähtud ka kriitilises teabes sisalduva kaitstud arvutiteabe salvestamise, töötlemise või edastamise vahendite toimimise reeglite rikkumise eest. teabe struktuur, infosüsteemid, info- ja telekommunikatsioonivõrgud, automatiseeritud süsteemid riigi kriitilise teabe infrastruktuuriga seotud haldus- ja telekommunikatsioonivõrgud.

Taristut mõjutavate pahatahtlike programmide loomise eest oodatakse rikkujaid kuni viis aastat töötamist koos võimaliku vabaduse piiramisega kuni kahe aastani või vangistust kahe- kuni viieaastase rahatrahviga kuni viiesaja. tuhat kuni miljon rubla või summas palgad või muu süüdimõistetu sissetulek ühe kuni kolme aasta jooksul. Ebaseadusliku juurdepääsu eest kaitstud arvutiteabele sunnitöö kuni viieks aastaks rahatrahviga 500 tuhat kuni üks miljon rubla koos võimaliku vabaduse piiramisega kuni kaheks aastaks või kaheaastase vangistusega. kuni kuue aastani viiesaja tuhande kuni ühe miljoni rubla suuruse rahatrahviga.

Kaitstud arvutiteabe säilitamise, töötlemise või edastamise vahendite toimimise reeglite rikkumisele järgneb sunnitöö kuni viieks aastaks koos võimaliku õiguse võtmisega teatud ametikohtadele või tegevustele kuni kuni viie aastani. kuni kolme aastani. Samuti näeb see ette võimaliku kuni kuueaastase vangistuse.

Kui nimetatud teod pani toime isikute rühm eelneva vandenõu alusel, organiseeritud rühm või ametiseisundit kasutava isiku poolt karistuse raskus suureneb oluliselt: seadus näeb ette karistuseks kolme- kuni kaheksa-aastase vangistuse, millega võib kaasneda teatud ametikoha või teatud tegevusega tegelemise õiguse äravõtmine kuni kolmeks aastaks. aastat.

Kui isikute grupi poolt eelneva vandenõu või ametiseisundi alusel toime pandud samad teod tõid kaasa rasked tagajärjed, määratakse süüdlastele viie- kuni kümneaastane tähtaeg koos teatud ametikoha või tegevusega tegelemise õiguse äravõtmisega või ilma. kuni viieks aastaks.

1. jaanuaril 2018 jõustus föderaalseadus nr 187-FZ "Vene Föderatsiooni kriitilise teabe infrastruktuuri turvalisuse kohta", mis kehtib mitte ainult riigiasutuste ja äriorganisatsioonide, vaid ka üksikettevõtjate kohta.

Uue seadusandliku algatuse olemus ilmneb Vassili Stepanenko, osakonna direktor infoturbe ITECO kontserni kuuluv ettevõte "Servionika".

Millised on uue föderaalseaduse vastuvõtmise eeldused?Üheks põhjuseks on andmete turvalisusega seotud kasvavad riskid. Venemaa FSB andmetel üritati 2016. aastal rünnata Venemaa Föderatsiooni kriitilist infotaristut umbes 70 miljonit korda ja neist 2/3 olid rünnakud välismaalt.

Veerand Kaspersky Labi registreeritud sihipärastest küberrünnakutest olid suunatud tööstusettevõtetele. Infoturbeekspertide tähelepanekute järgi kahekordistus 2017. aastal APT rünnete arv ning keskmine ründaja viibimisaeg taristus - alates sissetungimisest kuni tuvastamiseni - on kolm aastat.

Mida on vaja parandada? Esiteks, GosSOPKA - riigisüsteem vastu suunatud arvutirünnakute tuvastamine, ennetamine ja tagajärgede kõrvaldamine teabeallikad RF.

Teiseks valitsusasutuste infosüsteemide turvalisus, sh tugevdamine isiklik vastutus infoturbe haldamine. Just neid kahte punkti rakendatakse suures osas 2017. aasta suvel vastu võetud KII ohutust käsitlevas föderaalses seaduses.

Milliseid tööstusharusid hõlmab 187-FZ? Uus seadus hõlmab tervishoidu, teadust, transporti, sidet, energeetikat, pangandust, rahandust, kütuse- ja energiakompleksi, tuumaenergiat, kaitset, kosmoseraketitööstust, kaevandust, metallurgia- ja keemiatööstust.

CII subjektid hõlmavad kõiki juriidilisi isikuid, kellel on ühes neist tööstusharudest kasutatav infosüsteem. Kolme kategooriasse jagatud oluliste CII objektide hulka kuuluvad kõik infosüsteemid, mille intsidendid võivad häirida nende sotsiaalselt olulisi funktsioone ja põhjustada olulist kahju.

Neile kehtivad infoturbe tagamisel kõige karmimad nõuded, mille täitmata jätmine võib kaasa tuua raskeid tagajärgi kuni kriminaalkaristuseni.

Kuidas reguleeritakse ja jälgitakse seadusesätete täitmist? Seadus määratleb neli regulaatorit: FSTEC ( Föderaalteenistus tehnilise ja ekspordikontrolli kohta) ja FSB kui peamised, Venemaa Pank ning Telekomi- ja Mtäiendavatena, kooskõlastades nõudeid CII rajatiste ohutuse tagamiseks oma reguleerimisalas.

FSTECi ülesanneteks on oluliste CII objektide kategoriseerimine ja registri pidamine, CII objektide infoturbe tagamise nõuete väljatöötamine ja nende rakendamise kontrollimine. FSB vastutab turvalisuse praktiliste aspektide eest, olles GosSOPKA peamine keskus.

Mida peab CII subjekt tegema seaduse nõuete täitmiseks? Kategoriseerige iseseisvalt kõik oma CII-objektid ja teatage neist kirjutamine FSTEC-ile teabe sisestamiseks KII oluliste objektide registrisse.

Reageerige arvutiintsidentidele, teavitades neist koheselt FSB-d ning abistades ametnikke intsidentide ennetamise, avastamise ja tagajärgede likvideerimisega seotud tegevustes. Täitke korraldus tehnilised tingimused GosSOPKA tehniliste vahendite paigaldamine ja kasutamine.

Kuidas hakkab rakendama seaduslikud nõudmised? FSTEC jälgib CII rajatiste õiget kategoriseerimist ja oluliste rajatiste infoturbe tagamise nõuete täitmist.

Plaanilised kontrollid viiakse läbi iga 3 aasta järel, plaanivälised - juhtumite alusel, presidendi ja valitsuse juhiste alusel või prokuratuuri nõudmisel.

KII rajatiste ohutuse hindamise viib läbi FSB. FSB analüüsib teavet GosSOPKA tehnilistest vahenditest, KII oluliste objektide registrist, subjektide esitatud teavet.

Mis juhtub, kui rikute seda seadust? Liigitamise ja teabe andmise kohustuse täitmata jätmine kohta üksikud saidid KII-d seadusega ei menetleta, küll aga karistatakse KII ohutuse tagamise nõuete täitmata jätmise eest, sh raskete tagajärgedega või nende tekkimise ohuga.

Kui keeruline on uue seaduse nõuete praktikas rakendamine? Enamik Venemaa tööstusettevõtteid kulutab täna infoturbele alla 50 miljoni rubla aastas.

Samas hindasid uuringu “Kui palju turvalisus maksab?” käigus küsitletud organisatsioonide juhid 27% organisatsioonide juhid küberründest tingitud taristu ühepäevase seisaku kahju suuruseks sama palju. Paljudel ettevõtetel puudub eraldi infoturbe eelarve: see on osa IT-eelarvest, moodustades sellest mitte rohkem kui 20%.

187-FZ nõuete ja reguleerivate asutuste põhimääruste rakendamiseks on vaja märkimisväärseid rahalisi vahendeid ning CII subjektide juhid peavad olukorrast kuidagi välja tulema. Tänapäeval on üks enim arutatud võimalusi CII-rajatiste täieliku kaitse tagamise probleemi lahendamiseks nende ühendamine ettevõtete reageerimiskeskustega (turvaoperatsioonide keskus - SOC).

Nad pakuvad täielikku valikut teenuseid infoturbesüsteemide jälgimiseks ja haldamiseks, intsidentide tuvastamiseks ja neile reageerimiseks. Sellest lähenemisest võib saada Venemaa infoturbe vallas üks olulisi suundi.

SOC-teenused võimaldavad CII-üksustel uue seaduse nõudeid säästlikumalt rakendada. 187-ФЗ jõustumisel muutub infoturbe tagamine pidevaks protsessiks, mitte süsteemi "külmutamiseks" võrdlusseisundis.

"Elutähtsa teabe infrastruktuuri turvalisuse kohta." Alates 2013. aastast, projekti staadiumis, on seda seadust infoturbe kogukonnas hoogsalt arutatud ja see on tekitanud palju küsimusi selle nõuete praktilise rakendamise osas. Nüüd, mil need nõuded on jõustunud ja paljud ettevõtted seisavad silmitsi vajadusega neid täita, on vaja vastata kõige põletavamatele küsimustele.

Mille jaoks see seadus on?

Uue seaduse eesmärk on reguleerida tegevust Venemaa Föderatsiooni infoinfrastruktuuri rajatiste turvalisuse tagamiseks, mille toimimine on riigi majanduse jaoks kriitilise tähtsusega. Selliseid objekte seaduses nimetatakse kriitilise teabe infrastruktuuri objektid(KII). Dokumendi kohaselt on infosüsteemid ja -võrgud, samuti automatiseeritud juhtimissüsteemid, mis töötavad valdkonnas:

• tervishoid;
• Teadused;
• transport;
• suhtlemine;
• energia;
• pangandus ja muud finantsturu valdkonnad;
• kütuse- ja energiakompleks;
• aatomienergia;
• kaitse- ja raketi- ja kosmosetööstus;
• mäe-, metallurgia- ja keemiatööstus.

Mõiste moodustavad CII-objektid, aga ka nendevahelise suhtluse korraldamiseks kasutatavad telekommunikatsioonivõrgud kriitilise teabe infrastruktuuri.

Mis on seaduse nr 187-FZ eesmärk ja kuidas see peaks toimima?

CII turvalisuse tagamise peamine eesmärk on CII stabiilne toimimine, sealhulgas selle vastu suunatud arvutirünnakute läbiviimisel. Turvalisuse peamine põhimõte on arvutirünnakute vältimine.

KII või KSI?

Enne infoturbe valdkonna uue CII seaduse tekkimist oli sarnane kontseptsioon " võtmesüsteemid Infoinfrastruktuur (FIAC). Alates 1. jaanuarist 2018 asendati FIACi mõiste ametlikult aga mõistega "FIACi olulised rajatised".

Milliseid organisatsioone see seadus hõlmab?

Elutähtsate infrastruktuuride ohutuse seaduse nõuded puudutavad neid organisatsioone (riigiasutused ja institutsioonid, juriidilised isikud ja üksikettevõtjad), kes omavad (omandi-, rendi- või muul alusel). õiguslik alus) CII objektid või mis tagavad nende koostoime. Selliseid organisatsioone nimetatakse seaduses CII subjektideks.

Milliseid meetmeid peaksid CII-üksused seaduse järgimiseks võtma?

Dokumendi kohaselt peavad CII subjektid:

• kategoriseerida CII objekte;
• tagada integreerimine (manustamine) Vene Föderatsiooni inforessurssidele suunatud arvutirünnete avastamise, ennetamise ja tagajärgede likvideerimise riiklikku süsteemi (GosSOPKA);
• võtta korralduslikke ja tehnilisi meetmeid, et tagada KII rajatiste ohutus.

Mida sisaldab CII objektide kategoriseerimine?

KII objekti kategoriseerimine hõlmab selle olulisuse kategooria määratlemist mitmete kriteeriumide ja näitajate alusel. Kokku on kolm kategooriat: esimene, teine ​​või kolmas. Kui CII objekt ei vasta ühelegi kehtestatud kriteeriumile, ei omistata sellele ühtegi kategooriat. Neid CII objekte, millele on määratud üks kategooriatest, nimetatakse seaduses olulisteks CII objektideks.

• KII olulise objekti nimetus;
• CII subjekti nimetus;
• teave KII olulise objekti ja telekommunikatsioonivõrkude koostoime kohta;
• teave olulist CII rajatist haldava isiku kohta;
• määratud olulisuse kategooria;
• teave TII olulises rajatises kasutatava tarkvara ning tarkvara ja riistvara kohta;
• olulise CII objekti ohutuse tagamiseks rakendatavad meetmed.

Oluline on märkida, et kui kategoriseerimise käigus tehti kindlaks, et CII objekti jaoks puudub olulisuse kategooria, tuleks kategoriseerimise tulemused siiski esitada FSTEC-ile. Regulaator kontrollib esitatud materjale ja vajadusel saadab kommentaarid, millega CII subjekt peab arvestama. Kui CII subjekt ei esita andmeid kategoriseerimise kohta, on FSTEC-l õigus seda teavet nõuda.

CII oluliste objektide registri pidamise kord määratakse vastava korraldusega, mille eelnõu on juba avaldatud.

Kuidas CII objekte kategoriseerida?

Olulisuse kriteeriumide näitajad, kategoriseerimise järjekord ja ajastus määratakse vastava valitsuse määrusega, mille eelnõu on samuti koostatud. Dokumendi praeguse versiooni kohaselt hõlmab kategoriseerimise protseduur:

• kõikide protsesside määratlemine, mida CII subjekt oma tegevuse raames teostab;
• kriitiliste protsesside tuvastamine, mille rikkumine või lõpetamine võib kaasa tuua negatiivseid tagajärgi kogu riigis;
• kategoriseerimisele kuuluvate CII objektide loetelu määramine - see etapp tuleb läbida 6 kuu jooksul arvates valitsuse määruse jõustumise kuupäevast;
• olulisuse kriteeriumide näitajate hindamine vastavalt kehtestatud väärtustele - kogu valitsuse määruse eelnõu näeb ette 14 näitajat, mis määravad ära CII rajatise sotsiaalse, poliitilise, majandusliku tähtsuse ning olulisuse riigi kaitse, riigi julgeoleku ja õiguskaitse tagamisel. ja tellida;
• CII objektide vastavuse tuvastamine näitajate väärtustele ja igaühele neist ühe olulisuse kategooria määramine või otsuse tegemine, et neile ei ole vaja ühte olulisuse kategooriat määrata.

Klassifikatsiooni nii olemasolevate kui ka loodud või kaasajastatud CII rajatiste puhul peaks läbi viima CII subjekti töötajate spetsiaalne komisjon. Komisjoni otsus vormistatakse asjakohase aktiga ja 10 päeva jooksul pärast selle kinnitamist tuleb teave kategoriseerimise tulemuste kohta saata FSTEC-ile. Maksimaalne tähtaeg CII objektide kategoriseerimine - 1 aasta alates kuupäevast, mil CII subjekt on CII objektide loetelu heaks kiitnud.

See tellimus on esialgne ja vajab täpsustamist pärast vastava valitsuse määruse kinnitamist.

Mis on GosSOPKA ja milleks see on ette nähtud?

Mis saab siis, kui selle seaduse nõuded ei ole täidetud?

Koos 26. juuli 2017. aasta föderaalseaduse nr 187-FZ "KII ohutuse kohta" kinnitamisega, art. 274,1, kriminaliseerimine ametnikud teema CII CII rajatise tehniliste vahendite kasutamise aktsepteeritud reeglite eiramise või neile juurdepääsu korra rikkumise eest kuni 6-aastase vangistuseni.

Seni ei näe see artikkel ette vastutust KII rajatise ohutuse tagamiseks vajalike meetmete täitmata jätmise eest, kuid tagajärgede (õnnetused ja hädaolukorrad millega kaasneb ulatuslik kahju) selliste meetmete võtmata jätmine kuulub art. Vene Föderatsiooni kriminaalkoodeksi artikkel 293 "Hoolimatus". Lisaks peaksite ootama muudatusi haldusõigus juriidilistele isikutele KII ohutuse seaduse täitmata jätmise eest karistuste määramise valdkonnas. KOOS suur osakaal usaldust, võime öelda, et just märkimisväärsete rahaliste trahvide kehtestamine stimuleerib TSI subjekte täitma arutlusel oleva seaduse nõudeid. [ics-cert.kaspersky.com]

Toimetus tänab Kaspersky Labi selle artikli kordustrükkimise loa eest.

Viimaste maailma arvutirünnakute taustal on föderaalseadus 26. juuli 2017 nr 187-FZ "Vene Föderatsiooni kriitilise teabe infrastruktuuri turvalisuse kohta", mille eesmärk on luua riiklik süsteem riigi teaberessurssidele suunatud rünnakute avastamiseks, ennetamiseks ja tagajärgede kõrvaldamiseks, mis siseneb jõustub 1. jaanuaril 2018.a.

Eelnõu nr 47571-7 "Vene Föderatsiooni kriitilise tähtsusega infoinfrastruktuuri turvalisuse kohta" seletuskirjas rõhutati, et "praegune üleminek infoühiskonnale Vene Föderatsioonis toob kaasa asjaolu, et valdav enamus majandussektorites ja sfääris valitsuse kontrolli all rakendatakse või plaanitakse ellu viia infotehnoloogia abil. Erinevates infosüsteemid juba salvestatakse ja töödeldakse märkimisväärses koguses teavet, sealhulgas probleemidega seotud teavet avalik kord ning kaitse-, finants- ning teadus- ja tehnikasfäär, privaatsus kodanikele. Samaaegselt Infotehnoloogia on laialdaselt rakendatud tootmise automatiseeritud juhtimissüsteemide ehitamisel ja tehnoloogilised protsessid kasutatakse Venemaa Föderatsiooni kriitilise infrastruktuuri kütuse- ja energia-, finants-, transpordi- ja muudes sektorites.

Eelnõu koostajate hinnangul „võib kriitilise info infrastruktuuri kahjustamine kaasa tuua katastroofilised tagajärjed ning arvestades, et tegemist on lüliga riikliku taristu teiste sektorite vahel, toob see paratamatult kaasa kahju nendele sektoritele. Info- ja kommunikatsioonitehnoloogiate üleminek digitaalsele signalisatsioonisüsteemile on lihtsustanud ja osaliselt automatiseerinud protsesside juhtimist, kuid samas muutnud need haavatavamaks arvutirünnete suhtes. Pahatahtlik programm, mille eesmärk on teha muudatusi programmi kahendkoodis (binaarnumbrisüsteemis kirjutatud programmialgoritm), on võimeline keelama kõik binaarkoodi kasutavad seadmed. Samal ajal kuritegelikel, terroristlikel ja luureeesmärkidel korraldatud rünnakud üksikisikud, kogukonnad, välismaised eriteenistused ja organisatsioonid.

Halvima stsenaariumi korral võib arvutirünnak täielikult halvata riigi kriitilise infoinfrastruktuuri ja põhjustada sotsiaalse, rahalise ja/või keskkonnakatastroofi.

Seletuskirjas märgiti ka, et "Vene Föderatsiooni sotsiaal-majandusliku arengu stabiilsus ja julgeolek sõltuvad tegelikult otseselt info- ja telekommunikatsioonivõrkude ning infosüsteemide töökindlusest ja ohutusest".

Kriitilise infoinfrastruktuuri subjektide tegevuse koordineerimise tagamiseks arvutirünnete avastamisel, ennetamisel ja tagajärgede likvideerimisel ning arvutiintsidentidele reageerimisel luuakse riiklik arvutiintsidentide koordinatsioonikeskus (artikkel 5, osa 2). .

Vene Föderatsiooni teaberessurssidele suunatud arvutirünnakute tuvastamise, ennetamise ja tagajärgede kõrvaldamise riiklikus süsteemis kogutakse, kogutakse, süstematiseeritakse ja analüüsitakse teavet, mis:

• Tegutseda arvutirünnete tuvastamiseks, ennetamiseks ja tagajärgede kõrvaldamiseks mõeldud vahenditega;
• Tutvustavad end kriitilise infoinfrastruktuuri subjektidena ja föderaalorgan täitevvõim, mis on volitatud Venemaa Föderatsiooni kriitilise teabe infrastruktuuri turvalisuse tagamise valdkonnas vastavalt teabe loetelule;
• Tutvustage end teiste organite ja organisatsioonidena, mis ei ole kriitilise teabe infrastruktuuri subjektid, sealhulgas välismaised ja rahvusvahelised.

Kriitilise teabe infrastruktuuri oluliste objektide arvestamiseks luuakse register (artikkel 8). Sellest saadav teave saadetakse riigisüsteemi Vene Föderatsiooni teaberessurssidele suunatud arvutirünnakute tagajärgede tuvastamiseks, ennetamiseks ja kõrvaldamiseks.

Kriitilise infotaristu turvalisuse hindamist viib läbi riigisüsteemi toimimise tagamise valdkonnas volitatud föderaalne täitevorgan, et prognoosida võimalike ohtude tekkimist kriitilise info infrastruktuuri turvalisusele ja töötada välja meetmed kriitilise info infrastruktuuri turvalisuse tagamiseks. suurendada selle toimimise stabiilsust arvutirünnakute vastu võitlemisel (volitatud föderaalne täitevvõim) (artikkel 12).

Ohutushinnangus analüüsitakse:

• Andmed, mis on saadud arvutirünnete tuvastamiseks, ennetamiseks ja tagajärgede kõrvaldamiseks ning arvutiintsidentidele reageerimiseks mõeldud tööriistade kasutamisel, sealhulgas teave kriitilise teabe infrastruktuuri objektide interaktsiooni korraldamiseks kasutatavates telekommunikatsioonivõrkudes esinemise kohta, arvutirünnakute tunnused;
• Teave, mida annavad kriitilise teabe infrastruktuuri subjektid ja volitatud föderaalsed täitevvõimud vastavalt teabeloendile, samuti muud mittesubjektsed organid ja organisatsioonid, sealhulgas välismaised ja rahvusvahelised;
• Tulemuste järel riigisüsteemi edastatud teave riiklik kontroll, kriitilise teabe infrastruktuuri oluliste objektide turvalisuse tagamise nõuete rikkumisest, mille tulemusena luuakse eeldused arvutiintsidentide esinemiseks;
• Muu teave, mille volitatud föderaalne täidesaatev asutus on saanud vastavalt Vene Föderatsiooni õigusaktidele.