"على السلامة الحرجة البنية التحتية للمعلومات" منذ عام 2013، وحتى في مرحلة المسودة، نوقش هذا القانون بشدة من قبل مجتمع أمن المعلومات وأثار العديد من الأسئلة فيما يتعلق بالتنفيذ العملي للمتطلبات التي طرحها. والآن بعد أن دخلت هذه المتطلبات حيز التنفيذ وواجهت العديد من الشركات ضرورة الالتزام بها، يجب الإجابة على الأسئلة الأكثر إلحاحًا.
ما هو هذا القانون ل؟
يهدف القانون الجديد إلى تنظيم الأنشطة الرامية إلى ضمان أمن مرافق البنية التحتية للمعلومات في الاتحاد الروسي، والتي يعد عملها ذا أهمية بالغة لاقتصاد الدولة. تسمى هذه الأشياء في القانون كائنات البنية التحتية الحيوية للمعلومات(كي). وفقا للوثيقة، قد تشمل كائنات CII نظم المعلوماتوالشبكات كذلك الأنظمة الآليةالإدارات العاملة في مجال:
- الرعاىة الصحية؛
- علوم؛
- ينقل؛
- مجال الاتصالات؛
- طاقة؛
- المصرفية وغيرها من المجالات السوق المالي;
- مجمع الوقود والطاقة.
- الطاقه الذريه;
- صناعات الدفاع والصواريخ والفضاء؛
- التعدين والصناعات المعدنية والكيميائية.
تشكل كائنات CII، بالإضافة إلى شبكات الاتصالات المستخدمة لتنظيم التفاعل بينها، هذا المفهوم البنية التحتية الحيوية للمعلومات.
ما هو الغرض من القانون رقم 187-FZ وكيف يجب أن يعمل؟
الهدف الرئيسي لضمان أمن CII هو الأداء المستقر لـ CII، بما في ذلك أثناء هجمات الكمبيوتر ضدها. المبدأ الرئيسي للأمن هو منع هجمات الكمبيوتر.
KII أو KSII؟
قبل ظهور القانون الجديد بشأن CII في مجال أمن المعلومات، كان هناك مفهوم مماثل لـ "أنظمة البنية التحتية للمعلومات الرئيسية" (KII). ومع ذلك، اعتبارًا من 1 يناير 2018، تم استبدال مفهوم FIAC رسميًا بمفهوم "كائنات CII المهمة".
ما هي المنظمات التي يشملها هذا القانون؟
تؤثر متطلبات قانون سلامة CII على تلك المنظمات (الهيئات والمؤسسات الحكومية والكيانات القانونية وأصحاب المشاريع الفردية) التي تمتلك (عن طريق حق الملكية أو الإيجار أو غير ذلك من الناحية القانونية) كائنات CII أو التي تضمن تفاعلها. تسمى هذه المنظمات في القانون بمواضيع CII.
ما هي الإجراءات التي يجب على الأشخاص المعنيين بـ CII اتخاذها للامتثال للقانون؟
وفقًا للوثيقة، يجب على كيانات CII:
- تنفيذ تصنيف كائنات CII؛
- ضمان التكامل (التضمين) في نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر موارد المعلوماتالاتحاد الروسي (GosSOPKA)؛
- اتخاذ التدابير التنظيمية والفنية لضمان سلامة مرافق CII.
ماذا يشمل تصنيف كائنات CII؟
فئات كائنات CIIويتضمن تحديد فئة أهميتها بناءً على عدد من المعايير والمؤشرات. هناك ثلاث فئات في المجموع: الأولى أو الثانية أو الثالثة. إذا كان كائن CII لا يفي بأي من المعايير المحددة، فلن يتم تعيينه لأي من الفئات. تسمى كائنات CII التي تم تعيينها لإحدى الفئات بكائنات CII المهمة في القانون.
- اسم منشأة CII المهمة؛
- اسم كيان مزود المعلومات الرئيسي؛
- معلومات حول التفاعل بين كائن CII مهم وشبكات الاتصالات؛
- معلومات عن الشخص الذي يدير منشأة هامة لـ CII؛
- فئة الأهمية المعينة؛
- معلومات حول البرامج والأجهزة المستخدمة في منشأة CII الهامة؛
- التدابير المتخذة لضمان سلامة منشأة CII الهامة.
من المهم ملاحظة أنه إذا تم تحديد أثناء عملية التصنيف أن كائن CII لا يحتوي على فئة ذات أهمية، فلا يزال يتعين تقديم نتائج التصنيف إلى FSTEC. تقوم الجهة التنظيمية بفحص المواد المقدمة، وإذا لزم الأمر، ترسل التعليقات التي يجب على كيان CII أخذها بعين الاعتبار. إذا لم يقدم موضوع CII بيانات التصنيف، يحق لـ FSTEC أن تطلب هذه المعلومات.
سيتم تحديد إجراءات الاحتفاظ بسجل مرافق CII الهامة بموجب الأمر ذي الصلة، والذي تم نشر مسودةه بالفعل.
كيفية تصنيف كائنات CII؟
سيتم تحديد مؤشرات معايير الأهمية وترتيب التصنيف وتوقيته بموجب مرسوم حكومي ذي صلة، والذي تم إعداد مشروعه بالفعل. وفقًا للإصدار الحالي من الوثيقة، يتضمن إجراء التصنيف ما يلي:
- تحديد كافة العمليات التي يقوم بها كيان CII كجزء من أنشطته؛
- تحديد العمليات الحيوية التي يمكن أن يؤدي تعطيلها أو إنهاؤها إلى عواقب سلبية في جميع أنحاء البلاد؛
- تحديد قائمة كائنات CII الخاضعة للتصنيف - يجب إكمال هذه المرحلة خلال 6 أشهر من تاريخ دخول قرار الحكومة حيز التنفيذ؛
- تقييم مؤشرات معايير الأهمية وفقًا للقيم المحددة - في المجموع، ينص مشروع قرار الحكومة على 14 مؤشرًا تحدد الأهمية الاجتماعية والسياسية والاقتصادية لمنشأة CII وأهميتها لضمان دفاع البلاد وأمن الدولة و القانون والنظام؛
- إثبات امتثال كائنات CII لقيم المؤشرات وتخصيص كل منها إحدى فئات الأهمية أو اتخاذ قرار بعدم الحاجة إلى تخصيص إحدى فئات الأهمية لها.
يجب أن يتم التصنيف لكل من كائنات CII الموجودة وتلك التي يتم إنشاؤها أو تحديثها من قبل لجنة خاصة من الموظفين في موضوع CII. يتم إضفاء الطابع الرسمي على قرار اللجنة في القانون المناسب وفي غضون 10 أيام بعد الموافقة عليه، يجب إرسال المعلومات حول نتائج التصنيف إلى FSTEC. الحد الأقصى لفترة تصنيف كائنات CII هو عام واحد من تاريخ موافقة CII على موضوع قائمة كائنات CII.
هذا الترتيب هو أولية وتحتاج إلى توضيحبعد الموافقة على القرار الحكومي ذو الصلة.
ما هو GosSOPKA ولماذا هو مطلوب؟
ماذا لو لم يتم استيفاء متطلبات هذا القانون؟
بالتزامن مع الموافقة على القانون الاتحادي الصادر في 26 يوليو 2017 رقم 187-FZ "بشأن سلامة CII"، المادة. 274.1، إنشاء المسؤولية الجنائيةالمسؤولين عن هذا الموضوع KIIلعدم الإمتثال القواعد المقبولةعملية الوسائل التقنيةاعتراض KII أو انتهاك إجراءات الوصول إليهم، حتى السجن لمدة 6 سنوات.
حتى الآن، لا تنص هذه المادة على المسؤولية عن عدم اتخاذ التدابير اللازمة لضمان سلامة منشأة CII، ولكن في حالة حدوث عواقب (حوادث و حالات طارئةمما يؤدي إلى أضرار جسيمة) الفشل في اتخاذ مثل هذه التدابير يندرج تحت المادة. 293 من القانون الجنائي للاتحاد الروسي "الإهمال". بالإضافة إلى ذلك، ينبغي توقع التغييرات في التشريع الإداريفي مجال تحديد العقوبات على الكيانات القانونية لعدم الامتثال لقانون سلامة CII. يمكننا أن نقول بدرجة عالية من الثقة أن فرض غرامات مالية كبيرة هو الذي سيشجع كيانات CII على الامتثال لمتطلبات القانون قيد المناقشة. [ics-cert.kaspersky.ru ]
يشكر المحررون شركة Kaspersky Lab على السماح لها بإعادة طباعة المقالة.
على خلفية الهجمات الحاسوبية العالمية الأخيرة، تم اعتماد القانون الاتحادي رقم 187-FZ بتاريخ 26 يوليو 2017 "بشأن أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي"، والذي يهدف إلى إنشاء نظام حكومي لكشف ومنع والقضاء على عواقب الهجمات على موارد المعلومات في البلاد، والتي ستدخل حيز التنفيذ اعتبارًا من 1 يناير 2018.
أكدت المذكرة التوضيحية لمشروع القانون رقم 47571-7 "بشأن أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي" على أن "الانتقال إلى مجتمع المعلومات الجاري حاليًا في الاتحاد الروسي يؤدي إلى حقيقة أن الغالبية العظمى من هيئات صنع القرار النظم والعمليات التجارية في القطاعات الرئيسية للاقتصاد والمجال تسيطر عليها الحكومةيتم تنفيذها أو التخطيط لتنفيذها باستخدام تكنولوجيا المعلومات. تقوم أنظمة المعلومات المختلفة بالفعل بتخزين ومعالجة كميات كبيرة من المعلومات، بما في ذلك تلك المتعلقة بالقضايا سياسة عامةوالدفاع والمجالات المالية والعلمية والتقنية، خصوصيةالمواطنين. معًا تكنولوجيا المعلوماتيتم تنفيذها في كل مكان في بناء أنظمة إدارة الإنتاج الآلي و العمليات التكنولوجيةالمستخدمة في قطاعات الوقود والطاقة والمالية والنقل وغيرها من قطاعات البنية التحتية الحيوية في الاتحاد الروسي."
وبحسب مطوري مشروع القانون، فإن “الضرر الذي يلحق بالبنية التحتية المعلوماتية الحيوية يمكن أن يؤدي إلى عواقب كارثية، ونظرًا لكونها حلقة وصل بين قطاعات أخرى من البنية التحتية الوطنية، فإنه سيؤدي حتماً إلى إلحاق الضرر بهذه القطاعات أيضًا. لقد أدى انتقال تكنولوجيا المعلومات والاتصالات إلى نظام الإشارات الرقمية إلى تبسيط إدارة العمليات وأتمتتها جزئيًا، ولكنه في الوقت نفسه جعلها أكثر عرضة لهجمات الكمبيوتر. يمكن لبرنامج ضار يهدف إلى إجراء تغييرات على الكود الثنائي لبرنامج ما (خوارزمية برنامج مكتوبة في نظام أرقام ثنائي) تعطيل أي جهاز يعمل باستخدام رمز ثنائي. وفي الوقت نفسه، فإن الهجمات التي ينفذها أفراد ومجتمعات وأجهزة استخبارات ومنظمات أجنبية لأغراض إجرامية وإرهابية واستخباراتية يمكن أن تشكل خطراً مماثلاً.
وفي أسوأ السيناريوهات، يمكن أن يؤدي الهجوم الحاسوبي إلى شل البنية التحتية المعلوماتية الحيوية للدولة بشكل كامل والتسبب في كارثة اجتماعية و/أو مالية و/أو بيئية.
وأشارت المذكرة التوضيحية أيضًا إلى أن "استقرار التنمية الاجتماعية والاقتصادية للاتحاد الروسي وأمنه يعتمدان في الواقع بشكل مباشر على موثوقية وأمن عمل شبكات المعلومات والاتصالات وأنظمة المعلومات".
لضمان تنسيق أنشطة مواضيع البنية التحتية الحيوية للمعلومات بشأن قضايا اكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر والاستجابة لحوادث الكمبيوتر، سيتم إنشاء مركز تنسيق وطني لحوادث الكمبيوتر (المادة 5 الجزء 2).
سيقوم نظام الدولة لاكتشاف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي بجمع وتجميع وتنظيم وتحليل المعلومات التي من شأنها:
- الدخول من خلال الوسائل المصممة لكشف عواقب الهجمات الحاسوبية ومنعها والقضاء عليها؛
- تمثل نفسك كموضوع للبنية التحتية الحيوية للمعلومات وهيئة فيدرالية قوة تنفيذية، مرخص له في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي، وفقًا لقائمة المعلومات؛
- قدّم نفسك كهيئات ومنظمات أخرى لا تخضع للبنية التحتية الحيوية للمعلومات، بما في ذلك الهيئات الأجنبية والدولية.
من أجل تسجيل الأشياء الهامة للبنية التحتية الحيوية للمعلومات، سيتم إنشاء سجل (المادة 8). سيتم إرسال المعلومات منه إلى نظام الدولةكشف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي.
سيتم إجراء تقييم أمن البنية التحتية الحيوية للمعلومات من قبل الهيئة التنفيذية الفيدرالية المرخص لها بضمان عمل نظام الدولة، من أجل التنبؤ بظهور تهديدات محتملة لأمن البنية التحتية الحيوية للمعلومات ووضع تدابير لزيادة أمن البنية التحتية للمعلومات الحيوية. استقرار أدائها في حالة تعرضها لهجمات كمبيوتر (بإذن من السلطة التنفيذية الفيدرالية) ( المادة 12).
عند إجراء تقييم السلامة، سيتم تحليل ما يلي:
- البيانات التي يتم الحصول عليها عند استخدام الأدوات المصممة لاكتشاف عواقب هجمات الكمبيوتر ومنعها والقضاء عليها والاستجابة لحوادث الكمبيوتر، بما في ذلك المعلومات حول وجود علامات لهجمات الكمبيوتر في شبكات الاتصالات المستخدمة لتنظيم تفاعل كائنات البنية التحتية الحيوية للمعلومات؛
- المعلومات المقدمة من موضوعات البنية التحتية الحيوية للمعلومات والسلطة التنفيذية الفيدرالية المعتمدة، وفقًا لقائمة المعلومات، بالإضافة إلى الهيئات والمنظمات الأخرى غير الخاضعة، بما في ذلك الأجنبية والدولية؛
- المعلومات المقدمة إلى نظام الدولة بناءً على نتائج مراقبة الدولة بشأن انتهاكات متطلبات ضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات، ونتيجة لذلك يتم إنشاء الشروط المسبقة لحدوث حوادث الكمبيوتر؛
- المعلومات الأخرى التي تتلقاها السلطة التنفيذية الفيدرالية المعتمدة وفقًا لتشريعات الاتحاد الروسي.
اليوم، يجب أن يكون لدى كيانات CII بالفعل قوائم بالمرافق الحيوية جاهزة ومقدمة إلى FSTEC في روسيا. ستكون بعض الشركات قادرة على القيام بذلك بمفردها، بينما قد تستخدم شركات أخرى خدمات الشركات الاستشارية ومتكاملي الأنظمة. من أجل جعل أنظمة الأمان متوافقة مع القانون الاتحادي رقم 187 المؤرخ 26 يوليو 2017 "بشأن أمن الاتحاد الروسي CII"، من الضروري إجراء مسح للبنية التحتية لتكنولوجيا المعلومات والتخطيط للتدابير التنظيمية والفنية. ولكن، كالعادة، هناك فروق دقيقة.
مقدمة
قبل عام واحد فقط، عندما يتعلق الأمر بأمن المرافق الحيوية، تتبادر الحماية إلى الذهن منشأت صناعية، على سبيل المثال محطات الطاقة الكهرومائية، والأمر الحادي والثلاثين من FSTEC في روسيا. لقد تغير الوضع - على أعلى مستوى حكومي، تقرر أنه إذا، على سبيل المثال، أوقف الهجوم السيبراني عمل بنك كبير لمدة أسبوع، فإن الأضرار التي لحقت بالناس ستكون كبيرة، بعبارة ملطفة. دخلت حيز التنفيذ في 1 يناير 2018 القانون الاتحادي رقم 187 المؤرخ 26 يوليو 2017 "بشأن سلامة المسؤولين الرئيسيين في الاتحاد الروسي"، تقديم مفهوم البنية التحتية الحيوية للمعلومات. سنخبرك في المقالة بمن يغطيه اليوم وما هي الإجراءات التي يجب اتخاذها لضمان الأمن وفقًا للمتطلبات الجديدة.
187-FZ: ما هي المواضيع والأشياء من CII
وفقًا لقانون "بشأن أمن CII في الاتحاد الروسي"، فإن موضوعات CII هي الهيئات والمؤسسات الحكومية أو الشركات التجارية أو رواد الأعمال الأفراد الذين يمتلكون أنظمة معلومات (IS) بشكل قانوني (على سبيل المثال، على أساس الملكية أو الإيجار)، شبكات المعلومات والاتصالات (ITCS) وأنظمة التحكم الآلي (ACS) المستخدمة في مجالات معينة من النشاط. ويطلق القانون على هذه الكيانات IS وITCS وACS التابعة لـ CII، ويشكل مجملها البنية التحتية الحيوية للمعلومات في الاتحاد الروسي. أمنها يعني حالة أمنية تضمن الأداء المستقر أثناء الهجمات الحاسوبية، ويتم إسناد مهام مراقبة تنفيذ القانون إلى FSTEC في روسيا بموجب مرسوم رئيس الاتحاد الروسي رقم 569 بتاريخ 25 نوفمبر 2017 “ بشأن تعديلات اللوائح الخاصة بالخدمة الفيدرالية للرقابة الفنية والرقابة على الصادرات، تمت الموافقة عليها بموجب مرسوم رئيس الاتحاد الروسي بتاريخ 16 أغسطس 2004 رقم 1085 » .
من يتأثر بمتطلبات 187-FZ بشأن سلامة CII؟
تخضع الكيانات العاملة في الصناعات النووية والصواريخ والفضاء والتعدين والمعادن والكيميائية والدفاع والرعاية الصحية والعلوم والطاقة والنقل والاتصالات لمتطلبات التشريعات المتعلقة بسلامة CII. موضوعات CII هي أيضًا مؤسسات مجمع الوقود والطاقة والمنظمات من المجال المصرفي والمالي.
لفهم ما إذا كنت بحاجة إلى الاهتمام بحماية كائنات CII، سيتعين عليك التحقق رموز OKVEDوالوثائق القانونية والتراخيص الصادرة لأنواع الأنشطة ذات الصلة. إذا كانت المنظمة، وفقًا للمعايير الرسمية، لا تنتمي إلى الصناعات المحددة في القانون الاتحادي رقم 187، فلا ينبغي عليك الاسترخاء - فمن الضروري تحليل العمليات التجارية وأنظمة المعلومات (IS وITCS وأنظمة التحكم الآلي) العاملة في الصناعات الخاضعة للتنظيم. .
كيفية عمل قائمة بكائنات CII
أولاً، يحتاج الأشخاص إلى إنشاء قائمة بكائنات CII وتصنيفها. ولهذا الغرض تم إنشاؤه لجنة خاصة، تمت الموافقة عليه بأمر - يجب أن يشير إلى تكوين اللجنة، وخطة العمل مع المواعيد النهائية، وكذلك الشخص المسؤول عن التفاعل مع FSTEC في روسيا (يتم إرسال قائمة بالأشياء هناك). من الضروري تحديد العمليات الإدارية والإنتاجية والمالية التي يقوم بها كيان CII وتحديد العمليات الحاسمة منها، والتي يمكن أن يؤدي انتهاكها أو إنهائها إلى عواقب سلبية واسعة النطاق. ثم تحتاج إلى تحديد كائنات CII المتعلقة بالعمليات الحرجة، وإعداد قائمة لتصنيفها وتقديمها إلى FSTEC في غضون 5 أيام من تاريخ الموافقة. وفق القرار رقم 59 الصادر عن مجلس إدارة FSTEC في روسيا بتاريخ 24 أبريل 2018وكان يجب أن يتم ذلك قبل 1 أغسطس 2018.
كيفية تحديد فئات أهمية كائن CII
تم أخذ معايير الأهمية في الاعتبار في مرسوم حكومة الاتحاد الروسي رقم 127 بتاريخ 02/08/2018 "بشأن الموافقة على قواعد تصنيف كائنات KII في الاتحاد الروسي، وكذلك قائمة مؤشرات "معايير أهمية الأشياء التي يمثلها المسؤولون القانونيون الرئيسيون في الاتحاد الروسي وقيمها." هناك خمسة معايير فقط: الاجتماعية والسياسية والاقتصادية والبيئية، فضلا عن ضمان القدرة الدفاعية وأمن الدولة والقانون والنظام. ولكل معيار أربع فئات: الأولى (الأعلى)، والثانية، والثالثة، والأدنى - دون أهمية. ويتم تطبيق الأخير إذا كانت مؤشرات الأهمية أقل مما كانت عليه في الفئة الثالثة.
أول شيء يجب فعله هو تحليل نقاط الضعف ومحاكاة تصرفات المهاجمين التي قد تؤدي إلى حوادث كمبيوتر في منشآت CII. ونتيجة لذلك، يتم تشكيل نموذج التهديد ونموذج الدخيل. بعد ذلك، من الضروري تقييم مؤشرات معايير الأهمية، وإثبات امتثال كائنات CII لقيم هذه المؤشرات وتعيين إحدى فئات الأهمية لكل كائن (أو تقرر أنه ليست هناك حاجة لتعيين فئة).
تم وصف مؤشرات الأهمية بالتفصيل في نفس القرار الحكومي رقم 127. فإذا أخذنا على سبيل المثال المعيار الاجتماعي، فيمكننا أن نتحدث عن الأضرار التي تلحق بحياة الناس وصحتهم. يتم تعيين الفئة الثالثة في حالة إصابة شخص أو أكثر نتيجة الحادث، ويتم تخصيص الفئة الأولى إذا كانت هناك مخاطر لأكثر من 500 شخص. المؤشر التالي للمعيار الاجتماعي هو تعطيل أو توقف عمل مرافق دعم الحياة للسكان. هذه هي إمدادات المياه والصرف الصحي وإمدادات الحرارة ومعالجة مياه الصرف الصحي وأنظمة الكهرباء. هنا يتم تعيين الفئات بناءً على المنطقة التي تحدث فيها الانتهاكات. الفئة الثالثة - البلدياتويتم تعيين الأول إذا كان هناك خروج خارج حدود موضوع الاتحاد.
ويتم تقييم المعيار الاجتماعي من خلال عدة مؤشرات أخرى: النقل وشبكات الاتصالات والوصول إلى الخدمات العامة. الوضع مماثل مع معايير أخرى - هناك مؤشرات كثيرة، ولكل منها نقوم بتقييم الفئات وفقا لدرجة الضرر المحتمل: عدد الضحايا، المناطق المتضررة من الحادث، وقت عدم توفر الخدمات، فقدان الدخل ومستوى التأثير الضار عليه بيئةإلخ. بناءً على النتائج، يتم إعداد أعمال تصنيف كائنات CII، والتي يجب إرسالها إلى FSTEC في غضون 10 أيام بعد التوقيع (أمر FSTEC من روسيا رقم 236 بتاريخ 22 ديسمبر 2017 "عند الموافقة على النموذج" لإرسال معلومات عن نتائج تخصيص كائن CII إحدى الفئات ذات الأهمية أو أنه ليست هناك حاجة لتعيينه إحدى هذه الفئات." يجب إكمال تصنيف كائنات CII قبل 1 يناير 2019.
عند تقييم كائنات CII، من المفيد تقسيمها: إذا كان لديك كائن واحد كبير يحتوي على العديد من الأنظمة المهمة ومعايير أهمية مختلفة، فسيتم تعيين أعلى فئة أهمية ممكنة له. إذا كان من الممكن تقسيم هذا الكائن إلى عدة كائنات أصغر، فقد يكون لها فئات مختلفة (بما في ذلك أقل) ذات أهمية وفقًا للمعايير والمؤشرات التي يحددها المرسوم الحكومي. يعد هذا النهج مفيدًا لأنه بالنسبة للأشياء الأقل أهمية، ستكون إجراءات الحماية أبسط وأرخص.
كيفية حماية كائنات CII
قائمة التدابير التنظيمية والفنية لضمان سلامة منشآت CII المهمة موجودة في أمر FSTEC الروسي رقم 239 بتاريخ 25 ديسمبر 2017 "عند الموافقة على متطلبات ضمان سلامة منشآت CII الهامة في الاتحاد الروسي. " المتطلبات خطيرة للغاية ويجب أن تمتثل لها حماية منشآت CII الهامة، ولكن بالنسبة للمنشآت غير المهمة، ليست هناك حاجة إلى مثل هذه التدابير.
قائمة التدابير التنظيمية والفنية لحماية مرافق CII الهامة:
- تحديد الهوية والمصادقة (IAF)؛
- التحكم في الوصول (ACC)؛
- القيود المفروضة على برنامج البيئة (OPS)؛
- حماية وسائط تخزين الكمبيوتر (التصوير بالرنين المغناطيسي)؛
- التدقيق الأمني (SAA)؛
- الحماية من الفيروسات (AVP)؛
- منع التطفل (هجمات الكمبيوتر) (IPS)؛
- ضمان النزاهة (OCL)؛
- ضمان إمكانية الوصول (CCT)؛
- حماية المعدات والأنظمة التقنية (TPS)؛
- حماية نظام المعلومات (الآلي) ومكوناته (IS)؛
- الاستجابة لحوادث الكمبيوتر (IRC)؛
- إدارة التكوين (UCM)؛
- إدارة التحديث برمجة(أوبو)؛
- تخطيط الإجراءات الأمنية (SAP)؛
- ضمان الإجراءات في حالات الطوارئ (CNS)؛
- معلومات وتدريب الموظفين (IPE).
سيكون من المفيد أيضًا التعرف على أمر FSTEC لروسيا رقم 235 بتاريخ 21 ديسمبر 2017 "بشأن الموافقة على متطلبات إنشاء أنظمة أمنية للمرافق المهمة التابعة لـ KII في الاتحاد الروسي وضمان عملها. " وهنا، على وجه الخصوص، يتم سرد ميزات الأمان:
- الحماية ضد الوصول غير المصرح به (بما في ذلك تلك المضمنة في برامج التطبيقات على مستوى النظام)؛
- جدران الحماية؛
- وسائل كشف (منع) التطفل (هجمات الكمبيوتر)؛
- أدوات الحماية من الفيروسات؛
- الرقابة الأمنية (التحليل) تعني (الأنظمة) ؛
- أدوات إدارة الأحداث الأمنية؛
- وسائل حماية قنوات نقل البيانات.
يجب أن يتم اعتمادهم جميعًا للامتثال لمتطلبات السلامة أو الخضوع لتقييم المطابقة في شكل اختبارات أو قبول وفقًا لـ القانون الاتحادي الصادر في 27 ديسمبر 2002 رقم 184-FZ "بشأن اللائحة الفنية".
كيفية الاتصال بـ NKTsKI (GosSOPKA)
يجب على جميع موضوعات CII الاتصال بنظام الدولة لاكتشاف عواقب هجمات الكمبيوتر ومنعها والقضاء عليها (GosSOPKA)، حتى لو لم يكن لديهم مرافق CII مهمة. في المركز الرئيسيجوسوبكا في إلزاميسيتم نقل البيانات المتعلقة بالحوادث المتعلقة بأمن المعلومات في مرافق مزودي المعلومات الرئيسيين - ونحن نؤكد هنا نحن نتحدث عنعن كل الأشياء، وليس فقط عن الأشياء المهمة. العملية التشريعية والتنظيمية القاعدة المعياريةلم يتم تطويرها بشكل كامل بعد، ولكن منذ وقت ليس ببعيد بأمر من FSB للاتحاد الروسي بتاريخ 24 يوليو 2018 رقم 366 "بشأن مركز التنسيق الوطني لحوادث الكمبيوتر"تم إنشاء هيكل جديد. ستقوم NCCCI بتنسيق أنشطة الاستجابة للحوادث، وتبادل المعلومات حول الهجمات بين الأشخاص المعنيين بـ CII والمنظمات الأخرى، كما ستوفر الدعم المنهجي. سيتلقى المركز البيانات من موضوعات CII والمنظمات الأخرى لنقلها إلى نظام الدولة المتخصص لمكافحة الفساد؛ وستشمل مهامه أيضًا تحديد تنسيقات تبادل المعلومات والمعايير الفنية لحادث كمبيوتر يتم إرساله إلى نظام الدولة المتخصص لمكافحة الفساد نظام.
ما هي المسؤوليات عن الانتهاكات؟
إذا لم تتمكن من إرسال قائمة كائنات CII إلى FSTEC، فلن تتحمل أي مسؤولية عن ذلك. لكن القانون الاتحادي رقم 187 دخل حيز التنفيذ منذ بداية عام 2018، وإذا وقع حادث ولم يتم اتخاذ تدابير الحماية اللازمة، فإن العواقب المترتبة على موضوع CII ستكون خطيرة - وقد تم بالفعل إجراء التغييرات المناسبة على القانون الجنائي . وفقا للفن. 274.1 من القانون الجنائي للاتحاد الروسي لإنشاء وتوزيع و (أو) استخدام البرامج أو غيرها معلومات الكمبيوتربالنسبة للتأثير غير القانوني على KII، يتم توفير العمل القسري لمدة تصل إلى 5 سنوات أو ما يصل إلى 5 سنوات من السجن، بالإضافة إلى غرامة تصل إلى مليون روبل. إن الوصول غير القانوني إلى معلومات مزودي المعلومات الرئيسيين، إذا أدى إلى ضرر، سيعاقب عليه بالأشغال الشاقة لمدة تصل إلى 5 سنوات، وما يصل إلى 6 سنوات في السجن وغرامات تصل إلى مليون روبل.
هناك أيضًا مسؤولية عن موضوعات CII. إن انتهاك قواعد تشغيل وسائل تخزين أو معالجة أو نقل معلومات مزودي المعلومات الرئيسيين المحميين بموجب القانون أو قواعد الوصول، إذا تسبب في ضرر لمزودي المعلومات الرئيسيين، يعاقب عليه بالأشغال الشاقة لمدة تصل إلى 5 سنوات، والسجن لمدة تصل إلى 6 سنوات، والحظر على أنواع معينةالأنشطة لمدة تصل إلى 3 سنوات للكيانات القانونية وأصحاب المشاريع الفردية أو فرض حظر على شغل مناصب معينة للأفراد لنفس الفترة.
تم تعزيز هذه المقالة. إذا ارتكبت جريمة من قبل مجموعة من الأشخاص أو باستخدام منصب رسمي، يعاقب عليها بالسجن لمدة تصل إلى 8 سنوات، فضلا عن فرض حظر على أنواع معينة من الأنشطة (الكيانات القانونية وأصحاب المشاريع الفردية) أو فرض حظر على عقد بعض الأنشطة المواقف ( فرادى) لمدة تصل إلى 3 سنوات. وفي حالة العواقب الوخيمة، يزيد الحد الأقصى لمدة السجن إلى 10 سنوات، والحظر على الأنشطة والمناصب - حتى 5 سنوات.
الاستنتاجات
لقد تغيرت قواعد اللعبة. شئنا أم أبينا، فإن حماية البنية التحتية المعلوماتية المهمة لمعيشة الناس وأمن البلاد لم تعد مسألة شخصية لأصحابها. يجب أن يكون لدى كيانات CII بالفعل قوائم بالمرافق الجاهزة (والمقدمة إلى FSTEC في روسيا). تظهر الممارسة أنه لم يتمكن الجميع من القيام بذلك - فالأمر يستحق الإسراع والبدء في التصنيف. المنظمات الكبيرةقد يكون لديهم الكفاءات المناسبة لتنفيذ جميع الأنشطة بأنفسهم، ولكن بالنسبة للشركات الصغيرة، فإن هذا سيصبح مشكلة خطيرة - وستأتي الشركات الاستشارية وتكامل الأنظمة إلى الإنقاذ. لجعل الأنظمة الأمنية متوافقة مع القانون الاتحادي رقم 187، من الضروري إجراء مسح للبنية التحتية لتكنولوجيا المعلومات وإنشاء خارطة طريق للعمل، بما في ذلك قائمة بالعناصر التنظيمية والتنظيمية الأحداث الفنية. لا يزال هناك وقت لذلك، ولكن لم يتبق منه الكثير، لذا يجب أن تسرع.
الاتحاد الروسي
القانون الاتحادي
بشأن أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي
مجلس الدوما
مجلس الاتحاد
المادة 1. نطاق هذا القانون الاتحادي
ينظم هذا القانون الاتحادي العلاقات في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي (المشار إليها فيما يلي أيضًا باسم البنية التحتية الحيوية للمعلومات) بغرض عملها المستدام في حالة وقوع هجمات كمبيوتر.
المادة 2. المفاهيم الأساسية المستخدمة في هذا القانون الاتحادي
لأغراض هذا القانون الاتحادي، يتم استخدام المفاهيم الأساسية التالية:
1) نظام التحكم الآلي - مجموعة من البرامج والأجهزة المصممة للتحكم في المعدات التكنولوجية و (أو) الإنتاج (المحركات) والعمليات التي تنتجها، وكذلك للتحكم في هذه المعدات والعمليات؛
2) أمن البنية التحتية الحيوية للمعلومات - الحالة الأمنية للبنية التحتية الحيوية للمعلومات، مما يضمن عملها المستقر عند تنفيذها ضد هجمات الكمبيوتر؛
3) كائن مهم من البنية التحتية الحيوية للمعلومات - كائن من البنية التحتية الحيوية للمعلومات التي تم تعيينها لإحدى فئات الأهمية والتي تم تضمينها في سجل الأشياء الهامة للبنية التحتية الحيوية للمعلومات؛
4) هجوم الكمبيوتر - التأثير المستهدف للبرامج و (أو) الأجهزة والبرامج على كائنات البنية التحتية الحيوية للمعلومات، وشبكات الاتصالات المستخدمة لتنظيم تفاعل هذه الكائنات، من أجل تعطيل و (أو) إيقاف عملها و (أو) خلق تهديد لأمن كائنات المعلومات المعالجة هذه؛
5) حادث كمبيوتر - حقيقة انتهاك و (أو) إنهاء عمل كائن البنية التحتية الحيوية للمعلومات، وشبكة اتصالات تستخدم لتنظيم تفاعل هذه الكائنات، و (أو) انتهاك لأمن المعلومات التي تتم معالجتها بواسطة هذا كائن، بما في ذلك ما حدث نتيجة لهجوم على الكمبيوتر؛
6) البنية التحتية الحيوية للمعلومات - كائنات البنية التحتية الحيوية للمعلومات، وكذلك شبكات الاتصالات المستخدمة لتنظيم تفاعل هذه الأشياء؛
7) كائنات البنية التحتية الحيوية للمعلومات - أنظمة المعلومات، وشبكات المعلومات والاتصالات، وأنظمة التحكم الآلي لمواضيع البنية التحتية الحيوية للمعلومات؛
8) موضوعات البنية التحتية الحيوية للمعلومات - الهيئات الحكومية، وكالات الحكومةوالكيانات القانونية الروسية و (أو) أصحاب المشاريع الفردية، التي تمتلك، بموجب حق الملكية أو الإيجار أو أي أساس قانوني آخر، أنظمة معلومات وشبكات معلومات واتصالات وأنظمة تحكم آلية تعمل في مجال الرعاية الصحية والعلوم والنقل والاتصالات والطاقة والخدمات المصرفية وغيرها من مجالات السوق المالية، مجمع الوقود والطاقة في مجال الطاقة الذرية والدفاع والصواريخ والفضاء والتعدين والصناعات المعدنية والكيميائية والكيانات القانونية الروسية و (أو) رواد الأعمال الأفراد الذين يضمنون تفاعل هذه الأنظمة أو الشبكات.
المادة 3. التنظيم القانونيالعلاقات في مجال ضمان أمن البنية التحتية الحيوية للمعلومات
1. يتم تنظيم العلاقات في مجال ضمان أمن البنية التحتية الحيوية للمعلومات وفقًا لدستور الاتحاد الروسي والمبادئ والقواعد المعترف بها بشكل عام قانون دوليوهذا القانون الاتحادي والقوانين الفيدرالية الأخرى والقوانين المعيارية الأخرى المعتمدة وفقًا لها الأفعال القانونية.
2. مميزات تطبيق هذا القانون الاتحادي على شبكات الاتصالات الاستخدام الشائعيتم تحديدها بموجب القانون الاتحادي الصادر في 7 يوليو 2003 N 126-FZ "بشأن الاتصالات" والأفعال القانونية التنظيمية للاتحاد الروسي المعتمدة وفقًا له.
المادة 4. مبادئ ضمان أمن البنية التحتية الحيوية للمعلومات
مبادئ ضمان أمن البنية التحتية الحيوية للمعلومات هي:
1) الشرعية؛
2) الاستمرارية والشمولية لضمان أمن البنية التحتية الحيوية للمعلومات، والتي يتم تحقيقها، من بين أمور أخرى، من خلال التفاعل بين السلطات التنفيذية الفيدرالية المعتمدة وموضوعات البنية التحتية الحيوية للمعلومات؛
3) أولوية منع الهجمات الحاسوبية.
المادة 5. نظام الدولة لكشف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي
1. يعد نظام الدولة للكشف عن عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها مجمعًا واحدًا موزعًا جغرافيًا، بما في ذلك القوات والوسائل المصممة لاكتشاف عواقب الهجمات الحاسوبية ومنعها والقضاء عليها والرد عليها حوادث الكمبيوتر. بغرض في هذه المقالةتُفهم موارد المعلومات في الاتحاد الروسي على أنها أنظمة المعلومات وشبكات المعلومات والاتصالات وأنظمة التحكم الآلي الموجودة على أراضي الاتحاد الروسي، في البعثات الدبلوماسيةو/أو المكاتب القنصليةالاتحاد الروسي.
2. تشمل القوى المخصصة لاكتشاف عواقب الهجمات الحاسوبية ومنعها والقضاء عليها والاستجابة لحوادث الكمبيوتر ما يلي:
1) الأقسام والمسؤولون في الهيئة التنفيذية الفيدرالية المخولين بضمان عمل نظام الدولة للكشف عن عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها؛
2) منظمة أنشأتها الهيئة التنفيذية الفيدرالية المرخص لها بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي، لضمان تنسيق أنشطة مواضيع البنية التحتية الحيوية للمعلومات بشأن قضايا اكتشاف ومنع وإزالة عواقب الهجمات الحاسوبية والاستجابة لحوادث الكمبيوتر (المشار إليها فيما بعد بمركز التنسيق الوطني لحوادث الكمبيوتر)؛
3) الأقسام والمسؤولون في مواضيع البنية التحتية الحيوية للمعلومات الذين يشاركون في اكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر وفي الاستجابة لحوادث الكمبيوتر.
3. الأدوات المصممة لاكتشاف عواقب هجمات الكمبيوتر ومنعها والقضاء عليها والاستجابة لحوادث الكمبيوتر هي أدوات تقنية وبرامج وأجهزة وأدوات كشف أخرى (بما في ذلك البحث عن علامات هجمات الكمبيوتر في شبكات الاتصالات المستخدمة لتنظيم كائنات التفاعل الخاصة بالمعلومات المهمة البنية التحتية) والوقاية والقضاء على عواقب هجمات الكمبيوتر و (أو) تبادل المعلومات اللازمة لمواضيع البنية التحتية الحيوية للمعلومات عند اكتشاف ومنع و (أو) إزالة عواقب هجمات الكمبيوتر، وكذلك وسائل التشفيرحماية هذه المعلومات.
4. ينفذ مركز التنسيق الوطني لحوادث الكمبيوتر أنشطته وفقًا للوائح المعتمدة من قبل الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة للكشف عن عواقب هجمات الكمبيوتر على موارد المعلومات الخاصة بالحكومة ومنعها والقضاء عليها الاتحاد الروسي.
5. يقوم نظام الدولة لاكتشاف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي بجمع وتجميع وتنظيم وتحليل المعلومات التي تصل إلى هذا النظاممن خلال وسائل تهدف إلى اكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر، والمعلومات التي يتم توفيرها من قبل موضوعات البنية التحتية الحيوية للمعلومات والهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي، وفقًا لـ قائمة المعلومات وبالطريقة التي تحددها الهيئة التنفيذية الفيدرالية المخولة لضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي، وكذلك المعلومات التي قد يتم توفيرها من قبل الهيئات والمنظمات الأخرى التي لا تخضع للبنية التحتية الحيوية للمعلومات، بما في ذلك الهيئات والمنظمات الأجنبية والدولية.
6. تنظم الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة لكشف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي، بالطريقة التي تحددها، تبادل المعلومات حول حوادث الكمبيوتر بين موضوعات البنية التحتية الحيوية للمعلومات، وكذلك بين موضوعات البنية التحتية الحيوية للمعلومات والهيئات المعتمدة من الدول الأجنبية والمنظمات الدولية غير الحكومية والمنظمات الأجنبية العاملة في مجال الاستجابة لحوادث الكمبيوتر.
7. يتم توفير المعلومات التي تشكل أسرار الدولة أو غيرها من الأسرار التي يحميها القانون من نظام الدولة لاكتشاف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي وفقًا لتشريعات الاتحاد الروسي.
المادة 6. صلاحيات رئيس الاتحاد الروسي وهيئاته سلطة الدولةالاتحاد الروسي في مجال ضمان أمن البنية التحتية الحيوية للمعلومات
1. يحدد رئيس الاتحاد الروسي ما يلي:
1) الاتجاهات الرئيسية لسياسة الدولة في مجال ضمان أمن البنية التحتية الحيوية للمعلومات؛
2) هيئة اتحاديةالسلطة التنفيذية، المخولة في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي؛
3) الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة للكشف عن عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها؛
4) إجراءات إنشاء ومهام نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي.
2. تحدد حكومة الاتحاد الروسي ما يلي:
1) مؤشرات معايير أهمية كائنات البنية التحتية الحيوية للمعلومات وأهميتها، بالإضافة إلى إجراءات وتوقيت تصنيفها؛
2) إجراءات ممارسة سيطرة الدولة في مجال ضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات؛
3) إجراءات إعداد واستخدام موارد شبكة الاتصالات الموحدة للاتحاد الروسي لضمان عمل الأشياء المهمة للبنية التحتية الحيوية للمعلومات.
3. الهيئة التنفيذية الفيدرالية المخولة بضمان أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي:
2) يوافق على إجراءات الاحتفاظ بسجل للأشياء المهمة للبنية التحتية الحيوية للمعلومات ويحتفظ بهذا السجل؛
3) الموافقة على نموذج إرسال المعلومات حول نتائج تخصيص إحدى الفئات ذات الأهمية لكائن البنية التحتية الحيوية للمعلومات أو حول عدم الحاجة إلى تخصيص إحدى هذه الفئات؛
4) يحدد متطلبات ضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات (متطلبات ضمان أمن شبكات المعلومات والاتصالات، التي تم تعيينها لإحدى فئات الأهمية والتي تم تضمينها في سجل الأشياء المهمة للبنية التحتية الحيوية للمعلومات ، تم إنشاؤها بالاتفاق مع الهيئة التنفيذية الفيدرالية التي تمارس وظائف تطوير وتنفيذ سياسة الدولة والتنظيم القانوني في مجال الاتصالات)، بالإضافة إلى متطلبات إنشاء أنظمة أمنية لهذه الأشياء وضمان عملها (في يؤسس القطاع المصرفي وفي مجالات أخرى من السوق المالية المتطلبات المحددةبالاتفاق مع البنك المركزي للاتحاد الروسي)؛
5) ينفذ سيطرة الدولةفي مجال ضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات، ويوافق أيضًا على شكل تقرير التفتيش الذي تم إعداده بناءً على نتائج المراقبة المذكورة.
4. الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة للكشف عن عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها:
1) تقديم مقترحات بشأن تحسين التنظيم القانوني في مجال ضمان أمن البنية التحتية الحيوية للمعلومات إلى رئيس الاتحاد الروسي و (أو) حكومة الاتحاد الروسي؛
2) إنشاء مركز التنسيق الوطني لحوادث الحاسب الآلي واعتماد الأنظمة الخاصة به.
3) تنسيق أنشطة مواضيع البنية التحتية الحيوية للمعلومات بشأن قضايا اكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر والاستجابة لحوادث الكمبيوتر؛
4) ينظم ويجري تقييمات أمنية للبنية التحتية الحيوية للمعلومات؛
5) يحدد قائمة المعلومات المقدمة إلى نظام الدولة للكشف عن عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها، وإجراءات تقديمها؛
6) يوافق على إجراءات إبلاغ الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي حول حوادث الكمبيوتر، والرد عليها، واتخاذ التدابير للقضاء عليها عواقب الهجمات الحاسوبية التي يتم تنفيذها ضد أهداف هامة في البنية التحتية الحيوية للمعلومات (في القطاع المصرفي وفي مجالات أخرى من السوق المالية، توافق على الإجراء المحدد بالاتفاق مع البنك المركزي للاتحاد الروسي)؛
7) يوافق على إجراءات تبادل المعلومات حول حوادث الكمبيوتر بين موضوعات البنية التحتية الحيوية للمعلومات، بين موضوعات البنية التحتية الحيوية للمعلومات والهيئات المعتمدة في الدول الأجنبية والمنظمات الدولية غير الحكومية والمنظمات الأجنبية العاملة في مجال الاستجابة للحوادث الحاسوبية. حوادث الكمبيوتر، بالإضافة إلى إجراءات الأشخاص الذين يتلقون معلومات هامة عن البنية التحتية للمعلومات حول وسائل وأساليب تنفيذ الهجمات على الكمبيوتر وطرق الوقاية منها واكتشافها؛
8) ينظم التثبيت في الأشياء المهمة للبنية التحتية الحيوية للمعلومات وفي شبكات الاتصالات المستخدمة لتنظيم تفاعل كائنات البنية التحتية الحيوية للمعلومات، والأدوات المصممة لاكتشاف عواقب هجمات الكمبيوتر ومنعها والقضاء عليها والاستجابة لحوادث الكمبيوتر؛
9) يحدد متطلبات الأدوات المصممة لاكتشاف عواقب هجمات الكمبيوتر ومنعها والقضاء عليها والاستجابة لحوادث الكمبيوتر؛
10) الموافقة على الإجراءات والشروط الفنية لتركيب وتشغيل الأدوات المصممة لكشف ومنع وإزالة عواقب الهجمات الحاسوبية والاستجابة لحوادث الكمبيوتر، باستثناء الأدوات المصممة للبحث عن علامات الهجمات الحاسوبية في شبكات الاتصالات المستخدمة لتنظيم التفاعل بين كائنات البنية التحتية الحيوية للمعلومات (في القطاع المصرفي وفي مجالات أخرى من السوق المالية، يوافق على الإجراء المحدد والشروط الفنية بالاتفاق مع البنك المركزي للاتحاد الروسي).
5. توافق الهيئة التنفيذية الفيدرالية، التي تتولى مهام تطوير وتنفيذ سياسة الدولة والتنظيم القانوني في مجال الاتصالات، بالاتفاق مع الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الولاية لاكتشاف ومنع و القضاء على عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي، والإجراءات والشروط الفنية لتركيب وتشغيل الأدوات المصممة للبحث عن علامات الهجمات الحاسوبية في شبكات الاتصالات المستخدمة لتنظيم تفاعل كائنات البنية التحتية الحيوية للمعلومات.
1. تصنيف كائن البنية التحتية الحيوية للمعلومات هو إنشاء امتثال كائن البنية التحتية الحيوية للمعلومات لمعايير الأهمية ومؤشرات قيمها، وتخصيص إحدى فئات الأهمية لها، والتحقق من المعلومات حول نتائج مهمتها.
1) الأهمية الاجتماعية، المعبر عنها في تقييم الضرر المحتمل الذي يلحق بحياة أو صحة الناس، وإمكانية إنهاء أو تعطيل عمل المرافق التي تدعم حياة السكان، البنية الأساسية للمواصلاتوشبكات الاتصالات وكذلك الحد الأقصى لوقت غياب الوصول إليها خدمة عامةولمتلقي هذه الخدمات؛
2) الأهمية السياسية، المعبر عنها في تقييم الضرر المحتمل لمصالح الاتحاد الروسي في شؤون السياسة الداخلية والخارجية؛
3) الأهمية الاقتصادية، المعبر عنها في تقييم السبب المحتمل للمباشر و الضرر غير المباشرموضوعات البنية التحتية الحيوية للمعلومات و(أو) ميزانيات الاتحاد الروسي؛
4) الأهمية البيئية، المعبر عنها في تقييم مستوى التأثير على البيئة؛
5) أهمية وجود مرافق البنية التحتية الحيوية للمعلومات لضمان الدفاع في البلاد وأمن الدولة والقانون والنظام.
3. تم تحديد ثلاث فئات ذات أهمية لكائنات البنية التحتية الحيوية للمعلومات - الأولى والثانية والثالثة.
4. تقوم مواضيع البنية التحتية الحيوية للمعلومات، وفقًا لمعايير الأهمية ومؤشرات قيمها، بالإضافة إلى إجراءات التصنيف، بتعيين إحدى فئات الأهمية لكائنات البنية التحتية الحيوية للمعلومات التابعة لها بموجب حق الملكية، الإيجار أو أي أساس قانوني آخر. إذا كان كائن البنية التحتية الحيوية للمعلومات لا يفي بمعايير الأهمية، ومؤشرات هذه المعايير وقيمها، فلا يتم تعيينه لأي من هذه الفئات.
5. معلومات حول نتائج تخصيص كائن من البنية التحتية الحيوية للمعلومات لإحدى الفئات ذات الأهمية أو حول عدم الحاجة إلى تخصيص إحدى هذه الفئات؛ موضوعات البنية التحتية الحيوية للمعلومات في في الكتابةوفي غضون عشرة أيام من تاريخ اعتماد القرار ذي الصلة، يتم إرسالها إلى الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي، بالشكل الذي وافقت عليه.
6. تتحقق الهيئة التنفيذية الفيدرالية المخولة في مجال ضمان أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي، في غضون ثلاثين يومًا من تاريخ استلام المعلومات المحددة في الجزء 5 من هذه المادة، من الامتثال لإجراءات التصنيف و صحة تخصيص كائن من البنية التحتية المعلوماتية الحيوية لإحدى فئات الأهمية أو عدم تخصيصه لأي من هذه الفئات.
7. إذا اتبع موضوع البنية التحتية الحيوية للمعلومات إجراء التصنيف وتم تعيين كائن البنية التحتية الحيوية للمعلومات التابع له بموجب حق الملكية أو الإيجار أو أي أساس قانوني آخر بشكل صحيح لإحدى الفئات ذات الأهمية، فإن الهيئة التنفيذية الفيدرالية تأذن في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي، يقوم بإدخال معلومات حول هذا الكائن من البنية التحتية الحيوية للمعلومات في سجل الكائنات الهامة للبنية التحتية الحيوية للمعلومات، والتي يتم إخطار موضوع البنية التحتية الحيوية للمعلومات بها في غضون عشرة أيام .
8. في حالة قيام الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي بتحديد انتهاكات لإجراءات التصنيف و (أو) كائن من البنية التحتية الحيوية للمعلومات المملوكة بحق الملكية، الإيجار أو أي أساس قانوني آخر لموضوع البنية التحتية الحيوية للمعلومات، تم تعيين إحدى فئات الأهمية بشكل غير صحيح و (أو) لم يتم تعيين أي من هذه الفئات بشكل غير معقول و (أو) موضوع البنية التحتية الحيوية للمعلومات المقدمة غير مكتمل و (أو ) معلومات غير موثوقة حول نتائج تخصيص إحدى الفئات ذات الأهمية لمثل هذا الكائن من البنية التحتية الحيوية للمعلومات أو حول عدم الحاجة إلى تخصيص إحدى هذه الفئات من قبل الهيئة التنفيذية الفيدرالية المعتمدة في مجال ضمان أمن تقوم البنية التحتية للمعلومات الحيوية في الاتحاد الروسي، في غضون عشرة أيام من تاريخ استلام المعلومات المقدمة، بإعادتها كتابيًا إلى موضوع البنية التحتية للمعلومات الحيوية مع تبرير مسبب لأسباب الإرجاع.
9. يقوم موضوع البنية التحتية الحيوية للمعلومات، بعد تلقي تبرير مسبب لأسباب إعادة المعلومات المحددة في الجزء 5 من هذه المادة، خلال مدة لا تزيد عن عشرة أيام، بإزالة أوجه القصور الملحوظة وإعادة إرسال هذه المعلومات إلى السلطة التنفيذية الفيدرالية هيئة مرخصة في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي.
10. يتم إرسال المعلومات حول عدم الحاجة إلى تخصيص كائن من البنية التحتية الحيوية للمعلومات إلى إحدى الفئات ذات الأهمية بعد التحقق منها من قبل الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي إلى نظام الدولة للكشف عن عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها، والتي يتم إخطار موضوع البنية التحتية الحيوية للمعلومات بها في غضون عشرة أيام.
11. إذا فشل موضوع البنية التحتية المعلوماتية الحيوية في تقديم المعلومات المحددة في الجزء 5 من هذه المادة، فإن الهيئة التنفيذية الفيدرالية المخولة في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي ترسل إلى الموضوع المحدد أ شرط ضرورة الالتزام بأحكام هذه المادة.
1) بقرار مسبب من الهيئة التنفيذية الفيدرالية المخولة في مجال ضمان أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي، تم اعتماده بناءً على نتائج التدقيق الذي تم إجراؤه كجزء من سيطرة الدولة في مجال ضمان الأمن من الأشياء الهامة للبنية التحتية الحيوية للمعلومات؛
2) في حالة حدوث تغيير في كائن مهم من البنية التحتية الحيوية للمعلومات، ونتيجة لذلك لم يعد هذا الكائن يفي بمعايير الأهمية ومؤشرات قيمه، والتي تم تعيينه على أساسها فئة محددةدلالة؛
3) فيما يتعلق بالتصفية وإعادة تنظيم موضوع البنية التحتية الحيوية للمعلومات و (أو) التغيير في شكله التنظيمي والقانوني، ونتيجة لذلك تم تغيير أو فقدان خصائص موضوع البنية التحتية الحيوية للمعلومات.
المادة 8. تسجيل الأشياء الهامة للبنية التحتية الحيوية للمعلومات
1. من أجل تسجيل الأشياء المهمة للبنية التحتية الحيوية للمعلومات، يجب على الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي أن تحتفظ بسجل للأشياء المهمة للبنية التحتية الحيوية للمعلومات بالطريقة التي تحددها. . يتم إدخال المعلومات التالية في هذا السجل:
1) اسم كائن مهم من البنية التحتية الحيوية للمعلومات؛
2) اسم موضوع البنية التحتية الحيوية للمعلومات؛
3) معلومات حول تفاعل كائن مهم من البنية التحتية الحيوية للمعلومات وشبكات الاتصالات؛
4) معلومات حول الشخص الذي يقوم بتشغيل كائن مهم من البنية التحتية الحيوية للمعلومات؛
6) معلومات حول البرامج والأجهزة المستخدمة في منشأة هامة للبنية التحتية الحيوية للمعلومات؛
7) التدابير المتخذة لضمان أمن كائن مهم من البنية التحتية الحيوية للمعلومات.
2. يتم إرسال المعلومات من سجل الأشياء المهمة للبنية التحتية الحيوية للمعلومات إلى نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي.
3. إذا فقد كائن مهم من البنية التحتية الحيوية للمعلومات فئته من الأهمية، يتم استبعاده من قبل الهيئة التنفيذية الفيدرالية المخولة في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي من سجل الأشياء الهامة للبنية التحتية الحيوية للمعلومات .
المادة 9. حقوق والتزامات موضوعات البنية التحتية الحيوية للمعلومات
1. يحق لموضوعات البنية التحتية الحيوية للمعلومات:
1) الحصول من الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي، على المعلومات اللازمة لضمان أمن الأشياء المهمة للبنية التحتية للمعلومات الحيوية المملوكة لهم بموجب حق الملكية أو الإيجار أو أي قانون قانوني آخر الأساس، بما في ذلك المعلومات المتعلقة بالتهديدات الأمنية التي تتم معالجتها بواسطة هذه الأشياء وضعف البرامج والمعدات والتقنيات المستخدمة في هذه الأشياء؛
2) بالطريقة التي تحددها الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي، الحصول على معلومات من الهيئة المذكورة حول الوسائل والأساليب تنفيذ هجمات الكمبيوتر، وكذلك حول أساليب التحذيرات والكشف عنها؛
3) بموافقة الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي، على نفقتها الخاصة، الحصول على واستئجار وتركيب و الحفاظ على الوسائل المخصصة للكشف عن عواقب هجمات الكمبيوتر ومنعها والقضاء عليها والاستجابة لحوادث الكمبيوتر؛
4) تطوير وتنفيذ التدابير اللازمة لضمان أمن جزء مهم من البنية التحتية الحيوية للمعلومات.
2. يجب على الأشخاص المعنيين بالبنية التحتية الحيوية للمعلومات ما يلي:
1) الإبلاغ فورًا عن حوادث الكمبيوتر إلى الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة لكشف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي، وكذلك البنك المركزي للاتحاد الروسي ( إذا كان موضوع البنية التحتية الحيوية للمعلومات يعمل في القطاع المصرفي وفي مجالات أخرى من السوق المالية) بالترتيب الذي تحدده الهيئة التنفيذية الفيدرالية المحددة (في القطاع المصرفي وفي مجالات أخرى من السوق المالية، يتم تحديد الإجراء المحدد بالاتفاق مع البنك المركزي للاتحاد الروسي)؛
2) تقديم المساعدة المسؤولينالهيئة التنفيذية الفيدرالية مخولة بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي، في اكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر، وتحديد الأسباب والظروف لحدوث حوادث الكمبيوتر.
3) في حالة تركيب وسائل مصممة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر والاستجابة لحوادث الكمبيوتر في مرافق البنية التحتية الحيوية للمعلومات، تأكد من الامتثال للأمر، المواصفات الفنيةتركيب وتشغيل هذه الوسائل وسلامتها.
3. أصحاب البنية التحتية الحيوية للمعلومات، الذين يمتلكون، بموجب حق الملكية أو الإيجار أو أي أساس قانوني آخر، أشياء مهمة من البنية التحتية الحيوية للمعلومات، إلى جانب أداء الواجبات، المنصوص عليها جزئيا 2 من هذه المادة كما يلتزم بما يلي:
1) الامتثال لمتطلبات ضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات، التي أنشأتها الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي؛
2) الامتثال لتعليمات مسؤولي الهيئة التنفيذية الفيدرالية المخولة في مجال ضمان أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي للقضاء على الانتهاكات من حيث الامتثال لمتطلبات ضمان أمن كائن مهم ذو أهمية حاسمة البنية التحتية للمعلومات، الصادرة عن هؤلاء الأشخاص وفقًا لاختصاصاتهم؛
3) الاستجابة لحوادث الكمبيوتر بالطريقة التي وافقت عليها الهيئة التنفيذية الفيدرالية المرخص لها بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي، واتخاذ التدابير اللازمة للقضاء على عواقب هجمات الكمبيوتر الهجمات الحاسوبية التي تم تنفيذها ضد البنية التحتية للمعلومات ذات الأهمية الحيوية؛
4) ضمان الوصول دون عوائق إلى مسؤولي الهيئة التنفيذية الفيدرالية المصرح لهم في مجال ضمان أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي إلى الأشياء المهمة للبنية التحتية للمعلومات الحيوية عندما يمارس هؤلاء الأشخاص الصلاحيات المنصوص عليها في المادة 13 من هذا القانون الاتحادي.
المادة 10. نظام الأمن لكائن مهم من البنية التحتية الحيوية للمعلومات
1. من أجل ضمان أمن كائن مهم من البنية التحتية الحيوية للمعلومات، موضوع البنية التحتية الحيوية للمعلومات، وفقًا لمتطلبات إنشاء أنظمة أمان لهذه الأشياء وضمان عملها، التي وافقت عليها الهيئة التنفيذية الفيدرالية المعتمدة في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي، يقوم بإنشاء نظام أمني مثل هذا الكائن ويضمن عمله.
2. الأهداف الرئيسية لنظام الأمان لكائن مهم من البنية التحتية الحيوية للمعلومات هي:
1) منع الوصول غير المصرح به إلى المعلومات التي تتم معالجتها بواسطة كائن مهم من البنية التحتية الحيوية للمعلومات، وتدمير هذه المعلومات، وتعديلها، وحظرها، ونسخها، وتوفيرها وتوزيعها، بالإضافة إلى أشياء أخرى سوء السلوكفيما يتعلق بهذه المعلومات؛
2) منع التأثير على الوسائل التقنية لمعالجة المعلومات، ونتيجة لذلك قد يتم تعطيل و (أو) إنهاء عمل جزء كبير من البنية التحتية الحيوية للمعلومات؛
3) استعادة عمل جزء مهم من البنية التحتية الحيوية للمعلومات، مع ضمان، من بين أمور أخرى، عن طريق إنشاء وتخزين نسخ احتياطية من المعلومات اللازمة لذلك؛
4) التفاعل المستمر مع نظام الدولة لكشف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي.
المادة 11. متطلبات ضمان أمن الأشياء الهامة للبنية التحتية الحيوية للمعلومات
1. يتم التمييز بين متطلبات ضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات، التي أنشأتها الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي، اعتمادًا على فئة أهمية الأشياء الحيوية البنية التحتية للمعلومات وتنص هذه المتطلبات على ما يلي:
1) تخطيط وتطوير وتحسين وتنفيذ التدابير اللازمة لضمان أمن الأشياء الهامة للبنية التحتية الحيوية للمعلومات؛
2) اتخاذ التدابير التنظيمية والفنية لضمان أمن الأشياء الهامة للبنية التحتية الحيوية للمعلومات؛
3) تحديد معلمات وخصائص البرامج والأجهزة المستخدمة لضمان أمان الأشياء المهمة للبنية التحتية الحيوية للمعلومات.
2. الهيئات الحكوميةوالكيانات القانونية الروسية التي تؤدي وظائف تطوير أو تنفيذ أو تنفيذ سياسة الدولة و (أو) التنظيم القانوني في مجال النشاط المحدد، بالاتفاق مع الهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية المعلوماتية الحيوية للدولة يجوز للاتحاد الروسي أن يضع متطلبات إضافية لضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات، والتي تحتوي على ميزات عمل هذه الأشياء في مجال النشاط المحدد.
المادة رقم 12. التقييم الأمني للبنية التحتية الحيوية للمعلومات
1. يتم إجراء تقييم أمن البنية التحتية الحيوية للمعلومات من قبل الهيئة التنفيذية الفيدرالية المرخص لها بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي، من أجل للتنبؤ بظهور تهديدات محتملة لأمن البنية التحتية الحيوية للمعلومات ووضع تدابير لزيادة مرونة أدائها عند تنفيذها فيما يتعلق بهجمات الكمبيوتر.
2. عند تقييم أمن البنية التحتية الحيوية للمعلومات، يتم تحليل ما يلي:
1) البيانات التي تم الحصول عليها عند استخدام الأدوات المصممة لاكتشاف عواقب هجمات الكمبيوتر ومنعها والقضاء عليها والاستجابة لحوادث الكمبيوتر، بما في ذلك المعلومات حول وجود علامات لهجمات الكمبيوتر في شبكات الاتصالات المستخدمة لتنظيم تفاعل كائنات البنية التحتية الحيوية للمعلومات؛
2) المعلومات المقدمة من موضوعات البنية التحتية الحيوية للمعلومات والهيئة التنفيذية الفيدرالية المرخص لها في مجال ضمان أمن البنية التحتية المعلوماتية الحيوية للاتحاد الروسي، وفقًا لقائمة المعلومات وبالطريقة التي تحددها الهيئة التنفيذية الفيدرالية مرخص في مجال ضمان عمل نظام اكتشاف الدولة، ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي، وكذلك الهيئات والمنظمات الأخرى التي لا تخضع للبنية التحتية الحيوية للمعلومات، بما في ذلك الأجنبية و دولي؛
3) المعلومات المقدمة إلى نظام الدولة للكشف عن عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها بناءً على نتائج سيطرة الدولة في مجال ضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات، حول الانتهاك لمتطلبات ضمان أمن الأشياء الهامة للبنية التحتية الحيوية للمعلومات، مما يخلق الظروف المسبقة لحدوث حوادث الكمبيوتر؛
4) المعلومات الأخرى التي تتلقاها الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي، وفقًا لتشريعات الاتحاد الروسي.
3. لتنفيذ الأحكام المنصوص عليها في الجزأين 1 و2 من هذه المادة، تنظم الهيئة التنفيذية الفيدرالية المخولة بضمان عمل نظام الدولة لاكتشاف ومنع وإزالة عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي، التثبيت في شبكات الاتصالات المستخدمة لتنظيم كائنات التفاعل للبنية التحتية الحيوية للمعلومات، والأدوات المصممة للبحث عن علامات الهجمات الحاسوبية في شبكات الاتصالات هذه.
4. من أجل تطوير تدابير لتحسين أمن البنية التحتية الحيوية للمعلومات، أذنت الهيئة التنفيذية الفيدرالية في مجال ضمان عمل نظام الدولة للكشف عن عواقب الهجمات الحاسوبية على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها ، يرسل إلى الهيئة التنفيذية الفيدرالية المرخص لها في مجال البنية التحتية للمعلومات الأمنية الحيوية في الاتحاد الروسي، نتائج تقييم أمن البنية التحتية للمعلومات الحيوية.
المادة 13. سيطرة الدولة في مجال ضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات
1. يتم تنفيذ رقابة الدولة في مجال ضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات من أجل التحقق من امتثال موضوعات البنية التحتية الحيوية للمعلومات، التي تمتلك أشياء مهمة من البنية التحتية الحيوية للمعلومات عن طريق حق الملكية أو الإيجار أو أي قانون قانوني آخر على أساس، مع المتطلبات المنصوص عليها في هذا القانون الاتحادي والمعتمدة وفقًا للقوانين القانونية التنظيمية. يتم تنفيذ مراقبة الدولة المحددة من قبل الهيئة التنفيذية الفيدرالية المرخص لها بضمان أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي، وعمليات التفتيش المجدولة أو غير المجدولة.
2. أساس إجراء الفحص المقرر هو انقضاء ثلاث سنوات من تاريخ:
1) إدخال المعلومات حول كائن البنية التحتية الحيوية للمعلومات في سجل الكائنات الهامة للبنية التحتية الحيوية للمعلومات؛
2) الانتهاء من آخر فحص مجدول فيما يتعلق بجسم مهم من البنية التحتية الحيوية للمعلومات.
3. أسباب التنفيذ التفتيش غير المقرريكون:
1) انتهاء الموعد النهائي لموضوع البنية التحتية للمعلومات الحيوية للامتثال للأمر الصادر عن الهيئة التنفيذية الفيدرالية المخولة في مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي للقضاء على الانتهاك المحدد للمتطلبات لضمان أمن الأشياء الهامة للبنية التحتية الحيوية للمعلومات؛
2) وقوع حادث كمبيوتر أدى إلى عواقب سلبية في منشأة كبيرة من البنية التحتية الحيوية للمعلومات؛
3) أمر (تعليمات) من رئيس الهيئة التنفيذية الفيدرالية المخولة في مجال ضمان أمن البنية التحتية المعلوماتية الحيوية للاتحاد الروسي، الصادرة وفقًا لتعليمات رئيس الاتحاد الروسي أو حكومة الاتحاد الروسي الاتحاد الروسي أو بناءً على طلب المدعي العام لإجراء تفتيش غير مقرر كجزء من الإشراف على قوانين التنفيذ على المواد والطعون التي يتلقاها مكتب المدعي العام.
4. بناءً على نتائج التفتيش المقرر أو غير المقرر، تقوم الهيئة التنفيذية الفيدرالية المخولة بضمان أمن البنية التحتية للمعلومات الحيوية في الاتحاد الروسي بإعداد تقرير تفتيش بالشكل المعتمد من قبل الهيئة المحددة.
5. بناءً على تقرير التفتيش، في حالة حدوث انتهاك لمتطلبات هذا القانون الاتحادي والأفعال القانونية المعيارية المعتمدة وفقًا له لضمان أمن الأشياء المهمة للبنية التحتية الحيوية للمعلومات، أذنت الهيئة التنفيذية الفيدرالية في يُصدر مجال ضمان أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي موضوع البنية التحتية الحيوية للمعلومات، وهو أمر للقضاء على الانتهاك المحدد، مع الإشارة إلى الإطار الزمني لإزالته.
المادة 14. المسؤولية عن انتهاك متطلبات هذا القانون الاتحادي والأفعال القانونية التنظيمية الأخرى المعتمدة وفقًا له
إن انتهاك متطلبات هذا القانون الاتحادي وغيره من القوانين التنظيمية المعتمدة بموجبه يستلزم المسؤولية وفقًا لتشريعات الاتحاد الروسي.
المادة 15. دخول هذا القانون الاتحادي حيز التنفيذ
الرئيس
الاتحاد الروسي
موسكو الكرملين
في 1 يناير 2018، دخل القانون الاتحادي رقم 187-FZ "بشأن أمن البنية التحتية الحيوية للمعلومات في الاتحاد الروسي" حيز التنفيذ، والذي لا ينطبق فقط على الوكالات الحكومية والمنظمات التجارية، ولكن أيضًا على رواد الأعمال الأفراد.
جوهر الجديد مبادرة تشريعيةيكشف فاسيلي ستيبانينكو، مدير القسم أمن المعلوماتشركة Servionika، جزء من مجموعة AiTeco.
ما هي الشروط الأساسية لإقرار قانون اتحادي جديد؟أحد الأسباب هو زيادة المخاطر المرتبطة بأمن البيانات. وفقًا لجهاز الأمن الفيدرالي الروسي، كان هناك حوالي 70 مليون محاولة هجوم على مرافق البنية التحتية الحيوية للمعلومات في الاتحاد الروسي في عام 2016، وكان ثلثاها عبارة عن هجمات مرتكبة من الخارج.
ربع الهجمات الإلكترونية المستهدفة التي سجلتها كاسبرسكي لاب كانت تستهدف الشركات الصناعية. ووفقا لملاحظات خبراء أمن المعلومات، فقد تضاعف عدد هجمات التهديدات المستمرة المتقدمة في عام 2017، ويبلغ متوسط الوقت الذي يبقى فيه المهاجم في البنية التحتية - من الغزو إلى الاكتشاف - ثلاث سنوات.
ماذا يحتاج ليتحسن؟أولاً، GosSOPKA هو نظام حكومي للكشف عن عواقب هجمات الكمبيوتر على موارد المعلومات في الاتحاد الروسي ومنعها والقضاء عليها.
ثانيا، أمن نظم المعلومات للجهات الحكومية، بما في ذلك تعزيز المسؤولية الشخصية للإدارة لضمان أمن المعلومات. يتم تنفيذ هاتين النقطتين إلى حد كبير في القانون الاتحاديبشأن سلامة CII، المعتمد في صيف عام 2017.
ما هي الصناعات التي ينطبق عليها القانون 187-FZ؟ قانون جديديغطي الرعاية الصحية والعلوم والنقل والاتصالات والطاقة والبنوك والتمويل ومجمع الوقود والطاقة والطاقة النووية والدفاع والفضاء والتعدين والصناعات المعدنية والكيميائية.
تشمل موضوعات CII أي كيانوالتي لديها نظام معلومات يستخدم في إحدى هذه الصناعات. تشمل كائنات CII الهامة، المقسمة إلى ثلاث فئات، جميع أنظمة المعلومات، والحوادث التي يمكن أن تؤدي إلى تعطيل الوظائف ذات الأهمية الاجتماعية التي تؤديها وتسبب أضرارًا جسيمة.
فهي تخضع لأشد متطلبات أمن المعلومات خطورة، وقد يؤدي عدم الالتزام بها إلى عواقب وخيمة، بما في ذلك العقوبة الجنائية.
كيف سيتم تنظيم ومراقبة الالتزام بأحكام القانون؟يحدد القانون أربع جهات تنظيمية: FSTEC ( الخدمة الفيدراليةفيما يتعلق بالرقابة الفنية والرقابة على الصادرات) وFSB باعتبارهما الجهات الرئيسية، وبنك روسيا ووزارة الاتصالات والإعلام كهيئات إضافية، لتنسيق متطلبات ضمان أمن مرافق CII في مجال التنظيم الخاص بها.
تتكون وظائف FSTEC من تصنيف كائنات CII الهامة والاحتفاظ بسجل لها، ووضع متطلبات لضمان أمن المعلومات لكائنات CII ومراقبة تنفيذها. FSB مسؤول عن الجوانب العملية للأمن، كونه المركز الرئيسي لـ GosSOPKA.
ما الذي يتعين على كيان CII القيام به للامتثال لمتطلبات القانون؟قم بتصنيف جميع كائنات CII الخاصة بك بشكل مستقل وقم بالإبلاغ عنها كتابةإلى FSTEC لإدخال المعلومات في سجل كائنات KII المهمة.
الرد على حوادث الكمبيوتر عن طريق إبلاغ FSB عنها على الفور ومساعدة المسؤولين في الأنشطة المتعلقة بمنع عواقب الحوادث واكتشافها والقضاء عليها. ضمان الامتثال للإجراءات والشروط الفنية لتركيب وتشغيل المعدات التقنية GosSOPKA.
كيف سيتم مراقبة التنفيذ؟ المتطلبات القانونية? ستقوم FSTEC بمراقبة التصنيف الصحيح لكائنات CII والامتثال لمتطلبات ضمان أمن المعلومات للأشياء المهمة.
سيتم إجراء عمليات التفتيش المجدولة كل 3 سنوات، وسيتم إجراء عمليات التفتيش غير المجدولة بناءً على الحوادث التي وقعت، أو تعليمات من الرئيس والحكومة، أو بناءً على طلب مكتب المدعي العام.
سيتم إجراء تقييم سلامة مرافق KII من قبل FSB. سيقوم FSB بتحليل المعلومات من الوسائل التقنية لـ GosSOPKA، ومن سجل كائنات KII المهمة، والمعلومات المقدمة من الأشخاص.
ماذا يحدث إذا خالفت هذا القانون؟لا يعاقب القانون على عدم الوفاء بالالتزام بتصنيف وتقديم معلومات حول كائنات CII الفردية، ومع ذلك، فإن الفشل في الامتثال لمتطلبات ضمان سلامة CII، بما في ذلك تلك التي تؤدي إلى عواقب وخيمة أو التهديد بحدوثها، يعاقب عليه القانون .
ما مدى صعوبة تطبيق متطلبات القانون الجديد على أرض الواقع؟تنفق معظم الشركات الصناعية الروسية اليوم أقل من 50 مليون روبل سنويًا على أمن المعلومات.
وفي الوقت نفسه، قدر مديرو 27% من المؤسسات التي شملها الاستطلاع خلال الدراسة "ما هي تكلفة الأمن" الخسارة الناتجة عن يوم واحد من توقف البنية التحتية بسبب هجوم إلكتروني بمبلغ مماثل. ليس لدى العديد من الشركات ميزانية منفصلة لأمن المعلومات: فهي جزء من ميزانية تكنولوجيا المعلومات، ولا تزيد عن 20% منها.
لتنفيذ متطلبات 187-FZ واللوائح التنظيمية للهيئات التنظيمية، هناك حاجة إلى أموال كبيرة، ويحتاج رؤساء كيانات CII إلى الخروج بطريقة أو بأخرى من الوضع. اليوم، أحد الخيارات الأكثر مناقشة لحل مشكلة ضمان الحماية الكاملة لكائنات CII هو ربطها بمراكز الاستجابة للشركات (مركز العمليات الأمنية - SOC).
أنها توفر مجموعة كاملة من الخدمات لمراقبة وإدارة أنظمة أمن المعلومات، وتحديد الحوادث والاستجابة لها. قد يصبح هذا النهج أحد الاتجاهات المهمة في مجال أمن المعلومات في روسيا.
ستسمح خدمات SOC لكيانات CII بتنفيذ متطلبات القانون الجديد بشكل اقتصادي أكثر. مع دخول القانون 187-FZ حيز التنفيذ، يصبح ضمان أمن المعلومات عملية مستمرة، بدلاً من "تجميد" النظام في حالة مرجعية.