Важное о КИИ: какие изменения ждут операторов в 2025 году
Значительная часть систем автоматизации на российских предприятиях относится к объектам критической информационной инфраструктуры. Рассказываем, что важно знать о КИИ и какие нововведения в законодательстве по части информационной безопасности их ждут с 1 января 2025 года.
В середине 2024 года в Госдуме в первом чтении был принят законопроект, который обязывает перевести объекты критической информационной инфраструктуры на отечественное ПО. Закон пока что не принят, но игроки рынка уже дискутируют о будущих последствиях для бизнеса. Выполнение новых требований законодательства потребует от компаний и операторов дополнительных расходов. Как бизнесу работать по закону и выдерживать повышенную нагрузку?
Кибератаки — одна из главных угроз для российского телекома
По данным «Ростелеком-ЦОД», за последний год Россия вошла в топ-5 стран, которые чаще остальных становились жертвами кибератак.
Опрос представителей крупных частных и государственных предприятий показал, что из-за хакерских атак российские компании теряют в среднем 20 млн рублей в год. Обычно злоумышленники незаконно списывают денежные средства со счетов, захватывают сетевое оборудование, заражают сети или нарушают функционирование сайта или приложения.
Хакерские атаки для крупного бизнеса — это не только убытки. Кибератаки могут создать угрозу безопасности общества в различных секторах: транспорт, связь, финансы и прочее. Поэтому государство вводит требования, которые обязывают предприятия защищать критически важную инфраструктуру, без которой невозможна привычная жизнь общества.
Государство четко описывает последствия невыполнения правил безопасности для объектов КИИ. Нарушителей ожидает штраф до полумиллиона рублей и уголовное преследование, если в результате инцидента пострадали люди.
Основная доля объектов критической инфраструктуры (70%) расположена в организациях топливно-энергетического сектора, еще 12% сосредоточено в здравоохранении. На третьем месте операторы телекоммуникационных услуг — на них приходится 9% объектов КИИ.
Справка |
|
Критическая информационная инфраструктура (КИИ) — это информационные системы, которые критически важны для функционирования ключевых сфер государственной и общественной жизни. Субъекты КИИ — это предприятия из особо значимых сфер: здравоохранение, энергетика, финансы, транспорт, связь и другие. Они используют объекты КИИ — специализированные информационные системы, телекоммуникационные сети и автоматизированные системы управления. |
Требования безопасности к субъектам КИИ
Требования по части безопасности КИИ описаны в ФЗ №187. Главные из них — категорировать объекты, содействовать работе системы оперативно-розыскных мероприятий, сообщать государству об угрозах и защищать систему от нападений хакеров. Рассмотрим каждое из правил более детально.
Категорирование объектов КИИ
Категорирование — это разделение информационных систем по заданным критериям на две категории: значимые и незначимые. У операторов связи в перечень значимых объектов входят объекты, которые составляют ядро сети — например, системы контроля работы радиосети и технологии маршрутизации сигнальных сообщений.
Закон вводит перечень объектов КИИ, которые необходимо категорировать. К ним относятся системы, которые обеспечивают управление телеметрическими данными, выполняют управление и мониторинг сетей электросвязи, отвечают за абонентское обслуживание и другие. Операторы телекоммуникаций делают все возможное в пределах закона, чтобы сократить число КИИ, которые необходимо категоризировать. К примеру, биллинговая система не входит в перечень значимых.
Предприятие должно присвоить каждому значимому объекту КИИ первую, вторую или третью категорию значимости. Подробнее о порядке категорирования можно узнать из Постановления Правительства РФ № 127. Для примера, у телеком-операторов категория присваивается в зависимости от числа обслуживаемых абонентов. 3-я категория — до тысячи абонентов, 2-я — до 5 тысяч, 1-я — свыше 5 тысяч.
Процесс категорирования включает:
- составление списка всех процессов, которые выполняет КИИ;
- выявление из перечня особо значимых процессов, неполадки в которых могут нанести вред государству, экономике, окружающей среде, обществу;
- определение КИИ, которые отвечают за особо значимые процессы;
- создание списка объектов, которые необходимо категорировать;
- оценка потенциальных угроз и возможных последствий в случае атаки хакеров;
- назначение системам категории значимости или отказ от назначения категории.
По итогам категорирования результат проходит рассмотрение в Федеральной службе по техническому и экспортному контролю (ФСТЭК). Список критически значимых объектов КИИ необходимо передать в надзорный орган в срок до пяти дней с момента утверждения. ФСТЭК получает сведения и на протяжении 30 дней оценивает, верно ли выполнено категорирование
После проверки ФСТЭК добавляем данные в реестр значимых объектов КИИ. Если на предприятии отсутствуют критически значимые объекты, регулятор уведомляет об этом ГосСОПКА.
Если регулирущий орган находит ошибки в категорировании, документацию передают обратно и просят доработать в течение 10 дней. Затем предприятию дается 10 дней на устранение недочетов и повторную передачу данных
В сентябре 2024 года государство внесло изменения в правила категорирования. Как считают эксперты, меры нацелены на борьбу с инцидентами, когда предприятия намеренно присваивают объектам КИИ меньшую категорию значимости, чтобы меньше тратиться на их киберзащиту.
|
«По сути, субъектов КИИ лишили полномочий проводить категорирование самим. Теперь госорганы формируют перечни типовых отраслевых объектов КИИ. На их основе будет производиться категорирование фактически без участия субъектов КИИ», — поясняет гендиректор Security Vision Руслан Рахметов в интервью COMNEWS. |
Информирование о кибератаках
Организации, инфраструктура которых признана критически значимой, обязаны информировать ГосСОПКА о случаях компьютерных нарушений. Они должны придерживаться рекомендаций по борьбе с угрозами, а также вовлекаться в расследование и ликвидацию последствий инцидентов.
Защита критической инфраструктуры
Объектам критической инфраструктуры необходимы усиленные меры безопасности:
- антивирусы, сертифицированные ФСТЭК;
- брандмауэры;
- системы обнаружения вредоносной или подозрительной активности;
- контроль и анализ сетевого трафика, защита от хакерских атак.
В целях безопасности субъектам КИИ необходимо использовать средства, которые входят в реестр ФСТЭК сертифицированных средств защиты информации. К примеру, программно-аппаратный комплекс «Сервер безопасности DioNIS Security Server» с встроенным межсетевым экраном «DioNIS Firewall» числится в реестре — значит, его разрешено использовать.
По результатам категорирования и исследования потенциальных угроз операторы связи разрабатывают собственные меры безопасности. При создании систем информационной безопасности учитываются требования закона и особенности объектов. К примеру, предприятия может внедрить новые правила работы с паролями или опечатывать шкафы
Если компания допустит инцидент, который подвергнет опасности КИИ, руководители предприятия рискуют попасть под уголовную ответственность. Наказание следует как за намеренные действия, так и за бездействие — например, отказ от обновлений вирусных баз. Если нарушение повлекло за собой смерть людей, обвиняемые могут получить до 10 лет лишения свободы.
Как работать с требованиями безопасности КИИ
Приводим рекомендации для операторов связи по выполнению требований безопасности к объектам КИИ, которые разработала ассоциация региональных мультисервисных операторов Ростелсеть:
- оцените меры по защите объектов КИИ, использующиеся в организации. Проверьте, подготовлен ли план реагирования на инциденты, проинструктированы ли работники;
- применяйте сертифицированные оборудование и ПО, которое входит в реестр ФСТЭК. У регулятора есть жесткие требования, например, к межсетевым экранам и криптографическим модулям;
- изучите банк данных угроз ФСТЭК и оцените риск угроз в рамках вашей организации.
Как государство будет регулировать субъекты КИИ в 2025 году
В июле 2024 года в Госдуме в первом чтении был принят законопроект, который обязывает перевести более 18 тысяч объектов КИИ на отечественное ПО. Пока неизвестно, когда закон вступит в силу, но игроки рынка уже подсчитывают потенциальные траты на приобретение нового оборудования и программ, а также дополнительные издержки. В случае замены программного обеспечения компаниям придется заниматься переобучением пользователей и администраторов. По данным Российской школы управления, 85% работодателей, которые переходят на российское ПО, вкладываются в обучение сотрудников.
Соблюдение требований безопасности объектов КИИ требует от компаний существенных финансовых вложений.
Это не единственная проблема, с которой придется столкнуться субъектам КИИ в 2025 году
По оценкам экспертов, для некоторых значимых объектов КИИ нет подходящих российских альтернатив ПО, одобренного ФСТЭК. Более того, переход на другое программное обеспечение может быть технически сложен из-за специфики самих объектов.
Требования законодательства по части безопасности объектов КИИ — сложная, постоянно меняющаяся среда, в которой много регуляторных и технологических тонкостей.
В телеграм-канале LANBilling мы отслеживаем тренды в технологической отрасли, обозреваем изменения в рыночном законодательстве и публикуем свежие новости из мира телекома. Подпишитесь!
Политика в отношении обработки
персональных данных
1. Общие положения
Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ООО "Сетевые решения" (далее – Оператор).
1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://www.lanbilling.ru/.
2. Основные понятия, используемые в Политике
2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://www.lanbilling.ru/;
2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных;
2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://www.lanbilling.ru/;
2.9. Пользователь – любой посетитель веб-сайта https://www.lanbilling.ru/;
2.10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.11. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
2.12. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
2.13. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.
3. Оператор может обрабатывать следующие персональные данные Пользователя
3.1.Фамилия, имя, отчество;
3.2.Электронный адрес;
3.3.Номера телефонов;
3.4. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).
3.5. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.
4. Цели обработки персональных данных
4.1. Цель обработки персональных данных Пользователя —информирование Пользователя посредством отправки электронных писем; предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте; информирование Пользователя посредством телефонного звонка.
4.2. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты itdep@lanbilling.ru с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».
4.3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
5. Правовые основания обработки персональных данных
5.1. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://www.lanbilling.ru/. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
5.2. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).
6. Порядок сбора, хранения, передачи и других видов обработки персональных данных
Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
6.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
6.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства.
6.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора itdep@lanbilling.ru с пометкой «Актуализация персональных данных».
6.4. Срок обработки персональных данных является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора itdep@lanbilling.ru с пометкой «Отзыв согласия на обработку персональных данных».
7. Трансграничная передача персональных данных
7.1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
7.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.
8. Заключительные положения
8.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты itdep@lanbilling.ru.
8.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.
8.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://www.lanbilling.ru/privacy/.