Zákon o bezpečnosti kritickej informačnej infraštruktúry. Preskúmanie návrhu zákona „o bezpečnosti kritickej informačnej infraštruktúry
2. augusta 2019, Rozpočty subjektov federácie. Medzirozpočtové vzťahy Prezident Ruska podpísal federálny zákon vypracovaný vládou, ktorého cieľom je zlepšiť systém medzirozpočtových vzťahov Federálny zákon z 2. augusta 2019 č. 307-FZ. Návrh federálneho zákona bol predložený Štátnej dume uznesením vlády z 24. októbra 2018 č. 2288-r. Federálny zákon špecifikuje podmienky a postup pri rozdeľovaní a poskytovaní medzirozpočtových transferov. Upresňujú sa ustanovenia upravujúce poskytovanie dotácií do rozpočtov zakladajúcich subjektov federácie z federálneho rozpočtu, a to aj vo forme jednotnej dotácie.
2. augusta 2019, Demografická politika Prezident Ruska podpísal federálny zákon vypracovaný vládou o zmene postupu pri stanovovaní mesačných platieb v súvislosti s narodením alebo adopciou prvého alebo druhého dieťaťa. Federálny zákon z 2. augusta 2019 č. 305-FZ. Návrh federálneho zákona bol predložený Štátnej dume uznesením vlády z 28. mája 2019 č. 1092-r. Federálny zákon mení kritérium potreby, v súlade s ktorým budú občania prideľovaní mesačná platba v súvislosti s narodením (adopciou) prvého alebo druhého dieťaťa. Od 1. januára 2020 budú mať nárok na takéto platby rodiny, ktorých priemerný príjem na obyvateľa nepresahuje dvojnásobok životného minima obyvateľstva v produktívnom veku stanoveného v zakladajúcom subjekte federácie. Navyše, takáto mesačná platba bude občanom vyplácaná až do dovŕšenia troch rokov veku dieťaťa.
2. augusta 2019, Obeh liekov, zdravotníckych pomôcok a látok Prezident Ruska podpísal federálny zákon o objasnení pravidiel týkajúcich sa zaobchádzania s lieky na veterinárne použitie Federálny zákon z 2. augusta 2019 č. 297-FZ. Federálne právo, najmä Rosselchoznadzor, má právo konať skúšobný nákup lieky na veterinárne použitie v obehu. Ministerstvo poľnohospodárstva Ruska je splnomocnené schváliť postup pri predpisovaní liekov na veterinárne použitie, pričom schvaľuje formu liekov na predpis pre tieto lieky. lieky, poradie ich účtovania a skladovania.
2. augusta 2019, Protiteroristická bezpečnosť Prezident Ruska podpísal federálny zákon vypracovaný vládou o zmenách v právnej úprave bezpečnosti bezpečnosť dopravy Federálny zákon z 2. augusta 2019 č. 270-FZ. Návrh federálneho zákona bol predložený Štátnej dume uznesením vlády z 21. marca 2015 č. 469-r. Najmä federálny zákon stanovuje, že kategorizácia predmetov patrí medzi hlavné úlohy zaistenia bezpečnosti dopravy dopravnej infraštruktúry ako aj posúdenie zraniteľnosti zariadení dopravnej infraštruktúry, ktoré podliehajú kategorizácii, a lodí flotily ľadoborcov používaných na sprevádzanie po námorných trasách, lodí, na ktoré sa vzťahujú pravidlá obchodná doprava a požiadavky na bezpečnosť lodí a prístavných zariadení ustanovené medzinárodnými zmluvami.
2. augusta 2019, Všeobecné otázky priemyselnej politiky Prezident Ruska podpísal federálne zákony vypracované vládou na zlepšenie mechanizmu špeciálnych investičných zmlúv Federálne zákony z 2. augusta 2019 č. 290-FZ, č. 269-FZ. Návrhy federálnych zákonov boli predložené Štátnej dume nariadeniami vlády zo dňa 13. apríla 2019 č. 722-r, č. 723-r. Pre rozvoj high-tech výroby a zlepšenie mechanizmu uzatvárania SPIC sa upresňujú požiadavky na zmluvu a jej zmluvné strany, predmet a obsah, postup uzatvárania, zmeny, ukončenia a ukončenia zmluvy. Pre daňovníkov zúčastňujúcich sa na SPIC sadzba dane z príjmov právnických osôb, ktorá sa má započítať federálny rozpočet, je nastavený na 0 %.
2. augusta 2019, Dane a nedaňové platby. Finančné výkazníctvo a audit Prezident Ruska podpísal federálny zákon o rozšírení zoznamu potravinárskych výrobkov podliehajúcich DPH Federálny zákon z 2. augusta 2019 č. 268-FZ. Do zoznamu potravinárskych výrobkov podliehajúcich dani z pridanej hodnoty pri ich predaji pod Sadzba dane 10%, zahŕňa ovocie a bobule vrátane hrozna.
2. augusta 2019, Pozemkové vzťahy. Katastrálny systém. Vlastníctvo. Hodnotiaca činnosť Prezident Ruska podpísal federálny zákon o objasnení postupu registrácie práv na záhradné domčeky a iné nehnuteľnosti Federálny zákon z 2. augusta 2019 č. 267-FZ. Do 1. marca 2021 je dovolené viesť štát katastrálny zápis alebo zápisu práv k obytnému alebo záhradnému domčeku vytvorenému na pozemku určenom na záhradníctvo len na základe technického plánu vyhotoveného podľa ohlásenia objektu vyhotoveného vlastníkom pozemku a dokladu titulovať pozemok ak v Jedno štátny register právo žiadateľa k pozemku, na ktorom sa táto nehnuteľnosť nachádza, nie je evidované.
2. augusta 2019, Menová politika. Finančné trhy Prezident Ruska podpísal federálny zákon o objasnení požiadaviek na zahraničné platobné systémy Federálny zákon z 2. augusta 2019 č. 264-FZ. Federálny zákon stanovuje požiadavky pre zahraničné platobné systémy pôsobiace v Rusku a pre zahraničné pravidlá platobný systém vrátane systému riadenia rizík a požiadaviek na ochranu informácií.
2. augusta 2019, pracovná streda. Rozvoj konkurencie Prezident Ruska podpísal federálny zákon o právnej úprave činnosti prevádzkovateľov investičných platforiem Federálny zákon z 2. augusta 2019 č. 259-FZ. Federálne právo upravuje vzťahy vznikajúce v súvislosti s investovaním a získavaním investícií pomocou investičných platforiem a tiež ustanovuje právny základčinnosti prevádzkovateľov takýchto platforiem. Investičnou platformou sa v tomto prípade rozumie informačný systém na internete, ktorý slúži na uzatváranie investičných zmlúv.
Prezident Ruska podpísal federálny zákon o zmenách a doplneniach legislatívy v oblasti úspory energie a zvyšovania energetickej účinnosti Federálny zákon z 26. júla 2019 č. 241-FZ. Federálny zákon týkajúci sa bytové domy, ktorého fyzické opotrebenie hlavných konštrukčných prvkov presahuje 70 % a ktoré nie sú zahrnuté v regionálnom programe generálnej opravy spoločnej nehnuteľnosti, ako aj pri domoch zaradených do programu obnovy, požiadavky na povinné účtovanie vyrobených , prenášané, spotrebované energetické zdroje pomocou meracích zariadení sú vylúčené. 1článok 1. Rozsah tohto federálneho zákona
Tento federálny zákon upravuje vzťahy v oblasti zaistenia bezpečnosti kritických osôb informačnej infraštruktúry Ruská federácia(ďalej aj kritická informačná infraštruktúra) za účelom jej stabilného fungovania pri vykonávaní proti jej počítačovým útokom.
Článok 2 Základné pojmy používané v tomto federálnom zákone
Na účely tohto federálneho zákona sa používajú tieto základné pojmy:
1) automatizovaný riadiaci systém - súbor softvéru a softvéru a hardvéru určeného na riadenie technologických a (alebo) výrobné zariadenia(výkonné zariadenia) a procesy, ktoré produkujú, ako aj na kontrolu takýchto zariadení a procesov;
2) bezpečnosť kritickej informačnej infraštruktúry - stav ochrany kritickej informačnej infraštruktúry, ktorý zabezpečuje jej stabilnú prevádzku pri jej počítačových útokoch;
3) významný objekt kritickej informačnej infraštruktúry - objekt kritickej informačnej infraštruktúry, ktorému bola pridelená jedna z kategórií významnosti a ktorý je zaradený do registra významných objektov kritickej informačnej infraštruktúry;
4) počítačový útok - účelový vplyv softvéru a (alebo) softvéru a hardvéru na objekty kritickej informačnej infraštruktúry, telekomunikačné siete používané na organizáciu interakcie takýchto objektov s cieľom narušiť a (alebo) ukončiť ich fungovanie a (alebo) vytvárať hrozbu pre bezpečnosť spracúvaných takýchto predmetov informácií;
5) počítačový incident - narušenie a (alebo) ukončenie fungovania objektu kritickej informačnej infraštruktúry, telekomunikačnej siete používanej na organizáciu interakcie takýchto objektov a (alebo) porušenie bezpečnosti informácií spracúvané takýmto objektom, vrátane tých, ktoré sa vyskytli v dôsledku počítačového útoku;
6) kritická informačná infraštruktúra - objekty kritickej informačnej infraštruktúry, ako aj telekomunikačné siete používané na organizáciu interakcie takýchto objektov;
7) objekty kritickej informačnej infraštruktúry - informačné systémy, informačné a telekomunikačné siete, automatizované riadiace systémy pre subjekty kritickej informačnej infraštruktúry;
8) subjekty kritickej informačnej infraštruktúry - vládne orgány, vládne agentúry, ruský právnických osôb a (alebo) individuálni podnikatelia, ktorí na základe vlastníctva, prenájmu alebo inak právny základ vlastní informačné systémy, informačné a telekomunikačné siete, automatizované riadiace systémy pôsobiace v oblasti zdravotníctva, vedy, dopravy, spojov, energetiky, bankovníctva a iných oblastí finančného trhu, palivového a energetického komplexu, v oblasti atómovej energetiky, obrany , raketový a vesmírny, ťažobný, hutnícky a chemický priemysel, ruské právnické osoby a (alebo) individuálni podnikatelia, ktorí zabezpečujú interakciu týchto systémov alebo sietí.
Článok 3. Právna úprava vzťahov v oblasti zaistenia bezpečnosti kritickej informačnej infraštruktúry
1. Vzťahy v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry sú upravené v súlade s Ústavou Ruskej federácie, všeobecne uznávanými zásadami a normami medzinárodné právo, tento federálny zákon, ďalšie federálne zákony a iné regulačné predpisy právne úkony.
2. Vlastnosti aplikácie tohto federálneho zákona na komunikačné siete bežné používanie sú určené federálnym zákonom zo 7. júla 2003 N 126-FZ „O komunikáciách“ a regulačnými právnymi aktmi Ruskej federácie prijatými v súlade s ním.
článok 4. Princípy bezpečnosti pre kritickú informačnú infraštruktúru
Princípy zaistenia bezpečnosti kritickej informačnej infraštruktúry sú:
1) zákonnosť;
2) kontinuita a komplexnosť zaistenia bezpečnosti kritickej informačnej infraštruktúry, dosiahnutá okrem iného aj súčinnosťou oprávnených federálnych orgánov výkonná moc a subjekty kritickej informačnej infraštruktúry;
3) priorita predchádzania počítačovým útokom.
Článok 5. Štátny systém na zisťovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruská federácia
1. Štátny systém odhaľovania, predchádzania a odstraňovania následkov počítačových útokov na informačné zdroje Ruskej federácie je jednotný geograficky distribuovaný komplex, ktorý zahŕňa sily a prostriedky určené na odhaľovanie, predchádzanie a odstraňovanie následkov počítačových útokov a reakciu na počítačové útoky. incidentov. Za účelom tohto článku informačnými zdrojmi Ruskej federácie sa rozumejú informačné systémy, informačné a telekomunikačné siete a automatizované riadiace systémy umiestnené na území Ruskej federácie, v r. diplomatické misie a/alebo konzulárne úrady Ruská federácia.
2. Medzi sily určené na detekciu, prevenciu a elimináciu následkov počítačových útokov a reakciu na počítačové incidenty patria:
1) útvary a úradníci federálneho výkonného orgánu oprávnení zabezpečiť fungovanie štátneho systému na odhaľovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruskej federácie;
2) organizácia vytvorená federálnym výkonným orgánom oprávnená v oblasti zabezpečenia fungovania štátneho systému na odhaľovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruskej federácie, na zabezpečenie koordinácie činností subjektov kritickej informačnej infraštruktúry o odhaľovaní, prevencii a odstraňovaní následkov počítačových útokov a reakcií na počítačové incidenty (ďalej len - národné koordinačné centrum pre počítačové incidenty);
3) útvary a funkcionári subjektov kritickej informačnej infraštruktúry, ktorí sa podieľajú na odhaľovaní, prevencii a odstraňovaní následkov počítačových útokov a na reagovaní na počítačové incidenty.
3. Prostriedky na zisťovanie, predchádzanie a odstraňovanie následkov počítačových útokov a reagovanie na počítačové incidenty sú technické, softvérové, softvérové a hardvérové a iné prostriedky na zisťovanie (vrátane hľadania znakov počítačových útokov v telekomunikačných sieťach používaných na organizáciu interakčných objektov kritická informačná infraštruktúra), predchádzanie, odstraňovanie následkov počítačových útokov a (alebo) výmena informácií požadovaných subjektmi kritickej informačnej infraštruktúry pri zisťovaní, predchádzaní a (alebo) odstraňovaní následkov počítačových útokov, ako aj kryptografické prostriedky na ochranu takýchto informácií.
4. Národné koordinačné centrum pre počítačové incidenty vykonáva svoju činnosť v súlade s predpismi schválenými federálnym výkonným orgánom povereným zabezpečovaním fungovania štátneho systému odhaľovania, predchádzania a odstraňovania následkov počítačových útokov na informačné zdroje Slovenskej republiky. Ruskej federácie.
5. V štátnom systéme odhaľovania, predchádzania a odstraňovania následkov počítačových útokov na informačné zdroje Ruskej federácie je zhromažďovanie, zhromažďovanie, systematizácia a analýza informácií, ktoré smerujú do tento systém prostredníctvom prostriedkov určených na odhaľovanie, predchádzanie a odstraňovanie následkov počítačových útokov, informácie, ktoré poskytujú subjekty kritickej informačnej infraštruktúry a federálny výkonný orgán oprávnený v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry Ruská federácia, v súlade so zoznamom informácií a spôsobom určeným federálnym orgánom výkonným orgánom povereným v oblasti zabezpečenia fungovania štátneho systému na odhaľovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruskej federácie. Ruská federácia, ako aj informácie, ktoré môžu poskytovať iné orgány a organizácie, ktoré nie sú subjektmi kritickej informačnej infraštruktúry, vrátane zahraničných a medzinárodných.
6. Federálny výkonný orgán, poverený v oblasti zabezpečovania fungovania štátneho systému na odhaľovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruskej federácie, organizuje spôsobom ním ustanoveným výmenu informácií. informácie o počítačových incidentoch medzi subjektmi kritickej informačnej infraštruktúry, ako aj medzi subjektmi kritickej informačnej infraštruktúry a oprávnenými orgánmi cudzie štáty, medzinárodné, medzinárodné mimovládne organizácie a zahraničné organizácie vykonávajúce činnosť v oblasti reagovania na počítačové incidenty.
7. Poskytovanie informácií, ktoré tvoria štátne alebo iné zákonom chránené tajomstvo, zo štátneho systému odhaľovania, predchádzania a odstraňovania následkov počítačových útokov na informačné zdroje Ruskej federácie sa vykonáva v súlade s právnymi predpismi Ruskej federácie.
Článok 6. Právomoci prezidenta Ruskej federácie a orgánov štátnej moci Ruskej federácie v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry
1. Prezident Ruskej federácie určuje:
1) hlavné smery verejná politika v oblasti zaistenia bezpečnosti kritickej informačnej infraštruktúry;
2) federálny orgán výkonná zložka oprávnená zabezpečovať bezpečnosť kritickej informačnej infraštruktúry Ruskej federácie;
3) federálny výkonný orgán poverený v oblasti zabezpečenia fungovania štátneho systému na odhaľovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruskej federácie;
4) postup pri vytváraní a úlohách štátneho systému odhaľovania, predchádzania a odstraňovania následkov počítačových útokov na informačné zdroje Ruskej federácie.
2. Vláda Ruskej federácie ustanovuje:
1) ukazovatele kritérií pre významnosť objektov kritickej informačnej infraštruktúry a ich význam, ako aj postup a načasovanie ich kategorizácie;
2) postup pri výkone štátnej kontroly v oblasti zaisťovania bezpečnosti významných objektov kritickej informačnej infraštruktúry;
3) postup prípravy a využívania zdrojov jednotnej telekomunikačnej siete Ruskej federácie na zabezpečenie fungovania významných objektov kritickej informačnej infraštruktúry.
3. Federálny výkonný orgán oprávnený v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie:
2) schvaľuje postup vedenia registra významných objektov kritickej informačnej infraštruktúry a vedie tento register;
3) schvaľuje formulár na zasielanie informácií o výsledkoch zaradenia kritickej informačnej infraštruktúry do niektorej z kategórií významnosti alebo o absencii potreby priradenia niektorej z takýchto kategórií;
4) ustanovuje požiadavky na zaistenie bezpečnosti významných objektov kritickej informačnej infraštruktúry (požiadavky na zaistenie bezpečnosti informačných a telekomunikačných sietí, ktorým bola pridelená jedna z kategórií významnosti a ktoré sú zaradené do registra významných objektov kritických informácií infraštruktúry, sú zriadené po dohode s federálnym výkonným orgánom, ktorý plní funkcie pri tvorbe a realizácii štátnej politiky a právnej regulácie v oblasti spojov), ako aj požiadavky na vytváranie bezpečnostných systémov týchto zariadení a zabezpečovanie ich prevádzky. (v bankovom sektore a v iných oblastiach finančného trhu stanovuje tieto požiadavky v súlade s centrálna banka Ruská federácia);
5) vykonáva štátnu kontrolu v oblasti zaistenia bezpečnosti významných objektov kritickej informačnej infraštruktúry a na základe výsledkov tejto kontroly schvaľuje aj formu inšpekčnej správy.
4. Federálny výkonný orgán poverený v oblasti zabezpečenia fungovania štátneho systému odhaľovania, predchádzania a odstraňovania následkov počítačových útokov na informačné zdroje Ruskej federácie:
1) predkladá návrhy na zlepšenie regulácie právna úprava v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry prezidentovi Ruskej federácie a (alebo) vláde Ruskej federácie;
2) vytvára národné koordinačné centrum pre počítačové incidenty a schvaľuje o ňom nariadenia;
3) koordinuje činnosť subjektov kritickej informačnej infraštruktúry pri odhaľovaní, prevencii a odstraňovaní následkov počítačových útokov a reakcií na počítačové incidenty;
4) organizuje a vykonáva hodnotenie bezpečnosti kritickej informačnej infraštruktúry;
5) určuje zoznam informácií predkladaných štátnemu systému na zisťovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruskej federácie a postup ich predkladania;
6) schvaľuje postup informovania federálneho výkonného orgánu oprávneného v oblasti zabezpečenia fungovania štátneho systému na odhaľovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruskej federácie, o počítačových incidentoch, reagovanie na ne, prijatie opatrení na odstránenie následkov počítačových útokov proti významným objektom kritickej informačnej infraštruktúry (v bankovom sektore a v iných oblastiach finančného trhu je určený postup schválený po dohode s Centrálnou bankou Ruskej federácie);
7) schvaľuje postup pri výmene informácií o počítačových incidentoch medzi subjektmi kritickej informačnej infraštruktúry, medzi subjektmi kritickej informačnej infraštruktúry a oprávnenými orgánmi cudzích štátov, medzinárodnými, medzinárodnými mimovládnymi organizáciami a zahraničnými organizáciami vykonávajúcimi činnosť v oblasti reagovanie na počítačové incidenty, ako aj postup prijímania kritickej informačnej infraštruktúry informácií o prostriedkoch a metódach vykonávania počítačových útokov ao metódach ich prevencie a odhaľovania;
8) organizuje inštaláciu na významných zariadeniach kritickej informačnej infraštruktúry a v telekomunikačných sieťach používaných na organizáciu interakcie zariadení kritickej informačnej infraštruktúry, prostriedkov na zisťovanie, predchádzanie a odstraňovanie následkov počítačových útokov a reagovanie na počítačové incidenty;
9) stanovuje požiadavky na nástroje určené na zisťovanie, predchádzanie a odstraňovanie následkov počítačových útokov a reagovanie na počítačové incidenty;
10) schvaľuje postup, technické podmienky inštalácie a prevádzky nástrojov určených na zisťovanie, predchádzanie a odstraňovanie následkov počítačových útokov a reagovanie na počítačové incidenty, s výnimkou nástrojov určených na vyhľadávanie znakov počítačových útokov v používaných telekomunikačných sieťach. organizovať interakciu objektov kritickej informačnej infraštruktúry (v bankovom sektore a v iných oblastiach finančného trhu schvaľuje stanovený postup a technické podmienky po dohode s Centrálnou bankou Ruskej federácie).
5. Federálny výkonný orgán zodpovedný za tvorbu a realizáciu štátnej politiky a právnej úpravy v oblasti spojov schvaľuje po dohode s federálnym výkonným orgánom poverený zabezpečovaním fungovania štátneho systému odhaľovania, predchádzania a odstraňovania tzv. dôsledky počítačových útokov na informačné zdroje Ruskej federácie, postup, technické podmienky inštalácie a prevádzky nástrojov určených na vyhľadávanie znakov počítačových útokov v telekomunikačných sieťach používaných na organizáciu interakcie objektov kritickej informačnej infraštruktúry.
1. Kategorizácia objektu kritickej informačnej infraštruktúry je zistenie súladu objektu kritickej informačnej infraštruktúry s kritériami významnosti a ukazovateľmi ich hodnôt, pridelenie jednej z kategórií významnosti, overenie informácií o výsledky jeho zadania.
1) spoločenský význam vyjadrený v hodnotení možnej škody spôsobenej na živote alebo zdraví ľudí, možnosti zastavenia alebo narušenia prevádzky objektov na zabezpečenie života obyvateľstva, dopravnej infraštruktúry, komunikačných sietí, ako aj maximálny čas neprístupnosti verejná služba pre príjemcov takejto služby;
2) politický význam vyjadrený v hodnotení možného poškodenia záujmov Ruskej federácie vo veciach vnútornej a zahraničnej politiky;
3) ekonomický význam vyjadrený v hodnotení možného spôsobenia priamych a nepriamych škôd subjektom kritickej informačnej infraštruktúry a (alebo) rozpočtov Ruskej federácie;
4) environmentálny význam vyjadrený pri hodnotení úrovne vplyvu na životné prostredie;
5) význam objektu kritickej informačnej infraštruktúry pre zabezpečenie obrany, bezpečnosti štátu a verejného poriadku.
3. Stanovujú sa tri kategórie dôležitosti objektov kritickej informačnej infraštruktúry – prvá, druhá a tretia.
4. Subjekty kritickej informačnej infraštruktúry podľa kritérií významnosti a ukazovateľov ich hodnôt, ako aj poradia kategorizácie priraďujú jednu z kategórií významnosti k nim patriacim objektom kritickej informačnej infraštruktúry na základe vlastníctva. , nájom alebo iný právny základ. Ak objekt kritickej informačnej infraštruktúry nespĺňa kritériá významnosti, ukazovatele týchto kritérií a ich hodnoty, nie je zaradený do žiadnej z týchto kategórií.
5. Informáciu o výsledkoch zaradenia kritickej informačnej infraštruktúry do niektorej z kategórií významnosti alebo o absencii potreby priradenia niektorej z takých kategórií subjektov kritickej informačnej infraštruktúry v r. písanie do desiatich dní odo dňa ich prijatia príslušného rozhodnutia sa zasielajú federálnemu výkonnému orgánu oprávnenému v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie v ním schválenej forme.
6. Federálny výkonný orgán poverený v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie do tridsiatich dní odo dňa prijatia informácie uvedenej v časti 5 tohto článku overí dodržanie postupu pri implementáciu kategorizácie a správne zaradenie kritickej informačnej infraštruktúry do niektorej z kategórií významnosti, prípadne nepriradenie žiadnej z týchto kategórií.
7. Ak subjekt kritickej informačnej infraštruktúry vyhovel postupu kategorizácie a predmetu kritickej informačnej infraštruktúry je správne priradená jedna z kategórií dôležitosti objektu kritickej informačnej infraštruktúry, ktorá mu prislúcha s právom vlastníctvo, nájom alebo iný právny základ federálny výkonný orgán oprávnený v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie zapisuje informácie o takomto objekte kritickej informačnej infraštruktúry do registra významných objektov kritickej informačnej infraštruktúry, o ktorých je subjekt kritickej informačnej infraštruktúry informovaný do desiatich dní.
8. V prípade, že federálny výkonný orgán oprávnený v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie odhalí porušenie postupu pri kategorizácii a (alebo) predmet kritickej informačnej infraštruktúry patriaci do predmetu kritickej informačnej infraštruktúry informačnej infraštruktúry na základe vlastníctva, prenájmu alebo iného právneho základu, bola nesprávne priradená jedna z kategórií dôležitosti a (alebo) žiadna z takýchto kategórií nebola priradená bezdôvodne a (alebo) predmet kritickej informačnej infraštruktúry bol poskytnutý neúplný a (alebo ) nepresné informácie o výsledkoch zaradenia takéhoto objektu kritickej informačnej infraštruktúry do niektorej z kategórií významnosti, alebo o absencii potreby priradenia do niektorej z týchto kategórií, federálny výkonný orgán poverený v oblasti zaistenia bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie do desiatich dní v lehote odo dňa prijatia poskytnutých informácií ich písomne vráti subjektu kritickej informačnej infraštruktúry s odôvodneným odôvodnením vrátenia.
9. Subjekt kritickej informačnej infraštruktúry po obdržaní odôvodneného zdôvodnenia vrátenia informácií uvedených v časti 5 tohto článku do desiatich dní odstráni zistené nedostatky a opätovne ich zašle federálnemu výkonnému orgánu oprávnenému v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie.
10. Informáciu o absencii potreby priradenia kritickej informačnej infraštruktúry do niektorej z kategórií významnosti po overení zasiela federálny výkonný orgán oprávnený v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie štátny systém na odhaľovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruskej federácie, o čom je subjekt kritickej informačnej infraštruktúry informovaný do desiatich dní.
11. Ak subjekt kritickej informačnej infraštruktúry neposkytne informácie uvedené v časti 5 tohto článku, federálny výkonný orgán poverený v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie zašle žiadosť uvedeného subjektu o potrebe dodržiavať ustanovenia tohto článku.
1) odôvodneným rozhodnutím federálneho výkonného orgánu oprávneného v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie prijatým na základe výsledkov auditu vykonaného v rámci štátnej kontroly v oblasti zaistenia bezpečnosti bezpečnosť významných objektov kritickej informačnej infraštruktúry;
2) v prípade zmeny významného objektu kritickej informačnej infraštruktúry, v dôsledku ktorej takýto objekt prestal spĺňať kritériá významnosti a ukazovatele ich hodnôt, na základe ktorých bola určitá kategória významnosti k tomu pridelené;
3) v súvislosti s likvidáciou, reorganizáciou subjektu kritickej informačnej infraštruktúry a (alebo) zmenou jeho organizačnej a právnej formy, v dôsledku ktorej došlo k zmene alebo strate vlastností subjektu kritickej informačnej infraštruktúry.
Článok 8. Register významných objektov kritickej informačnej infraštruktúry
1. Za účelom evidencie významných objektov kritickej informačnej infraštruktúry federálny výkonný orgán poverený v oblasti zaistenia bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie vedie register významných objektov kritickej informačnej infraštruktúry v súlade s čl. ním stanovený postup. Do tohto registra sa zapisujú tieto informácie:
1) názov významného objektu kritickej informačnej infraštruktúry;
2) názov subjektu kritickej informačnej infraštruktúry;
3) informácie o interakcii významného objektu kritickej informačnej infraštruktúry a telekomunikačných sietí;
4) informácie o osobe prevádzkujúcej významný objekt kritickej informačnej infraštruktúry;
6) informácie o softvéri a softvéri a hardvéri používanom na významnom objekte kritickej informačnej infraštruktúry;
7) opatrenia uplatňované na zabezpečenie bezpečnosti významného objektu kritickej informačnej infraštruktúry.
2. Informácie z registra významných objektov kritickej informačnej infraštruktúry sú zasielané do štátneho systému na zisťovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruskej federácie.
3. V prípade, že významný objekt kritickej informačnej infraštruktúry stratí kategóriu významnosti, vylúči ho federálny výkonný orgán oprávnený v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie z registra významných objektov. kritickej informačnej infraštruktúry.
Článok 9. Práva a povinnosti subjektov kritickej informačnej infraštruktúry
1. Subjekty kritickej informačnej infraštruktúry majú právo:
1) prijímať od federálneho výkonného orgánu oprávneného v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie informácie potrebné na zaistenie bezpečnosti významných objektov kritickej informačnej infraštruktúry, ktoré vlastnia na základe vlastníctva, prenájmu resp. iný právny základ vrátane informácií o bezpečnostných hrozbách spracúvaných takýmito objektmi a zraniteľnosti softvéru, zariadení a technológií používaných v takýchto objektoch;
2) spôsobom stanoveným federálnym výkonným orgánom oprávneným v oblasti zabezpečenia fungovania štátneho systému na odhaľovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruskej federácie dostávať od uvedeného orgánu informácie o prostriedky a metódy vykonávania počítačových útokov, ako aj ich metódy varovania a detekcie;
3) za prítomnosti súhlasu federálneho výkonného orgánu oprávneného v oblasti zabezpečenia fungovania štátneho systému odhaľovania, predchádzania a odstraňovania následkov počítačových útokov na informačné zdroje Ruskej federácie na vlastné náklady, získavať, prenajímať, inštalovať a udržiavať prostriedky určené na zisťovanie, predchádzanie a odstraňovanie následkov počítačových útokov a reakcie na počítačové incidenty;
4) vypracovať a implementovať opatrenia na zaistenie bezpečnosti významného objektu kritickej informačnej infraštruktúry.
2. Subjekty kritickej informačnej infraštruktúry sú povinné:
1) bezodkladne informovať federálny výkonný orgán poverený v oblasti zabezpečenia fungovania štátneho systému na odhaľovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruskej federácie, ako aj Centrálnu banku Ruskej federácie ( ak subjekt kritickej informačnej infraštruktúry vykonáva činnosť v bankovom sektore a v iných oblastiach finančného trhu) postupom ustanoveným určeným federálnym výkonným orgánom (v bankovom sektore a v iných oblastiach finančného trhu, tento postup je stanovený po dohode s Centrálnou bankou Ruskej federácie);
2) poskytnúť pomoc úradníkov federálny výkonný orgán poverený v oblasti zabezpečovania fungovania štátneho systému odhaľovania, predchádzania a odstraňovania následkov počítačových útokov na informačné zdroje Ruskej federácie, pri odhaľovaní, predchádzaní a odstraňovaní následkov počítačových útokov, zriaďuje tzv. príčiny a podmienky výskytu počítačových incidentov;
3) v prípade inštalácie prostriedkov určených na zisťovanie, predchádzanie a odstraňovanie následkov počítačových útokov a reagovanie na počítačové incidenty na zariadeniach kritickej informačnej infraštruktúry zabezpečiť dodržanie postupu, technické podmienky inštaláciu a prevádzku takýchto prostriedkov, ich bezpečnosť.
3. Subjekty kritickej informačnej infraštruktúry, ktoré na základe vlastníctva, nájmu alebo iného právneho základu vlastnia významné objekty kritickej informačnej infraštruktúry, sú okrem plnenia povinností ustanovených v časti 2 tohto článku povinné aj:
1) dodržiavať požiadavky na zaistenie bezpečnosti významných objektov kritickej informačnej infraštruktúry zriadenej federálnym výkonným orgánom oprávneným v oblasti zaistenia bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie;
2) dodržiavať pokyny úradníkov federálneho výkonného orgánu oprávneného v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie o odstraňovaní porušení z hľadiska dodržiavania požiadaviek na zaistenie bezpečnosti významného objekt kritickej informačnej infraštruktúry, vydaný týmito osobami v súlade s ich kompetenciou;
3) reagovať na počítačové incidenty spôsobom schváleným federálnym výkonným orgánom oprávneným v oblasti zabezpečenia fungovania štátneho systému na odhaľovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruskej federácie, prijímať opatrenia na eliminovať následky počítačových útokov proti významným objektom kritickej informačnej infraštruktúry;
4) zabezpečiť nerušený prístup úradníkom federálneho výkonného orgánu oprávneným v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie k významným objektom kritickej informačnej infraštruktúry, keď tieto osoby vykonávajú svoje právomoci ustanovené v článku 13 tejto federálnej zákon.
Článok 10 Bezpečnostný systém významného objektu kritickej informačnej infraštruktúry
1. Za účelom zabezpečenia bezpečnosti významného objektu kritickej informačnej infraštruktúry je predmetom kritickej informačnej infraštruktúry v súlade s požiadavkami na vytváranie bezpečnostných systémov pre tieto zariadenia a zabezpečenie ich prevádzky, schválené federálnym výkonným orgánom oprávneným v r. v oblasti bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie, vytvára bezpečnostný systém takéhoto objektu a zabezpečuje jeho fungovanie.
2. Hlavnými úlohami bezpečnostného systému významného objektu kritickej informačnej infraštruktúry sú:
1) zabránenie nezákonnému prístupu k informáciám spracúvaným významným objektom kritickej informačnej infraštruktúry, zničenie týchto informácií, ich úprava, blokovanie, kopírovanie, poskytovanie a šírenie, ako aj iné nesprávneho správania vo vzťahu k takýmto informáciám;
2) zamedzenie vplyvu na technické prostriedky spracovanie informácií, v dôsledku ktorého môže dôjsť k narušeniu a (alebo) ukončeniu fungovania významného objektu kritickej informačnej infraštruktúry;
3) obnovenie fungovania významného objektu kritickej informačnej infraštruktúry, okrem iného zabezpečované vytváraním a uchovávaním záložných kópií informácií potrebných na to;
4) nepretržitá interakcia so štátnym systémom na zisťovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruskej federácie.
Článok 11 Požiadavky na zaistenie bezpečnosti významných objektov kritickej informačnej infraštruktúry
1. Požiadavky na zaistenie bezpečnosti významných objektov kritickej informačnej infraštruktúry, ustanovené federálnym výkonným orgánom oprávneným v oblasti zaistenia bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie, sú diferencované v závislosti od kategórie dôležitosti objektov kritickej informačnej infraštruktúry. informačnú infraštruktúru a tieto požiadavky zabezpečujú:
1) plánovanie, vývoj, zlepšovanie a implementácia opatrení na zabezpečenie bezpečnosti významných objektov kritickej informačnej infraštruktúry;
2) prijatie organizačných a technických opatrení na zaistenie bezpečnosti významných objektov kritickej informačnej infraštruktúry;
3) stanovenie parametrov a charakteristík softvéru a softvérových a hardvérových nástrojov používaných na zabezpečenie bezpečnosti významných objektov kritickej informačnej infraštruktúry.
2. Štátne orgány a ruské právnické osoby vykonávajúce funkcie rozvoja, vedenia alebo vykonávania štátnej politiky a (alebo) právnej regulácie v ustanovenej oblasti činnosti po dohode s federálnym výkonným orgánom povereným v oblasti zaisťovania bezpečnosti môže nainštalovať kritickú informačnú infraštruktúru Ruskej federácie Ďalšie požiadavky zabezpečiť bezpečnosť významných objektov kritickej informačnej infraštruktúry, ktoré obsahujú vlastnosti fungovania takýchto objektov v stanovenej oblasti činnosti.
Článok 12 Hodnotenie bezpečnosti kritickej informačnej infraštruktúry
1. Hodnotenie bezpečnosti kritickej informačnej infraštruktúry vykonáva federálny výkonný orgán oprávnený zabezpečovať fungovanie štátneho systému odhaľovania, predchádzania a odstraňovania následkov počítačových útokov na informačné zdroje Ruskej federácie s cieľom predvídať vzniku možných hrozieb pre bezpečnosť kritickej informačnej infraštruktúry a vypracovať opatrenia na zvýšenie stability jej fungovania pri vykonávaní proti jej počítačovým útokom.
2. Pri hodnotení bezpečnosti kritickej informačnej infraštruktúry sa vykonáva analýza:
1) údaje získané pomocou nástrojov určených na detekciu, prevenciu a odstraňovanie následkov počítačových útokov a reakciu na počítačové incidenty vrátane informácií o prítomnosti v telekomunikačných sieťach používaných na organizáciu interakcie objektov kritickej informačnej infraštruktúry, známky počítačových útokov;
2) informácie poskytované subjektmi kritickej informačnej infraštruktúry a federálnym výkonným orgánom oprávneným v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie v súlade so zoznamom informácií a spôsobom určeným federálnou výkonnou mocou orgán oprávnený v oblasti zabezpečovania fungovania štátneho detekčného systému, predchádzania a odstraňovania následkov počítačových útokov na informačné zdroje Ruskej federácie, ako aj iných orgánov a organizácií, ktoré nie sú subjektmi kritickej informačnej infraštruktúry, vrátane zahraničných a medzinárodných;
3) informácie predložené štátnemu systému na zisťovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruskej federácie v nadväznosti na výsledky štátnej kontroly v oblasti zaistenia bezpečnosti významných objektov kritickej informačnej infraštruktúry, pri porušení požiadavky na zaistenie bezpečnosti významných objektov kritickej informačnej infraštruktúry, v dôsledku čoho sa vytvárajú predpoklady pre vznik počítačových incidentov;
4) ďalšie informácie prijaté federálnym výkonným orgánom oprávneným zabezpečiť fungovanie štátneho systému na zisťovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruskej federácie v súlade s právnymi predpismi Ruskej federácie.
3. Na implementáciu ustanovení uvedených v častiach 1 a 2 tohto článku federálny výkonný orgán poverený v oblasti zabezpečenia fungovania štátneho systému na odhaľovanie, predchádzanie a odstraňovanie následkov počítačových útokov na informačné zdroje Ruska Federation, organizuje inštaláciu v telekomunikačných sieťach používaných na organizáciu interakčných objektov kritickej informačnej infraštruktúry, nástrojov určených na vyhľadávanie znakov počítačových útokov v takýchto telekomunikačných sieťach.
4. S cieľom vypracovať opatrenia na zlepšenie bezpečnosti kritickej informačnej infraštruktúry federálny výkonný orgán poverený v oblasti zabezpečenia fungovania štátneho systému odhaľovania, predchádzania a odstraňovania následkov počítačových útokov na informačné zdroje Ruskej federácie zašle federálnemu výkonnému orgánu oprávnenému v oblasti bezpečnostne kritickej informačnej infraštruktúry Ruskej federácie výsledky hodnotenia bezpečnosti kritickej informačnej infraštruktúry.
Článok 13 Štátna kontrola v oblasti zaisťovania bezpečnosti významných objektov kritickej informačnej infraštruktúry
1. Štátna kontrola v oblasti zaistenia bezpečnosti významných objektov kritickej informačnej infraštruktúry sa vykonáva s cieľom preveriť, či subjekty kritickej informačnej infraštruktúry, ktoré na základe vlastníctva, nájmu alebo iného právneho základu vlastnia významné objekty kritickej informačnej infraštruktúry, požiadavky stanovené týmto federálnym zákonom a prijaté v súlade s ním regulačnými právnymi aktmi. Uvedená štátna kontrola sa vykonáva prostredníctvom implementácie federálnym výkonným orgánom povereným v oblasti bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie, plánovanej resp. neplánované kontroly.
2. Základom pre plánovanú kontrolu je uplynutie troch rokov odo dňa:
1) zadávanie informácií o objekte kritickej informačnej infraštruktúry do registra významných objektov kritickej informačnej infraštruktúry;
2) koniec poslednej plánovanej inšpekcie vo vzťahu k významnému objektu kritickej informačnej infraštruktúry.
3. Základom pre neplánovanú kontrolu je:
1) uplynutie lehoty pre predmet kritickej informačnej infraštruktúry vydanej federálnym výkonným orgánom povereným v oblasti zaistenia bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie, príkaz na odstránenie zisteného porušenia požiadaviek na zabezpečenie bezpečnosti významných objektov kritickej informačnej infraštruktúry;
2) výskyt počítačového incidentu, ktorý mal za následok Negatívne dôsledky vo významnom zariadení kritickej informačnej infraštruktúry;
3) príkaz (rozkaz) vedúceho federálneho výkonného orgánu oprávneného v oblasti zaistenia bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie, vydaný v súlade s pokynom prezidenta Ruskej federácie alebo vlády Ruskej federácie. Ruskej federácie alebo na základe žiadosti prokurátora vykonať neplánovanú kontrolu v rámci dohľadu nad vykonávacími zákonmi o materiáloch a odvolaniach doručených prokuratúre.
4. Federálny výkonný orgán poverený v oblasti zaistenia bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie na základe výsledkov plánovanej alebo neplánovanej inšpekcie vypracuje správu o inšpekcii podľa schváleného uvedeným orgánom formulár.
5. Na základe správy o kontrole v prípade porušenia požiadaviek tohto spolkového zákona a podľa neho prijatých regulačných právnych aktov o zaistení bezpečnosti významných objektov kritickej informačnej infraštruktúry spolkový výkonný orgán splnomocnil v oblasti zaisťovania bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie vydáva subjektu príkaz na kritickú informačnú infraštruktúru na odstránenie zisteného porušenia s uvedením časového rámca na jeho odstránenie.
Článok 14. Zodpovednosť za porušenie požiadaviek tohto federálneho zákona a iných regulačných právnych aktov prijatých v súlade s ním
Porušenie požiadaviek tohto federálneho zákona a iných regulačných právnych aktov prijatých v súlade s ním má za následok zodpovednosť v súlade s právnymi predpismi Ruskej federácie.
Článok 15. B nadobudnutie účinnosti tohto federálneho zákona
Prezident Ruskej federácie V. Putin
„O bezpečnosti kritickej informačnej infraštruktúry (CII) Ruskej federácie“, ktorá vstúpila do platnosti 1. januára 2018, postupne naberá na obrátkach a je doplnená o nové stanovy, ktoré často neuľahčujú život špecialistovi na informačnú bezpečnosť. . Poďme sa pozrieť na situáciu s CII (FZ-187), čo môžeme očakávať a čo je potrebné urobiť.
KTO SME, KII ALEBO NIE KII?
Prvým krokom je zistiť, či organizácia spadá pod pojem „predmet KII“, a to sa dá urobiť nahliadnutím do legislatívy. Nenájdi sa, vydýchni, bolí ťa o niečo menej.
Aké kritériá naznačujú, že ste subjektom KII?
Prvým kritériom je OKVED organizácie. Celoruský klasifikátor druhov ekonomická aktivita(OKVED), teda oni a jeden podnik ich môžu mať otvorených kedykoľvek aktuálny zoznam môžeš nahliadnuť výpis z Jednotného štátneho registra právnických osôb podniky alebo informačné a referenčné služby "Kontur Focus", "Spark" atď. OKVED jasne uvedie, do ktorej oblasti činnosti patrí vaša spoločnosť a či patrí do zoznamu nasledujúcich odvetví uvedených vo federálnom zákone č.-187:
- zdravotná starostlivosť;
- veda;
- doprava;
- spojenie;
- energie;
- bankovníctvo a iné finančné oblasti;
- palivový a energetický komplex;
- pole atómovej energie;
- obranný priemysel;
- raketový a vesmírny priemysel;
- banícky priemysel;
- hutnícky priemysel;
- chemický priemysel;
- právnické osoby a/alebo jednotliví podnikatelia, ktorí zabezpečujú interakciu týchto systémov alebo sietí.
Ak vaša organizácia patrí do sektora zdravotníctva (OKVED 86), odporúčame vám, aby ste sa najskôr oboznámili s týmto materiálom:
Druhým kritériom sú licencie a iné povolenia pre rôzne druhyčinnosti, ktoré sa týkajú uvedených oblastí a ktoré budú v centre pozornosti v súlade s federálnym zákonom č.-187.
Tretím kritériom sú zakladajúce dokumenty organizácií, ktoré zahŕňajú stanovy, predpisy organizácií (ak hovoríme o štátnych orgánoch), ktoré môžu obsahovať typ činnosti naznačujúci príslušnosť k kritickým odvetviam.
Príklad z našich skúseností s kategorizačnými prácami. Firma pre hlavný druh hospodárskej činnosti mala OKVED kód 46.73.6 "Veľkoobchod s ostatnými stavebnými materiálmi a výrobkami", na prvý pohľad nič zvláštne, podľa spolkového zákona č.-187 nespadá do zoznamu priemyslu a môžete „pokojne spať“. Ale po podrobnom preštudovaní charty a licencií na druhy činností sa ukázalo, že spoločnosť má licenciu na prepravu tovaru po železnici a vlastný vozový park železničnej dopravy. Na základe týchto okolností spoločnosť patrí do "dopravného" priemyslu a preto je potrebné dodržiavať požiadavky federálneho zákona č.-187.
Splnili ste jedno z troch kritérií? Gratulujeme, ste subjektom KII! Treba si však uvedomiť, že každý prípad sa rieši individuálne a táto téma je samostatnou diskusiou venovanou kategorizácii objektov kritickej informačnej infraštruktúry, ktorej sa budeme venovať v nasledujúcich článkoch.
Normatívny právny akt jasne definuje, že „subjektmi kritickej informačnej infraštruktúry sú štátne orgány a inštitúcie, ako aj ruské právnické osoby a/alebo jednotliví podnikatelia, ktorí na základe vlastníctva, nájmu alebo iného právneho základu vlastnia informačné systémy, a telekomunikačné siete, automatizované riadiace systémy“.
Každý predmet KII má objekty KII:
- Informačné systémy;
- automatizované riadiace systémy technologických procesov;
- informačné a telekomunikačné siete.
pôsobiaca v oblasti zdravotníctva, vedy, dopravy, spojov, energetiky, bankovníctva a iných oblastí finančného trhu, palivového a energetického komplexu, v oblasti atómovej energetiky, obrany, raketového a kozmického priemyslu, baníctva, hutníctva a chemického priemyslu , ruské právnické osoby a (alebo ) jednotliví podnikatelia, ktorí zabezpečujú interakciu týchto systémov alebo sietí.
|
PREDMETY KIA:
|
OBJEKTY KII:
|
Objekty kritickej informačnej infraštruktúry zabezpečujú fungovanie riadiacich, technologických, výrobných, finančných, ekonomických a iných procesov subjektov KII.
Proces rozhodovania o príslušnosti k entite kritickej informačnej infraštruktúry nie je taký jednoduchý, ako by sa na prvý pohľad mohlo zdať. Ako sme už povedali vyššie, existuje veľa nezrejmých faktorov, ktoré môžu ovplyvniť výsledok, napríklad otvorené doplnkové, vedľajšie, činnosti podľa OKVED alebo platné licencie, ktoré vás môžu priradiť k predmetu kritickej informačnej infraštruktúry. Odporúčame vykonať detailnejší ponor do problematiky určenia príslušnosti k predmetu KII.
ČO ROBIŤ, AK STE HLAVNÝ PREDMET?
Zaoberali sme sa predmetom a objektom kritickej informačnej infraštruktúry. Čo je potrebné pre vás ako predmet KII urobiť ďalej?
Prvé štádium. Je potrebné vytvoriť internú komisiu pre kategorizáciu a určiť zloženie účastníkov z najkompetentnejších špecialistov na vaše obchodné procesy. Prečo sa kladie dôraz na obchodné procesy a kompetencie účastníkov? Iba „majiteľ“ obchodného procesu pozná všetky nuansy, ktoré môžu viesť k ich porušeniu a následným negatívnym dôsledkom. Tento vlastník alebo kompetentný autorizovaná osoba musí byť na paneli, aby bolo možné procesu priradiť správnu kategóriu relevantnosti.
Druhá fáza. V tejto fáze sa zozbierajú prvotné údaje, vykoná sa predprojektový prieskum a na základe získaných údajov komisia rozhodne o dostupnosti zoznamu objektov kritickej informačnej infraštruktúry na kategorizáciu a priradí kategóriu významnosti. Podľa nariadenia vlády Ruskej federácie z 8.2.2018 N 127 „o schválení pravidiel kategorizácie objektov kritickej informačnej infraštruktúry Ruskej federácie, ako aj zoznamu ukazovateľov kritérií významnosti objektov kritickej informačnej infraštruktúry Ruskej federácie a ich hodnôt“, existujú tri kategórie významnosti, pričom prvá je najvyššia.
- sociálna;
- politický;
- ekonomické;
- ekologický;
- význam pre zabezpečenie obranyschopnosti krajiny, bezpečnosti štátu a verejného poriadku.
V tejto fáze existuje jedna nuansa, po schválení zoznamu objektov CII, ktoré sa majú kategorizovať, musí subjekt CII informovať FSTEC Ruska do 5 dní. Od tohto momentu je na postupy kategorizácie povolený maximálne 1 rok. Ak objekt KII nespadá pod jeden z ukazovateľov kritéria významnosti, nemusí priraďovať kategóriu významnosti, ale napriek tomu je podnik subjektom KII, v ktorom nie sú žiadne kriticky dôležité objekty KII. .
Výsledkom druhej etapy je „Zákon o kategorizácii objektu KII“, ktorý podpisujú členovia komisie a schvaľuje vedúci predmetu KII. Zákon musí obsahovať úplné informácie o objekte KII a uchováva ho subjekt až do následnej revízie kritérií významnosti. Od momentu podpisu zákona subjekt KII do 10 dní zasiela informáciu o výsledkoch kategorizácie podľa schváleného formulára na FSTEC Ruska (v čase písania tohto článku je formulár v štádiu odsúhlasovania finálna verzia). FSTEC do 30 dní skontroluje dodržanie poradia a správnosť kategorizácie a v prípade kladného záveru zapíše informáciu do registra významných objektov KII s následným oznámením subjektu KII do 10 dní.
Tretia etapa, záverečná. Snáď jednou z najnáročnejších a najdrahších je plnenie bezpečnostných požiadaviek pre významné objekty KII. Nebudeme teraz zachádzať do podrobností, ale uvedieme kľúčové etapy na zaistenie bezpečnosti zariadení KII:
- rozvoj referenčné podmienky;
- vývoj modelu hrozby informačná bezpečnosť;
- vývoj technického projektu;
- vypracovanie pracovnej dokumentácie;
- uvedenie do prevádzky.
Podrobnejšie informácie o načasovaní a fázach plnenia požiadaviek FZ-187 nájdete v našom článku: "". Na stránke si tiež môžete ZDARMA stiahnuť úvodnú sadu dokumentov na začatie prác na kategorizácii objektov CII.
ČO AK TO NEROBIŤ?
Zvažovali sme, kto je subjektom kritickej informačnej infraštruktúry, čo je objektom CII a aké opatrenia je potrebné prijať na splnenie požiadaviek FSTEC. Teraz by som chcel trochu porozprávať o zodpovednosti, ktorá vzniká v prípade nesplnenia požiadaviek. Podľa dekrétu prezidenta Ruskej federácie z 25. novembra 2017 č. 569 „O zmenách a doplneniach predpisov o Federálnej službe pre technickú a exportnú kontrolu, schválených dekrétom prezidenta Ruskej federácie č. 1085 zo dňa 16. augusta 2004" federálnym výkonným orgánom (FOIV) oprávneným v oblasti bezpečnosti KII je FSTEC. Štátnu kontrolu v oblasti zaistenia bezpečnosti významných objektov KII bude vykonávať FSTEC formou plánovaných a neplánovaných inšpekcií s následným príkazom v prípade zistených porušení. Plánované kontroly vykonaná:
- po uplynutí 3 rokov odo dňa zapísania informácií o objekte KII do registra;
- po uplynutí 3 rokov odo dňa poslednej plánovanej kontroly.
Neplánované kontroly sa vykonajú v prípade:
- uplynutím lehoty pre subjekt KII na splnenie príkazu na odstránenie zisteného porušenia;
- výskyt počítačového incidentu, ktorý mal negatívne dôsledky;
- v mene prezidenta Ruskej federácie alebo vlády Ruskej federácie alebo na základe žiadosti prokuratúry Ruskej federácie.
Ak FSTEC zistí porušenie, bude vydaný príkaz s konkrétnym termínom na odstránenie, ktorý môže byť predĺžený opodstatnené dôvody, ale v prípadoch s prokuratúrou Ruskej federácie to bude čoraz ťažšie, tk. príde za vami už s rozhodnutím o správnom delikte s odvolaním sa na článok 19.5 časť 1 Správneho poriadku Ruskej federácie o nedodržaní nastav čas predpisov orgánu štátneho dozoru.
A trochu viac o sankciách, ktoré boli zavedené za nedodržanie požiadaviek na zaistenie bezpečnosti kritickej informačnej štruktúry. Podľa federálneho zákona z 26. júla 2017 č. 194-FZ "o zmene a doplnení Trestného zákona Ruskej federácie a Trestného poriadku Ruskej federácie v súvislosti s prijatím federálneho zákona" o bezpečnosti kritických Informačná infraštruktúra Ruskej federácie “, maximálny trest za porušenie bezpečnostných noriem CII je odňatie slobody až na 10 rokov ... Možno vážny argument!
V ďalších článkoch si povieme podrobnejšie o každej z etáp plnenia požiadaviek FSTEC v oblasti zaistenia bezpečnosti kritickej informačnej infraštruktúry. Prihláste sa na odber upozornení našej webovej stránky, pridajte sa k nám Facebook a uložte si blog medzi záložky.
Píšeme o tom, čo robíme!
Obráťte sa na spoločnosť "ITC REGIONAL SYSTEMS"! V súvislosti s požiadavkami federálneho zákona č.-187 o bezpečnosti kritickej informačnej infraštruktúry budú špecialisti spoločnosti vykonávať tieto typy prác:
- audit existujúcej infraštruktúry;
- klasifikácia dostupných informačných aktív;
- hodnotenie rizika informačnej bezpečnosti;
- vývoj modelu hrozieb informačnej bezpečnosti;
- kategorizácia objektov kritickej informačnej infraštruktúry;
- určenie úrovne súladu s požiadavkami regulátorov na ochranu informácií;
- vypracovanie plánu postupnej implementácie požiadaviek legislatívy na zaistenie bezpečnosti zariadení KII;
- zostavenie rozpočtu na opatrenia na ochranu informácií.
A tiež budú tvoriť komplexný systém bezpečnosť výroby na kľúč s prihliadnutím na architektúru a špecifiká vašej výroby. Pomocou najlepších ruských a svetových postupov pri vytváraní bezpečnostných systémov znížia riziká a hrozby pre podnikanie na minimálnu úroveň.
| Poslať žiadosť |
Moskovský Kremeľ
Bol podpísaný zákon o bezpečnosti kritickej informačnej infraštruktúry Ruska.
Upravuje vzťahy v oblasti zaistenia bezpečnosti kritickej informačnej infraštruktúry s cieľom zabezpečiť jej stabilné fungovanie pri vykonávaní proti jej počítačovým útokom.
Základné princípy bezpečnosti, právomoci orgánov štátnej správy, ako aj práva, povinnosti a zodpovednosť osôb, ktoré vlastnia infraštruktúrne zariadenia, telekomunikačných operátorov a informačné systémy ktoré zabezpečujú interakciu týchto objektov.
Medzi objekty infraštruktúry patria informačné systémy, informačné a telekomunikačné siete, automatizované riadiace systémy pre subjekty kritickej informačnej infraštruktúry.
Opravili sa pojmy počítačový útok, počítačový incident atď.. Stanovil sa postup fungovania štátneho systému odhaľovania, predchádzania a odstraňovania následkov počítačových útokov na informačné zdroje.
Federálny zákon z 26. júla 2017 N 187-FZ „O bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie“
Tento federálny zákon nadobúda účinnosť 1. januára 2018.
Text federálneho zákona bol zverejnený na „oficiálnom internetovom portáli právnych informácií“ (www.pravo.gov.ru) 26. júla 2017 v „ ruské noviny"z 31. júla 2017 N 167, v Zbierke právnych predpisov Ruskej federácie z 31. júla 2017 N 31 (časť I) čl. 4736
História zvažovania a prijatia federálneho zákona
Ministerstvo hospodárskeho rozvoja má v úmysle zakázať používanie cudzieho softvéru a vybavenia v zariadeniach ruskej KII
novembra 2019 vyšlo najavo, že Ministerstvo hospodárskeho rozvoja pripravuje novely zákona „O bezpečnosti (CII)“, ktoré zahŕňajú nahradenie cudzieho softvéru a zariadení v zariadeniach KII ruskými. Príkaz na prípravu dodatkov dal pred niekoľkými mesiacmi podpredseda vlády Jurij Borisov, ktorý má na starosti obranný priemysel. Informovala o tom RBC s odvolaním sa na list námestníka ministra hospodárstva Azera Talibova.
Talibov píše, že v súčasnej podobe ruské zákony neumožňujú vláde vyžadovať používanie iba domáceho softvéru a vybavenia v zariadeniach CII. Aby to bolo možné, musí byť táto norma uvedená v zákone „O bezpečnosti CII“. Harmonogram nahradenia zahraničných výrobkov domácimi pre existujúce zariadenia KII sa vytvorí samostatne.
Okrem toho by mal zákon zakázať zahraničné spoločnosti komunikovať so sieťami a informačnými systémami KII. To znamená, že konečnými príjemcami právnických osôb, ktoré sa na tom podieľajú, by mali byť ruských občanov nemať dvojité občianstvo... Rovnaké pravidlo ovplyvní individuálnych podnikateľov ktorí pracujú s KII. V dôsledku toho sa minimalizuje prístup cudzích štátov a ich občanov k službám a rozvoju KII, domnieva sa Talibov.
Adresátmi Talibovovho listu je kolégium Vojensko-priemyselnej komisie Ruska, ktoré vedie Borisov, federálna služba o technickej a exportnej kontrole (FSTEC) a Ministerstvom telekomunikácií a masových komunikácií. Ministerstvo telekomunikácií a masových komunikácií odpovedalo, že FSTEC a ministerstvo priemyslu a obchodu pracujú na otázkach náhrady dovozu zahraničného zariadenia v mene vlády a že KII bude fungovať bezpečnejšie a stabilnejšie s použitím ruského softvéru. podiel domácich developerov na trhu verejného obstarávania bude rásť.
V Rusku bolo zaznamenaných asi 17 tisíc kybernetických útokov na KII
V auguste 2019 zástupca Bezpečnostnej rady oznámil, že v roku 2018 došlo v Rusku k približne 17-tisíc kybernetickým útokom na KII. Útočníci sa pokúsili nainštalovať malvér na ďalších 7-tisíc objektov. Približne 38 % útokov smerovalo proti finančným inštitúciám.
ADE zverejnila pokyny na kategorizáciu objektov CII v súlade s č. 187-FZ
Dňa 9. júla 2019 vyšlo najavo, že Asociácia pre dokumentárne telekomunikácie (ADE) zverejnila pokyny na kategorizáciu objektov kritickej informačnej infraštruktúry (CII). Dokument bol vypracovaný na základe materiálov od telekomunikačných operátorov a iných organizácií – členov ADE. Metodické odporúčania sú zamerané na spresnenie a štandardizáciu postupu pri kategorizácii objektov KII, ktorý upravuje federálny zákon „O bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie“ z 26. júla 2017 č. 187-FZ.
Odporúčania obsahujú súbor pravidiel, na základe ktorých by prevádzkovatelia mali klasifikovať objekty KII do rôznych typov. Zverejnená verzia dokumentu bola schválená FSTEC Ruska a 8. centrom FSB Ruska a môžu ju používať operátori komunikácie. Pri zmene regulačného rámca, prijímanie pripomienok a návrhov na základe výsledkov aplikácie usmernenia asociácia plánuje upraviť text metodiky.
Federálny úradník, ktorý požiadal o zachovanie anonymity, uviedol, že združenie bolo v podstate - verejná organizácia, jej odporúčania nemajú právny účinok.
| Pri príprave dokumentu museli operátori vykonať analytické práce na kategorizácii objektov. Odporúčania vypracovali účastníci trhu a bežne sa dohodli s príslušnými orgánmi. Kategorizácia je nevyhnutné štádium implementácia požiadaviek FZ-187. Účelom metodiky je definovať kritériá a zjednotiť postup tak, aby výsledky nevzbudzovali otázky zo strany priemyselných regulátorov. Veríme, že operátori začnú dokument využívať a prax ukáže potrebu ďalšieho schvaľovania výkonnými orgánmi, |
MegaFon "uviedol, že zverejnená verzia dokumentu bola schválená hlavnými regulačnými orgánmi v súlade s FZ-187 a môžu ju používať telekomunikační operátori. Priemyselný dokument je voliteľný, ale odporúčaný FSTEC a FSB na použitie v komunikačnom priemysle .
| V prvom rade má pomôcť účastníkom trhu pri implementácii FZ-187. Ide o konsolidovanú víziu významných priemyselných hráčov o implementácii požiadaviek regulačných právnych aktov v oblasti zaistenia bezpečnosti KII. Dôležité sú odporúčania, keďže FZ-187 a predpisov formulovať všeobecné zásady a opatrenia na zaistenie bezpečnosti KII bez toho, aby sme zachádzali do špecifík odvetvia. Technika je pokusom aplikovať normy formulované zákonodarcom na konkrétnu infraštruktúru operátora, má čisto aplikovaný charakter a v tom je jej hodnota. Pre prevádzkovateľov „veľkej štvorky“ bude samozrejme dokument tým hlavným. Dúfame, že aj pre ostatných operátorov, keďže aplikácia metodických odporúčaní prispeje k jednotnému a zrozumiteľnému informačnému poli v procese interakcie medzi operátorskou komunitou a regulátormi, komentoval zástupca tlačovej služby "MegaFon" |
Hovorca tlačovej služby MTS PJSC uviedol, že odporúčania budú využívať telekomunikační operátori pri kategorizácii objektov kritickej informačnej infraštruktúry (CII) a budovaní bezpečnostných systémov pre tieto zariadenia.
| Zdá sa, že by bolo účelnejšie prijať dokument vo forme regulačného právneho aktu regulátora. Zatiaľ sú to vlastne odporúčania. Telekomunikační operátori sa sami rozhodnú, či sa metodika bude dať aplikovať. Práce sú už čiastočne ukončené. MTS vyvinula a zaslala FSTEC Ruska zoznam objektov vlastných KII. V súlade s plánom do konca roka 2019 tieto nehnuteľnosti kategorizujeme. Metodika umožňuje zaviesť istotu a jednotnosť v prístupe ku kategorizácii objektov KII zo strany telekomunikačných operátorov. Náklady na MTS budú jasné po kategorizácii zariadení KII, odpovedal zástupca tlačovej služby MTS |
Hovorca Akado Telecom uviedol, že iniciatíva na vypracovanie odporúčaní je správna a včasná.
Údaje o kybernetických útokoch na kritické zariadenia v Ruskej federácii unikajú do zahraničia. Firmy porušujú zákon
Ruské spoločnosti, ktorých povinnosti zahŕňajú riadenie zariadení kritickej infraštruktúry, bez vedomia zdieľania FSB zahraničných kolegovúdaje o kybernetických útokoch. Vo štvrtok 27. júna o tom informuje RBC s odvolaním sa na materiály Federálnej služby pre technickú a exportnú kontrolu (FSTEC), ktorá sa zasa odvoláva na FSB.
Podľa zákona „O bezpečnosti kritickej informačnej infraštruktúry“, ktorý je v platnosti od minulého roka, sú spoločnosti spravujúce zariadenia kritickej infraštruktúry povinné poskytnúť o nich údaje Federálnej službe pre technickú a exportnú kontrolu (FSTEC), aby im priradila príslušnú kategóriu ( bezpečnostné požiadavky pre každú kategóriu sú iné) ... Okrem toho sa od nich vyžaduje pripojenie k vytvorenej FSB Štátny systém odhaľovanie, predchádzanie a odstraňovanie následkov počítačových útokov (GosSOPKA) a nahlasovanie kybernetických útokov na ich objekty Národnému koordinačnému centru pre počítačové incidenty (NKTsKI).
Nie všetky spoločnosti však spĺňajú požiadavky zákona a informujú NKTsKI o kyberútokoch na svoje systémy. Z tohto dôvodu centrum nemá kompletné informácie o incidentoch na zariadeniach kritickej infraštruktúry, nemôže na ne adekvátne reagovať a robiť predpovede.
Nech je to akokoľvek, firmy si vymieňajú informácie o kybernetických útokoch so zahraničnými organizáciami. Tým porušujú nariadenia FSB č. 367 a č. 368, podľa ktorých musí byť výmena údajov so zahraničnými organizáciami koordinovaná s FSTEC. Ani jedna výzva však pre táto záležitosť služba neprijala.
FSTEC sa domnieva, že informácie poskytované zahraničným spoločnostiam o kybernetických útokoch na kritickú infraštruktúru Ruskej federácie sa nakoniec dostanú do rúk zahraničných špeciálnych služieb, ktoré ich môžu použiť na posúdenie stavu bezpečnosti ruskej kritickej infraštruktúry.
Podľa RBC je možné, že sa tak firmy snažia vyhnúť imidžovým a finančným stratám. Prax odosielania údajov do zámoria však v prvom rade vystavuje spoločnosti riziku. Keďže Národné koordinačné centrum pre počítačové incidenty NKTsKI, kontrolované FSB, nemá úplné informácie o incidentoch, nemôže na ne adekvátne reagovať a robiť presné prognózy vývoja situácie, poznamenáva FSTEC.
Od roku 2018 platí v Rusku zákon „O bezpečnosti kritickej informačnej infraštruktúry“. Jeho hlavným cieľom je chrániť najvýznamnejšie podniky v krajine pred kybernetickými útokmi.
Zákon podľa FSTEC nefunguje v plnej sile z viacerých dôvodov. Po prvé, rezort už minulý rok zaznamenal nedostatok informácií o „kritickosti“ svojich zariadení od bánk a telekomunikačných operátorov. Po druhé, niektoré stanovy, ktoré majú schváliť podrobnosti o interakcii organizácií v rámci tohto zákona, ešte neboli prijaté.
FSB formulovala požiadavky na prostriedky GosSOPKA na ochranu KII RF
FSTEC a FSB zavedú zodpovednosť za porušenie požiadaviek na kritickú IT infraštruktúru Ruska
Na federálnom portáli návrhov normatívnych právnych predpisov správne delikty(v zmysle stanovenia zodpovednosti za porušenie požiadaviek na zaistenie bezpečnosti objektov KII) “.
Zatiaľ ide len o oznámenie o začatí prác na príslušnom dokumente. Zákon č. 187-FZ „O bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie“ predpisuje, aby štruktúry, ktoré riadia významné objekty kritickej informačnej infraštruktúry Ruskej federácie, boli v súlade s definované zákonom a predpisov požiadavky na zaistenie bezpečnosti takýchto zariadení.
Ide najmä o článok 274.1 Trestného zákona, ktorý ustanovuje trestnej zodpovednosti za nezákonný vplyv na kritickú informačnú infraštruktúru Ruskej federácie.
Neexistuje však žiadny zákon, ktorý by definoval prípady, keď došlo k nesúladu špecifikované požiadavky, ale neviedlo to k neprimeranému ovplyvneniu CII.
| V záujme diferenciácie trestov v závislosti od verejného nebezpečenstva dôsledkov porušenia požiadaviek právnych predpisov Ruskej federácie o bezpečnosti kritickej informačnej infraštruktúry sa javí ako účelné zaviesť administratívna zodpovednosť za neplnenie požiadaviek subjektov kritickej informačnej infraštruktúry s požiadavkami na zaistenie bezpečnosti významných objektov kritickej informačnej infraštruktúry, ustanovených v súlade s ust. federálny zákon a ďalšie regulačné právne akty prijaté v súlade s ním, - hovorí popis projektu. |
| Kritická informačná infraštruktúra potrebuje legislatívu, ktorá by zodpovedala neustále sa meniacej realite informačnej bezpečnosti, - povedal Dmitrij Gvozdev, generálny riaditeľ informačných technológií budúcnosti. - Proces formovania tejto legislatívy nie je ešte ani zďaleka ukončený, existujú určité medzery, ktoré je potrebné čo najskôr odstrániť. Vypracovanie opatrení administratívnej zodpovednosti v tomto prípade nie je ani tak prísľubom nových áut kvôli autám samotným, ako skôr vyplnením medzier a adekvátnym vymedzením zodpovednosti v súlade s pravdepodobnou hrozbou. V konečnom dôsledku v oblasti KII môže byť aj malá nedbanlivosť nepredvídateľne drahá. |
Hlavným developerom projektu by mala byť FSTEC, no ako spolurealizátori je označená Federálna bezpečnostná služba Ruskej federácie.
Plánovaný termín prijatia návrhu zákona je január 2020. Dokument si môžete prečítať.
FSTEC navrhuje zakázať spracovanie informácií súvisiacich s KII Ruska v zahraničí
Projekt obsahuje množstvo rôznych objasnení, medzi ktorými sú zdôraznené požiadavky týkajúce sa vybavenia, softvér a postupy spracovania informácií pre zariadenia kritickej infraštruktúry.
Predovšetkým sa navrhuje doplniť bod 31 príkazu o tento odsek:
| Softvér a softvér a hardvér, ktoré uchovávajú a spracúvajú informácie zaradené do významného objektu 1. kategórie významnosti, sa musia nachádzať na území Ruskej federácie (okrem prípadov, keď sa umiestňovanie týchto prostriedkov uskutočňuje v zahraničných samostatných útvaroch predmet kritickej informačnej infraštruktúry (pobočky, zastúpenia), ako aj prípady, ustanovené zákonom Ruskej federácie a (alebo) medzinárodných zmlúv Ruskej federácie). |
Predchádzajúca verzia príkazu takéto obmedzenia neukladala.
| V skutočnosti to znamená zákaz spracúvania údajov mimo územia Ruska týkajúcich sa zariadení kritickej infraštruktúry prvej kategórie dôležitosti, bez špecifikovaných výnimiek, - povedal Dmitrij Gvozdev, generálny riaditeľ informačných technológií budúcnosti. - Vo všeobecnosti má tento dokument objasňujúci charakter. Vývoj noriem a pravidiel, podľa ktorých by mala fungovať kritická infraštruktúra Ruska, je proces, ktorý je stále veľmi ďaleko od dokončenia: počet zainteresovaných strán je veľký a riziká sú príliš vysoké, takže nariadenie by malo byť čo najpodrobnejšie. . V súlade s tým budú v budúcnosti zavedené nové zmeny, doplnenia a objasnenia, a to na pomerne dlhú dobu. |
Okrem toho je zámerom dokumentu zaviazať najvýznamnejšie podniky kritickej infraštruktúry, aby používali iba smerovače certifikované na zhodu s požiadavkami na bezpečnosť informácií. Hovoríme však len o novovytvorených alebo modernizovaných zariadeniach KII a len o prvej (maximálnej) kategórii významu.
Stanovuje sa, že pri absencii technickej realizovateľnosti používať ako hraničné smerovače iba certifikované zariadenia (t. j. tie, cez ktoré sa poskytuje prístup z lokálnej siete na internet), bude potrebné posúdiť bezpečnosť skutočne používaných zariadení ako časť preberania alebo skúšania významných predmetov.
Úplné znenie návrhu objednávky je k dispozícii na tomto odkaze.
2018
V roku 2018 bolo v Ruskej federácii spáchaných približne 4,3 miliardy kybernetických útokov
"Nariaďujem schváliť priložený postup informovania FSB Ruska o počítačových incidentoch, reagovania na ne, prijímania opatrení na odstránenie následkov počítačových útokov vykonaných proti významným objektom kritickej informačnej infraštruktúry Ruskej federácie," - vyplýva z objednávka.
Ako sa uvádza vo vysvetlivke, projekt je zameraný na zlepšenie právnej úpravy v oblasti koordinácie činností subjektov kritickej informačnej infraštruktúry Ruskej federácie pri odhaľovaní, prevencii a odstraňovaní následkov počítačových útokov a reakcií na ne. počítačové incidenty.
Podľa príkazu sú subjekty kritickej informačnej infraštruktúry Ruskej federácie v prípade počítačového incidentu povinné o tom bezodkladne informovať Národné koordinačné centrum pre počítačové incidenty (NCCCI). Ak nie je napojenie na túto technickú infraštruktúru, informácie je potrebné zasielať faxovou, elektronickou a telefonickou komunikáciou na adresy alebo telefónne čísla NKTsKI uvedené na webovej stránke rezortu.
Okrem toho, ak došlo k incidentu v zariadení KII pôsobiacom v bankovníctve a iných oblastiach finančného trhu, je potrebné informovať aj Centrálnu banku Ruskej federácie.
Subjekty KII budú musieť tiež vypracovať plán reakcie na počítačové incidenty a opatrenia na elimináciu následkov počítačových útokov a minimálne raz ročne realizovať školenia na vypracovanie činností plánu.
Informácie o zabezpečení KII pred kybernetickými útokmi boli klasifikované ako štátne tajomstvo
Vyhláška dopĺňa zoznam utajovaných skutočností, schválený dekrétom prezidenta Ruskej federácie z 30. novembra 1995 č. 1203 „O schválení zoznamu utajovaných skutočností štátne tajomstvá“, Nový odsek. Podľa dokumentu medzi takéto údaje teraz patria informácie odhaľujúce opatrenia na zaistenie bezpečnosti kritickej informačnej infraštruktúry Ruskej federácie a informácie odhaľujúce stav ochrany KII pred počítačovými útokmi.
FSB a Federálna služba pre technickú a exportnú kontrolu sú oprávnené nakladať s takýmito údajmi.
2017: Čo hrozí za nelegálny dopad na kritickú IT infraštruktúru Ruska
Podľa regulačných právnych aktov 187-FZ spadajú pod nové požiadavky finančné, dopravné, energetické, telekomunikačné spoločnosti, ako aj organizácie v tejto oblasti. Potom sa zoznam objektov predloží vo forme oznámenia FSTEC Ruska a pre každý objekt zo zoznamu subjekt CII určí kategóriu významnosti, po ktorej sa výsledky kategorizácie zašlú na schválenie FSTEC. . Na základe určitých kategórií musí vlastník objektov KII v budúcnosti vybudovať ochranu.
Nezákonné ovplyvňovanie zahŕňa vytváranie, distribúciu a/alebo používanie počítačových programov alebo iných počítačových informácií, ktoré sa zámerne používajú na zničenie blokovania, úpravy, kopírovania informácií v kritickej infraštruktúre alebo na neutralizáciu prostriedkov na ochranu týchto informácií.
Okrem toho budú sankcie zahŕňať nezákonný prístup k chráneným počítačovým informáciám obsiahnutým v kritickej informačnej infraštruktúre Ruskej federácie, ak by to spôsobilo poškodenie tejto infraštruktúry.
Tresty sa ukladajú aj za porušenie pravidiel prevádzky prostriedkov na uchovávanie, spracovanie alebo prenos chránených počítačových informácií obsiahnutých v kritickom informačnú štruktúru, informačné systémy, informačné a telekomunikačné siete, automatizované systémy riadiace a telekomunikačné siete súvisiace s kritickou informačnou infraštruktúrou krajiny.
Za vytváranie škodlivých programov na ovplyvnenie infraštruktúry sa očakávajú porušovatelia nútená práca až na päť rokov s možným obmedzením slobody až na dva roky alebo odňatie slobody na dva až päť rokov s pokutou vo výške päťstotisíc až jeden milión rubľov alebo vo výške mzdy alebo iný príjem odsúdeného po dobu jedného až troch rokov. Za nezákonný prístup k chráneným počítačovým informáciám, nútené práce na obdobie do piatich rokov s pokutou 500 000 až 1 milión rubľov, s možným obmedzením slobody na dobu až dvoch rokov alebo odňatím slobody na dva roky. na šesť rokov s pokutou päťstotisíc až jeden milión rubľov.
Porušenie pravidiel prevádzky prostriedkov na uchovávanie, spracovanie alebo prenos chránených počítačových informácií bude nasledovať po dobu až piatich rokov nútených prác s možným odňatím práva zastávať určité funkcie alebo vykonávať určité činnosti po dobu až piatich rokov. do troch rokov. Stanovuje tiež možný trest odňatia slobody až na šesť rokov.
Ak uvedené činy spáchala skupina osôb predchádzajúcim sprisahaním, organizovaná skupina alebo osobou, ktorá využíva svoje služobné postavenie, sa výrazne zvyšuje závažnosť trestu: zákon stanovuje trest odňatia slobody na tri až osem rokov s možným odňatím práva zastávať určité funkcie alebo vykonávať určitú činnosť až na tri roky. rokov.
Ak tie isté činy spáchané skupinou osôb predchádzajúcim sprisahaním alebo využitím ich úradného postavenia mali vážne následky, páchatelia dostanú trest odňatia slobody na päť až desať rokov s alebo bez odňatia práva zastávať určité funkcie alebo vykonávať určité činnosti. až päť rokov.
| Vznik takéhoto zákona je v súčasných podmienkach viac než prirodzený, - hovorí Georgy Lagoda, generálny riaditeľ SEC Consult Services. - Útoky na kritickú infraštruktúru prestali byť abstrakciou, ide o hyperaktívny problém pre všetky krajiny vrátane Ruska. Zákon je jednoznačne zameraný na predchádzanie interným útokom alebo porušeniam, ktoré zvyšujú zraniteľnosť infraštruktúry. Účinnosť tohto zákona môže byť predmetom diskusie, ale skutočnosť, že existencia problému bola uznaná na legislatívnej úrovni, je povzbudivá. » |
